# 将 VPC IPAM 与 Infoblox 基础设施集成
<a name="integrate-infoblox-ipam"></a>

Amazon VPC IPAM 和 Infoblox 集成后，会将您的 AWS VPC IP 地址管理器（IPAM）连接到 [Infoblox](https://www.infoblox.com/)，从而让您能够通过现有的 Infoblox 工作流管理 AWS IP 地址，同时获得云原生 AWS 功能。

此集成解决了避免重复建设 IP 管理系统这一常见的企业难题。您不需要学习新工具以及为 AWS 和本地网络建立单独的流程，只需将 Infoblox 指定为 VPC IPAM 作用域的管理机构，并继续使用熟悉的 Infoblox 界面进行所有 IP 地址操作。

## 集成过程概述
<a name="integration-process-overview"></a>

以下步骤概述了完整的集成过程：

1. **配置 IPAM 作用域**（在本文档中介绍）：Amazon VPC IPAM 委托管理员创建一个新作用域或修改现有作用域，以将 Infoblox 作为其外部管理机构。

1. **配置 Infoblox**（在本文档之外介绍）：请参阅[后续步骤](#infoblox-next-steps)。

1. **创建顶级池**：Amazon VPC IPAM 委托管理员在链接到 Infoblox 的作用域内创建一个池。最初该池未分配任何 CIDR。

1. **预调配来自外部管理机构的 CIDR**：Amazon VPC IPAM 委托管理员为该池预调配一个 CIDR。您可以请求任何可用 CIDR（由 Infoblox 在允许范围内选择），也可请求特定 CIDR（Infoblox 根据可用性接受或拒绝）。IPAM 会自动与 Infoblox 协调，来获取和预调配批准的 CIDR。

1. **继续使用标准的 IPAM 操作**：按照标准的 Amazon VPC IPAM 过程，使用分配的 CIDR 创建子池和 VPC。

## 何时使用此集成
<a name="when-to-use-this-integration"></a>

如果您已经使用或计划使用 Infoblox 进行本地网络管理，并且希望将现有的 IP 管理实践扩展到 AWS 而不建立单独的系统，请使用此集成。

## 先决条件
<a name="prerequisites"></a>

在开始配置此集成之前，请确保您满足以下条件：
+ **VPC IPAM 高级套餐**：已在您的 AWS 账户中启用。有关更多信息，请参阅 [VPC IPAM 高级套餐](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-tier.html)。
+ **所需 IAM 权限**：详见以下所列
+ **Infoblox 资源标识符**：由您的 Infoblox 管理员提供

## 用于 Infoblox 的 IAM 角色
<a name="required-iam-permissions"></a>

创建一个供 Infoblox 主体代入的 IAM 角色，或使用一个现有的角色。该角色需要以下权限：
+ `ec2:DescribeIpamPools`
+ `ec2:DescribeIpams`
+ `ec2:DescribeIpamScopes`
+ `ec2:GetIpamPoolAllocations`
+ `ec2:GetIpamPoolCidrs`
+ `ec2:GetIpamResourceCidrs`

有关如何为 IAM 角色或策略添加这些权限的说明，请参阅《IAM 用户指南》中的[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)**。

**注意**  
除了启用此集成所需的这些权限外，Infoblox 可能还需要 VPC IPAM 发现权限。

## 在 VPC IPAM 中配置 Infoblox 集成
<a name="configure-infoblox-integration-in-the-vpc-ipam-console"></a>

您可以在 AWS VPC IPAM 控制台或 AWS CLI 中创建或修改作用域时启用 Infoblox 集成。

**重要**  
Infoblox 集成仅适用于私有作用域，不适用于公有作用域。

### 创建具有 Infoblox 集成的新作用域
<a name="creating-a-new-scope-with-infoblox-integration"></a>

1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。

1. 在导航窗格中，选择 **IPAM**，然后选择**作用域**。

1. 选择 **Create scope**（创建范围）。

1. 对于**作用域设置**，请执行以下操作：
   + **IPAM ID** 会自动填充。
   + （可选）对于**名称标签**，输入作用域的名称。
   + （可选）对于**描述**，输入作用域的描述。

1. 对于**作用域管理机构**，请选择 **Infoblox IPAM**。

1. 对于 **Infoblox 资源标识符**，请按 `<version>.identity.account.<entity_realm>.<entity_id>` 格式输入 Infoblox 资源标识符。

1. 验证您是否具有信息框中所示的所需 IAM 权限。

1. 选择 **Create scope**（创建范围）。

与此相关的 AWS CLI 命令是 [create-ipam-scope](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-ipam-scope.html)。

### 修改现有的作用域
<a name="modifying-existing-scopes"></a>

要将现有作用域的作用域管理机构从 **Amazon VPC IPAM** 更改为 **Infoblox IPAM**，请编辑作用域设置并按照之前过程中的相同配置步骤进行操作。

与此相关的 AWS CLI 命令是 [modify-ipam-scope](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-ipam-scope.html)。

## 后续步骤
<a name="infoblox-next-steps"></a>

这样就完成了此集成所需的 Amazon VPC IPAM 配置。在配置好作用域管理机构后，您可以在该作用域内创建一个顶级 IPAM 池。有关更多信息，请参阅 [创建顶级 IPv4 池](create-top-ipam.md)。

此集成还需要配置一个 Infoblox 源池、验证发现作业状态、设置将由 Infoblox 管理的私有作用域、为 Amazon VPC IPAM 启用 Infoblox 管理，以及通过 Infoblox 集成或直接从 Infoblox 门户创建池。

有关此集成所需的 Infoblox 操作的信息，请参阅 Infoblox 文档中的《AWS IPAM 集成用户指南》**。