# 跟踪 IPAM 中的 IP 地址使用情况
Amazon VPC IP 地址管理器提供 IP 地址使用情况跟踪功能,可为任何管理复杂网络环境的人带来益处。IPAM 跨 AWS 提供对 IP 地址分配、利用率和使用趋势的可见性。这可以帮助您识别未使用或使用效率低下的 IP 地址,优化地址空间并防止发生潜在的 IP 地址耗尽。
IPAM 在 CIDR、范围和 IPAM 级别方面跟踪 IP 地址的使用情况,提供详细的报告和分析。这对于大规模部署、多账户设置和不断变化的网络要求非常有价值。
通过利用 IPAM 的使用情况跟踪,您可以作出明智的决策、改进 IP 地址管理,并确保 IP 资源的有效利用。
**注意**
此部分中所述的任务是可选的。如果您想完成此部分中的任务,并且已委派了 IPAM 账户,则应该由 IPAM 账户完成这些任务。
**Topics**
+ [使用 IPAM 控制面板监控 CIDR 使用情况](monitor-cidr-usage-ipam.md)
+ [按资源监控 CIDR 使用情况](monitor-cidr-compliance-ipam.md)
+ [使用 Amazon CloudWatch 监控 IPAM](cloudwatch-ipam.md)
+ [查看 IP 地址历史记录](view-history-cidr-ipam.md)
+ [查看公有 IP 见解](view-public-ip-insights.md)
# 使用 IPAM 控制面板监控 CIDR 使用情况
Amazon VPC IP 地址管理器中的 IPAM 控制面板可使您监控多种关键场景的 CIDR 使用情况:
+ **识别未使用或未充分利用的 IP 地址空间**:控制面板提供了 CIDR 利用率的可视性,使您能够识别具有可回收或重新分配的可用容量的 CIDR。
+ **优化 IP 地址管理**:通过密切跟踪 CIDR 的使用情况,您可以就扩展、收缩或重新分配 IP 地址块做出明智的决定,以满足不断变化的业务和基础设施需求。
+ **防止 IP 地址耗尽**:监控 CIDR 使用情况可帮助您预测何时可能需要获取额外的 IP 地址空间,让您能够主动规划并避免因 IP 地址耗尽而导致的服务中断。
+ **确保合规性和治理能力**:IPAM 控制面板可以帮助您演示 IP 地址使用模式,以满足围绕 IP 地址管理的监管要求或内部政策。
+ **解决网络问题**:详细的 CIDR 使用数据可以帮助识别网络连接问题或资源冲突的根本原因。
通过 IPAM 控制面板密切监控 CIDR 的使用情况,您可以提高 AWS 内部 IP 地址管理的效率、弹性和合规性。
------
#### [ AWS Management Console ]
**使用 IPAM 控制面板监控 CIDR 使用情况**
1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。
1. 在导航窗格中,选择**控制面板**。
1. 默认情况下,当您查看控制面板时,默认的私有范围被选中。如果您不想使用默认的私有范围,请从内容窗格顶部的下拉菜单中选择要使用的范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。
1. 控制面板提供了某个范围内的 IPAM 池和 CIDR 的总览。您可以添加、移除、移动小组件以及调整大小,从而自定义控制面板。
+ **Scope**(范围):此范围的详细信息。范围是 IPAM 中最高级别的容器。IPAM 包含两个默认范围,一个为私有范围,另一个为公有范围。每个范围代表单个网络的 IP 空间。您可以包含多个私有范围,但只能有一个公有范围。
+ **Scope ID**(范围 ID):此范围的 ID。
+ **Scope type**(范围类型):范围的类型。
+ **IPAM ID**:范围所在的 IPAM 的 ID。
+ **此范围中的 IPAM 池**:范围所在的 IPAM 的 ID。
+ **查看此范围中的网络资源**:您将进入 IPAM 控制台的**资源**部分。
+ **搜索此范围中的 IP 地址历史记录**:您将进入 IPAM 控制台的**搜索 IP 历史记录**部分。
+ **资源 CIDR 类型**:范围中的资源 CIDR 类型。
+ **子网**:子网的 CIDR 数量。
+ **VPC**:VPC 的 CIDR 数量。
+ **EIP**:弹性 IP 地址的 CIDR 数量。
+ **公有 IPv4 池**:公有 IPv4 池的 CIDR 数量。
+ **管理状态**:CIDR 的管理状态。
+ **Unmanaged CIDRs**(非托管 CIDR):此范围内非托管资源的资源 CIDR 数量。
+ **Ignored CIDRs**(忽略的 CIDR):您选择的免于使用范围中的 IPAM 监控的资源 CIDR 数量。IPAM 不会评估范围内被忽略资源的重叠或合规性。选择忽略资源时,从 IPAM 池中分配给它的任何空间都将返回到池中,并且不会通过自动导入再次导入该资源(如果在池中设置了自动导入分配规则)。
+ **Managed CIDRs**(托管 CIDR):从范围内的 IPAM 池分配的可管理资源(VPC 或公有 IPv4 池)的资源 CIDR 数量。
+ **重叠的资源 CIDR**:重叠和不重叠的 CIDR 数量。重叠的 CIDR 可能会导致 VPC 中的路由不正确。
+ **Overlapping CIDRs**(重叠 CIDR):在此范围中的 IPAM 池内重叠的 CIDR 的数量。重叠的 CIDR 可能会导致 VPC 中的路由不正确。
+ **不重叠的 CIDR**:此范围中的 IPAM 池内不重叠的资源 CIDR 数量。
+ **合规的资源 CIDR**:合规的资源 CIDR 数量。
+ **Compliant CIDRs**(合规的 CIDR):符合范围内 IPAM 池分配规则的资源 CIDR 数量。
+ **Noncompliant CIDRs**(不合规的 CIDR):不符合范围内 IPAM 池分配规则的资源 CIDR 数量。
+ **重叠状态**:随着时间推移重叠的 CIDR 数量。
+ **重叠的 CIDR**:此范围中的 IPAM 池内重叠的 CIDR 数量。重叠的 CIDR 可能会导致 VPC 中的路由不正确。
+ **合规状态**:随着时间推移符合以及不符合范围中 IPAM 池的分配规则的 CIDR 数量。
+ **合规的资源 CIDR**:符合分配规则的资源 CIDR 数量。
+ **不合规的资源 CIDR**:不符合分配规则的资源 CIDR 数量。
+ **VPC 利用率**:IP 利用率最高或最低的 VPC(IPv4 和 IPv6)。您可以使用此信息配置 Amazon CloudWatch 告警,以便在 IP 利用率阈值被突破时发出警报。有关更多信息,请参阅 [IPAM 资源利用率指标](cloudwatch-ipam-res-util.md)。
+ **子网利用率**:IP 利用率最高或最低的子网(仅限 IPv4)。您可以使用这些信息来决定是保留还是删除未充分利用的资源。有关更多信息,请参阅 [IPAM 资源利用率指标](cloudwatch-ipam-res-util.md)。
+ **IP 分配比例最高的 VPC**:分配给子网的 IP 地址空间百分比最高的 VPC。借助此指标可以方便地了解是否需要为 VPC 预调配额外的 IP 地址空间。
+ **IP 分配比例最高的子网**:分配给资源的 IP 地址空间百分比最高的子网。借助此指标可以方便地了解是否需要为子网预调配额外的 IP 地址空间。
+ **池指定**:随着时间推移在范围内指定给资源和手动分配的 IP 空间百分比。
+ **池分配**:随着时间推移分配给范围中其他池的池 IP 空间百分比。
------
#### [ Command line ]
控制面板中显示的信息来自 Amazon CloudWatch 中存储的指标。有关存储在 Amazon CloudWatch 中的指标的更多信息,请参阅 [使用 Amazon CloudWatch 监控 IPAM](cloudwatch-ipam.md)。使用 [AWS CLI 参考](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudwatch/index.html)中的 Amazon CloudWatch 选项查看 IPAM 池和范围中的分配指标。
------
如果您发现为池预置的 CIDR 几乎已完全分配,则可能需要预置额外的 CIDR。有关更多信息,请参阅 [将 CIDR 预置到池](prov-cidr-ipam.md)。
# 按资源监控 CIDR 使用情况
Amazon VPC IP 地址管理器中的**资源**视图可集中概述您的 AWS 资源中 IP 地址的使用情况。这使您能够快速识别哪些资源正在消耗 IP 地址,跟踪地址分配趋势,并优化 IP 地址管理,以适应不断变化的基础设施和业务需求。
在 IPAM 中,资源是分配 IP 地址或 CIDR 块的 AWS 服务实体。IPAM 管理一些资源,但只监控另一些资源,因此了解两者之间的区别很重要:
+ **托管资源**:托管资源具有从 IPAM 池中分配的 CIDR。IPAM 监控 CIDR 是否可能与池中其他 CIDR 的 IP 地址重叠,并监控 CIDR 是否符合池的分配规则。IPAM 支持管理以下类型的资源:
+ 弹性 IP 地址
+ 公有 IPv4 池
**注意**
公有 IPv4 池和 IPAM 池由 AWS 中的不同资源管理。公共 IPv4 池是单一账户资源,使您能够将公有 CIDR 转换为弹性 IP 地址。IPAM 池可用于将公有空间分配给公有 IPv4 池。
+ VPC
+ **监控资源**:如果某个资源被 IPAM 监控,则 IPAM 已检测到该资源,您可以在将 `get-ipam-resource-cidrs` 与 AWS CLI 结合使用时或在导航窗格中查看 **Resources**(资源)时查看有关资源 CIDR 的详细信息。IPAM 支持监控以下资源:
+ 弹性 IP 地址
+ 公有 IPv4 池
+ VPC
+ VPC 子网
------
#### [ AWS Management Console ]
**按资源监控 CIDR 使用情况**
1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。
1. 在导航窗格中,选择 **Resources**(资源)。
1. 从内容窗格顶部的 IP 下拉菜单中,选择要使用的 IP 地址协议:IPv4 或 IPv6。
1. 从内容窗格顶部的范围下拉菜单中,选择要使用的范围。有关范围的更多信息,请参阅 [IPAM 的工作原理](how-it-works-ipam.md)。
1. 使用资源 CIDR 映射来查看范围内可用、已分配和重叠的 IP 地址空间:
+ **可用**:IP 地址范围可供分配。
+ **合规且不重叠**:IP 地址范围已分配给由 IPAM 管理的资源。
+ **占用**:IP 地址范围已分配给资源。
+ **重叠**:IP 地址范围已分配给多个资源且有重叠。
+ **不合规**:IP 地址范围不合规。某个使用 IP 地址范围的资源不符合为该池设置的分配规则。
在 CIDR 映射中,选择位于映射底部的 IP 地址块,来查看较小 CIDR 块中的资源。选择位于映射顶部的 IP 地址块,来查看较大 CIDR 块中的资源。
1. 在此表中,您可以查看有关该范围内的资源的以下详细信息:
+ **名称(资源 ID)**:资源的名称和资源 ID。
+ **CIDR**:与资源关联的 CIDR。
+ **Management state**(管理状态):资源的状态。
+ **Managed**(托管):该资源具有从 IPAM 池中分配的 CIDR,IPAM 正在监控该资源是否可能与 CIDR 重叠以及是否符合池分配规则。
+ **Unmanaged**(非托管):该资源不具有从 IPAM 池中分配的 CIDR,IPAM 正在监控该资源是否可能存在符合池分配规则的 CIDR。对 CIDR 进行重叠监控。
+ **已忽略**:已选择该资源免于监控。不会评估忽略的资源是否存在重叠或分配规则合规性。选择忽略资源时,从 IPAM 池中分配给它的任何空间都将返回到池中,并且不会通过自动导入再次导入该资源(如果在池中设置了自动导入分配规则)。
+ **-**:此资源不是 IPAM 可以管理的资源类型之一。
+ **Compliance status**(合规性状态):CIDR 的合规性状态。
+ **Compliant**(合规):托管资源符合 IPAM 池的分配规则。
+ **Noncompliant**(不合规):资源 CIDR 不符合 IPAM 池的一个或多个分配规则。
**Example**
如果 VPC 的 CIDR 不符合 IPAM 池的网络掩码长度参数,或者资源与 IPAM 池不在同一个 AWS 区域中,它将被标记为不合规。
+ **Unmanaged**(非托管):该资源不具有从 IPAM 池中分配的 CIDR,IPAM 正在监控该资源是否可能存在符合池分配规则的 CIDR。对 CIDR 进行重叠监控。
+ **已忽略**:已选择该资源免于监控。不会评估忽略的资源是否存在重叠或分配规则合规性。选择忽略资源时,从 IPAM 池中分配给它的任何空间都将返回到池中,并且不会通过自动导入再次导入该资源(如果在池中设置了自动导入分配规则)。
+ **-**:此资源不是 IPAM 可以管理的资源类型之一。
+ **Overlap status**(重叠状态):CIDR 的重叠状态。
+ **Nonoverlapping**(不重叠):资源 CIDR 与同一范围内的另一个 CIDR 不重叠。
+ **Overlapping**(重叠):资源 CIDR 与同一范围内的另一个 CIDR 重叠。请注意,如果资源 CIDR 重叠,则可能与手动分配重叠。
+ **已忽略**:已选择该资源免于监控。IPAM 不会评估被忽略资源的重叠或分配规则合规性。选择忽略资源时,从 IPAM 池中分配给它的任何空间都将返回到池中,并且不会通过自动导入再次导入该资源(如果在池中设置了自动导入分配规则)。
+ **-**:此资源不是 IPAM 可以管理的资源类型之一。
+ **IP 分配情况**:对于属于 VPC 的资源,表示 VPC 中子网 CIDR 占用的 IP 地址空间的百分比。对于属于子网的资源,如果子网预置了 IPv4 CIDR,则表示子网中正在使用的 IPv4 地址空间的百分比。如果子网配置了 IPv6 CIDR,则不表示正在使用的 IPv6 地址空间的百分比。目前无法计算正在使用的 IPv6 地址空间的百分比。对于属于公有 IPv4 池的资源,这表示池中分配给弹性 IP 地址(EIP)的 IP 地址空间的百分比。
+ **Region**(区域):资源的 AWS 区域。
+ **Owner ID**(拥有者 ID):创建此资源的人员的 AWS 账户 ID。
+ **资源类型**:无论资源是 VPC、子网、弹性 IP 地址还是公有 IPv4 池。
+ **Pool ID**(池 ID):资源所在的 IPAM 池的 ID。
1. 使用**筛选资源**按列属性(例如,VPC ID 或合规性状态)筛选资源表。
------
#### [ Command line ]
本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。
请使用以下 AWS CLI 命令按资源监控 CIDR 使用情况:
1. 获取范围 ID:[describe-ipam-scopes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-ipam-scopes.html)
1. 请求资源信息:[get-ipam-resource-cidrs](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-resource-cidrs.html)
------
# 使用 Amazon CloudWatch 监控 IPAM
IPAM 会自动在您 IPAM 所在主区域的 `AWS/IPAM` [Amazon CloudWatch 命名空间](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Namespace)中存储与 IP 地址使用情况(例如,IPAM 池中可用的 IP 地址空间以及符合分配规则的资源 CIDR 数量)和资源利用率相关的指标。
将 IPAM 与 CloudWatch 集成可增强您监控、分析和优化 AWS 内的 IP 地址管理的能力。
使用案例包括:
+ **跟踪 IP 地址利用率趋势**:CloudWatch 可以监控 CIDR 池使用情况、范围分配和其他 IPAM 指标,以帮助您主动识别潜在的 IP 地址耗尽风险。
+ **设置基于利用率的警报**:您可以配置 CloudWatch 警报,使其在 CIDR 利用率达到预定阈值时通知您,从而实现及时干预和优化。
+ **监控 IPAM 事件**:CloudWatch 可以捕获和分析与 IPAM 相关的事件,例如 CIDR 分配、取消分配和范围修改,从而提供对 IP 地址管理活动的可见性。
+ **生成自定义控制面板**:通过将 IPAM 数据与其他 AWS 指标相结合,您可以创建全面的控制面板,以可视化和分析您的 IP 地址场景以及相关的基础设施和性能指标。
**Topics**
+ [通过 IPAM 控制台管理警报](cloudwatch-ipam-manage-alarms.md)
+ [IPAM 指标](cloudwatch-ipam-ip-address-usage.md)
+ [IPAM 资源利用率指标](cloudwatch-ipam-res-util.md)
# 通过 IPAM 控制台管理警报
您可以直接从 IPAM 控制台创建和管理 Amazon CloudWatch 警报。处于 INSUFFICIENT\$1DATA 或 ALARM 状态的 [IPAM 指标](cloudwatch-ipam-ip-address-usage.md) 或 [IPAM 资源利用率指标](cloudwatch-ipam-res-util.md) 警报将在控制台顶部显示为警告栏,并在**监控**旁边的左侧导航栏中显示为视觉指示器。
要管理特定资源的警报,请选择**资源**,然后选择 VPC、子网或池。资源详细信息页面打开后,选择**警报**选项卡。
**警报**选项卡显示与所选资源关联的所有 CloudWatch 警报。在此选项卡中,您可以查看警报详细信息、监控当前状态和访问警报配置选项。该选项卡显示`AWS/IPAM` 命名空间中与您正在查看的资源相关的警报。
以下屏幕截图展示了 IPAM 控制台中的警报管理界面:
![\[alt text not found\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/ipam/images/alarms.png)
**警报**选项卡提供了 IPAM 所在区域的 Amazon CloudWatch 命名空间中的 `AWS/IPAM` CloudWatch 警报的详细摘要:
+ **警报名称**:CloudWatch 警报的用户定义名称。
+ **状态**:CloudWatch 警报的当前状态:
+ **警报**:指标在规定的阈值范围外。
+ **正常**:指标在规定的阙值范围内。
+ **INSUFFICIENT\$1DATA**:数据不足,无法确定警报状态。
+ **指标**:警报正在监控的特定 CloudWatch 指标。
+ **资源 ID**:警报正在监控的 AWS 资源的唯一标识符。
+ **上次更新时间**:上次更改或评估警报状态的日期和时间。
+ **已启用操作**:表示是否为警报启用 CloudWatch 操作:
+ **是**:满足条件时,警报可以触发配置的操作。
+ **否**:警报正在监控,但不执行操作。
此外,如果您在**监控**选项卡上查看 VPC、子网或池的利用率图表,则可以选择为资源利用率创建警报的选项。然后,您将被重定向到 CloudWatch 控制台,其中预先填充了资源和指标详细信息。您可以在此配置警报阈值,例如在利用率达到特定百分比时收到通知。
# IPAM 指标
IPAM 会将有关您的 IPAM、池和范围的数据发布到 Amazon CloudWatch。您可以使用这些指标为 IPAM 池创建告警,以通知您地址池是否即将耗尽,或者资源是否未能遵守池上设置的分配规则。使用 Amazon CloudWatch 创建告警和设置通知不在本节的范围内。有关更多信息,请参阅 *Amazon CloudWatch 用户指南*中的[使用 Amazon CloudWatch 警报](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)。
下面列出了 IPAM 发送到 Amazon CloudWatch 的指标和维度。
## IPAM 指标
`AWS/IPAM` 命名空间包括以下 IPAM 指标。
| 指标名称 | 描述 |
| --- | --- |
| TotalActiveIpCount | 总活跃 IP 数是如果您从免费套餐切换到高级套餐则您的 IPAM 中需要向您收费的活跃 IP 地址数量。活动 IP 地址定义为与附加到 EC2 实例等资源的弹性网络接口(ENI)关联的 IP 地址或前缀。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/vpc/latest/ipam/cloudwatch-ipam-ip-address-usage.html) |
## IPAM 池指标
`AWS/IPAM` 命名空间包括 IPAM 的以下池指标。
| 指标名称 | 描述 |
| --- | --- |
| CompliantResourceCidrs | 符合 IPAM 池分配规则的托管式资源 CIDR 数量。有关分配规则的更多信息,请参阅 [创建顶级 IPv4 池](create-top-ipam.md)。 |
| NoncompliantResourceCidrs | 不符合 IPAM 池分配规则的托管式资源 CIDR 数量。有关分配规则的更多信息,请参阅 [创建顶级 IPv4 池](create-top-ipam.md)。 |
| PercentAllocated | 已分配给其他池的池 IP 空间的百分比。 |
| PercentAssigned | 已分配给资源(包括手动分配)的池 IP 空间的百分比。 |
| PercentAvailable | 尚未分配给其他池或资源的池 IP 空间的百分比。 |
## IPAM 范围指标
`AWS/IPAM` 命名空间包括 IPAM 的以下范围指标。
| 指标名称 | 描述 |
| --- | --- |
| CompliantResourceCidrs | 符合范围内 IPAM 池分配规则的资源 CIDR 数量。 |
| ManagedResourceCidrs | 从范围内的 IPAM 池分配的可管理资源(VPC 或公有 IPv4 池)的资源 CIDR 数量。 |
| NoncompliantResourceCidrs | 不符合范围内 IPAM 池分配规则的资源 CIDR 数量。 |
| OverlappingResourceCidrs | 范围重叠的资源 CIDR 的数量。 |
| UnmanagedResourceCidrs | 范围内当前与可管理资源关联但未由 IPAM 管理的资源 CIDR 的数量。 |
## IPAM 公有 IP 指标
`AWS/IPAM` 命名空间包括 IPAM 的以下公有 IP 指标。
| 指标名称 | 描述 |
| --- | --- |
| AmazonOwnedContigIPs | 预调配给 IPAM 拥有的 Amazon 提供的连续公有 IPv4 池的 CIDR 中的 IP 地址数量。 |
| AllocatedAmazonOwnedContigIPs | 从 Amazon 提供的连续公有 IPv4 池 CIDR 块中分配的 IP 地址数量。 |
| UnallocatedAmazonOwnedContigIPs | IPAM 拥有的 Amazon 提供的连续公有 IPv4 池的 CIDR 块中的 IP 地址数量。 |
| AssociatedAmazonOwnedContigIPs | 从 Amazon 提供的连续公有 IPv4 池 CIDR 块中分配的与弹性网络接口相关的弹性 IP 地址数量。 |
| UnassociatedAmazonOwnedContigIPs | 从 Amazon 提供的连续公有 IPv4 池 CIDR 块中分配的与弹性网络接口不相关的弹性 IP 地址数量。 |
## IPAM 前缀列表解析器指标
建议您针对故障指标设置 CloudWatch 警报,因为您可能需要重新评估和调整 [IPAM 前缀列表解析器规则](automate-prefix-list-updates.md),以保持在版本和前缀列表大小的限制范围内。
| 指标名称 | 描述 |
| --- | --- |
| IpamPrefixListResolverSyncFailure | 前缀列表解析器与目标同步失败。如果超过“每个前缀列表解析器版本的 CIDR 条目数”等配额、找不到目标前缀列表或目标托管前缀列表上的同步被禁用,则可能会发生这种情况。 |
| IpamPrefixListResolverSyncSuccess | 前缀列表解析器已成功与目标同步。 |
| IpamPrefixListResolverVersionCreationSuccess | 版本创建成功。 |
| IpamPrefixListResolverVersionCreationFailure | 版本创建失败。如果已达到“每个前缀列表解析器版本的 CIDR 条目数”配额,则可能会发生这种情况。 |
## 指标维度
要筛选 IPAM 指标,请使用以下维度。
| 维度 | 描述 |
| --- | --- |
| AddressFamily | 资源 CIDR(IPv4 或 IPv6)的 IP 地址系列。 |
| Locale | IPAM 池可用于分配的 AWS 区域。 |
| PoolID | 池的 ID。 |
| ScopeID | 范围的 ID。 |
有关使用 Amazon CloudWatch 监控 VPC 的信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的 [VPC 的 CloudWatch 指标](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-cloudwatch.html)**。
# IPAM 资源利用率指标
IPAM 会将 IPAM 监控的资源的 IP 利用率指标发布到 Amazon CloudWatch。这些资源包括:
+ VPC(IPv4 和 IPv6)
+ 子网 (IPv4)
+ 公有 IPv4 池
IPAM 按 IP 地址系列(IPv4 或 IPv6)分别计算和发布 IP 利用率指标。资源的 IP 利用率是针对同一地址系列的所有 CIDR 进行计算的。
对于每种资源类型和地址系列组合,IPAM 使用三条规则来确定要发布的指标:
+ 多达 50 个具有最高 IP 利用率的资源。您可以使用此信息配置警报,以便在 IP 利用率阈值被突破时发出警报。
+ 多达 50 个具有最低 IP 利用率的资源。您可以使用这些信息来决定是保留还是删除未充分利用的资源。
+ 多达 50 个其他资源。您可以使用此信息来一致地跟踪可能未在高利用率组或低利用率组中捕获的资源的 IP 利用率。
+ 最多 50 个包含从 IPAM 池分配的 CIDR 的 VPC(按 CIDR 块的总大小划分优先级)。
+ 最多 50 个其 VPC 包含从 IPAM 池分配的 CIDR 的子网(按 CIDR 块的总大小划分优先级)。
+ 最多 50 个包含从 IPAM 池分配的 CIDR 的公有 IPv4 池(按 CIDR 块的总大小划分优先级)。
在应用每个规则之后,指标会聚合并在每种资源类型的相同指标名称下发布。有关指标名称及其维度的详细信息,请参见下文。
**重要**
每个资源类型、地址系列和规则组合都有一个唯一限制。每个限制的默认值为 50。您可以通过联系 AWS 支持中心来调整这些限制,如《*AWS 一般参考*》中的 [AWS 服务配额](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)所述。
**Example 示例**
假设您的 IPAM 监控 2,500 个 VPN 和 10,000 个子网,所有这些都具有 IPv4 和 IPv6 CIDR。IPAM 发布以下 IP 利用率指标:
+ 最多 150 个 VPC IPv4 IP 利用率,包括:
+ IPv4 IP 利用率最高的 50 个 VPC
+ IPv4 利用率最低的 50 个 VPC
+ 最多 50 个包含从 IPAM 池分配的 IPv4 CIDR 的 VPC
+ 最多 150 个 VPC IPv6 IP 利用率,包括:
+ IPv6 IP 利用率最高的 50 个 VPC
+ IPv6 利用率最低的 50 个 VPC
+ 最多 50 个包含从 IPAM 池分配的 IPv6 CIDR 的 VPC
+ 最多 150 个子网 IPv4 利用率指标,包括:
+ IPv4 IP 利用率最高的 50 个子网
+ IPv4 IP 利用率最低的 50 个子网
+ 最多 50 个其 VPC 包含从 IPAM 池分配的 IPv4 CIDR 的子网
## VPC 指标
下面列出了 VPC 指标名称和描述。
| 指标名称 | 描述 |
| --- | --- |
| VpcIPUsage | VPC 子网中 CIDR 涵盖的 IP 总数除以 VPC 中 CIDR 涵盖的 IP 总数。这是针对相同 IPAM 范围内的所有 VPC CIDR 计算的,并分别针对 IPv4 和 IPv6 CIDR 计算。 |
下面列出了可用于筛选 VPC 指标的维度。
| 维度 | 描述 |
| --- | --- |
| AddressFamily | 资源 CIDR(IPv4 或 IPv6)的 IP 地址系列。 |
| OwnerID | VPC 所有者的 ID。 |
| Region | VPC 所在的 AWS 区域。 |
| ScopeID | VPC 所属的 IPAM 范围的 ID。 |
| VpcID | VPC 的 ID。 |
## 子网指标
下面列出了子网指标名称和描述。
| 指标名称 | 描述 |
| --- | --- |
| SubnetIPUsage | 活跃 IP 的数量除以子网 IPv4 CIDR 中的 IP 总数。 |
下面列出了可用于筛选子网指标的维度。
| 维度 | 描述 |
| --- | --- |
| AddressFamily | 资源 CIDR(仅限 IPv4)的 IP 地址系列。 |
| OwnerID | 子网所有者的 ID。 |
| Region | 子网所在的 AWS 区域。 |
| ScopeID | 子网所属的 IPAM 范围的 ID。 |
| SubnetID | 子网的 ID。 |
| VpcID | 子网所属的 VPC 的 ID。 |
## 公有 IPv4 池指标
下面列出了公有 IPv4 池指标名称和描述。
| 指标名称 | 描述 |
| --- | --- |
| PublicIPv4PoolIPUsage | 来自公有 IPv4 池的 EIP 数量除以池中的 IP 总数。 |
下面列出了可用于筛选公有 IPv4 池指标的维度。
| 维度 | 描述 |
| --- | --- |
| OwnerID | 公有 IPv4 池所有者的 ID。 |
| PublicIPv4PoolID | 公有 IPv4 池的 ID。 |
| Region | 公有 IPv4 池所在的 AWS 区域。 |
| ScopeID | 公有 IPv4 池所属的 IPAM 范围的 ID。 |
## 公有 IP 洞察指标
下面列出了[公共 IP 洞察功能](view-public-ip-insights.md)指标的名称和描述。
| 指标名称 | 描述 |
| --- | --- |
| AmazonOwnedElasticIPs | 您已为您的 AWS 账户中的资源预配置或分配的Amazon 拥有的弹性 IP 地址的数量。 |
| AssociatedAmazonOwnedElasticIPs | 您已将您的 AWS 账户中的资源与之关联的 Amazon 拥有的弹性 IP 地址的数量。 |
| AssociatedBringYourOwnIPs | 您使用自带 IP 地址(BYOIP)带到 AWS,并与您的 AWS 账户中的资源关联的公有 IPv4 地址的数量。 |
| BringYourOwnIPs | 您使用自带 IP 地址(BYOIP)带到 AWS 的公有 IPv4 地址的数量。 |
| EC2PublicIPs | 当实例启动到默认子网或配置为自动分配公有 IPv4 地址的子网时,分配给 EC2 实例的公有 IPv4 地址的数量。 |
| ServiceManagedBringYourOwnIPs | 您使用 AWS 服务预配置和管理的自带 IP 地址(BYOIP)带到 AWS 的公有 IPv4 地址的数量。 |
| ServiceManagedIPs | 由 AWS 服务预配置和管理的公有 IPv4 地址的数量。 |
| UnassociatedAmazonOwnedElasticIPs | 您尚未将您的 AWS 账户中的资源与之关联的 Amazon 拥有的弹性 IP 地址的数量。 |
| UnassociatedBringYourOwnIPs | 您使用自带 IP 地址(BYOIP)带到 AWS,但尚未将其与您的 AWS 账户中的任何资源关联的公有 IPv4 地址的数量。 |
下面列出了可用于筛选公共 IP 洞察指标的维度。
| 维度 | 描述 |
| --- | --- |
| IpamId | IP 地址所属的 IPAM 的 ID。 |
| Region | 公有 IP 地址所在的 AWS 区域。 |
## 创建警报的快速提示
要为 IP 地址利用率高的资源快速创建 Amazon CloudWatch 警报,请打开 CloudWatch 控制台,选择**指标**、**所有指标**,选择**查询**选项卡,选择**命名空间** `AWS/IPAM > VPC IP Usage Metrics`、`AWS/IPAM > Subnet IP Usage Metrics` 或 `AWS/IPAM > Public IPv4 Pool IP Usage Metrics`,选择**指标名称** `MAX(VpcIPUsage)`、`MAX(SubnetIPUsage)` 或 `MAX(PublicIPv4PoolIPUsage)`,然后选择**创建告警**。有关更多信息,请参阅《*Amazon CloudWatch 用户指南*》中的 [为 Metrics Insights 查询创建告警](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-metrics-insights-alarms.html)。
# 查看 IP 地址历史记录
按照本部分中的步骤查看 IPAM 范围内 IP 地址或 CIDR 的历史记录。您可以使用历史数据来分析和审核网络安全和路由策略。IPAM 会自动将 IP 地址监控数据保留长达三年。
您可以使用 IP 历史数据搜索以下类型资源的 IP 地址或 CIDR 的状态更改:
+ VPC
+ VPC 子网
+ 弹性 IP 地址
+ EC2 实例
+ 连接到实例的 EC2 网络接口
**重要**
尽管 IPAM 不会监控 Amazon EC2 实例或挂载到实例的 EC2 网络接口,但您可以使用搜索 IP 历史记录功能,来搜索 EC2 实例和网络接口 CIDR 上的历史数据。
**注意**
如果将资源从一个 IPAM 范围移动到另一个范围,之前的历史记录将结束,并会在新范围下创建新的历史记录。有关更多信息,请参阅 [在范围之间移动 VPC CIDR](move-resource-ipam.md)。
如果您删除资源或将资源转移到不受 IPAM 监控的 AWS 账户,则与该资源相关的任何新历史记录都将不可见,IPAM 也不会监控该资源。但该资源的 IP 地址仍可搜索。
如果您 [将 IPAM 与组织外部的账户集成](enable-integ-ipam-outside-org.md),IPAM 所有者可以查看这些账户拥有的所有资源 CIDR 的 IP 地址历史记录。
------
#### [ AWS Management Console ]
**要查看 CIDR 的历史记录**
1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。
1. 在导航窗格中,选择**搜索 IP 历史记录**。
1. 输入 IPv4 或 IPv6 IP 地址或 CIDR。它必须是资源的特定 CIDR。
1. 选择 IPAM 范围 ID。
1. 选择日期/时间范围。
1. 如果要按 VPC 筛选结果,请输入 VPC ID。如果 CIDR 出现在多个 VPC 中,请使用此选项。
1. 选择**搜索**。
------
#### [ Command line ]
本节中的命令链接到《AWS CLI 命令参考》**。本文档提供了运行命令时可以使用的选项的详细说明。
+ 查看 CIDR 的历史记录:[get-ipam-address-history](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-address-history.html)
要查看如何使用 AWS CLI 分析和审计 IP 地址使用情况的示例,请参阅[教程:使用 AWS CLI 查看 IP 地址历史记录](https://docs.aws.amazon.com/vpc/latest/ipam/tutorials-historical-insights.html)。
------
搜索结果分为以下列:
+ **Sampled end time**(结束时间采样):IPAM 范围内资源到 CIDR 关联的结束时间采样。在定期快照中获取更改,因此结束时间可能发生在此特定时间之前。
+ **Sampled start time**(开始时间采样):IPAM 范围内资源到 CIDR 关联的开始时间采样。在定期快照中获取更改,因此开始时间可能发生在此特定时间之前。
**Example**
为了帮助解释您在开始时间采样和结束时间采样下看到的时间,我们来看一个示例使用案例:
下午 2:00,创建了一个具有 CIDR 10.0.0.0/16 的 VPC。下午 3:00,创建了一个具有 CIDR 10.0.0.0/8 的 IPAM 和 IPAM 池,然后选择自动导入选项以允许 IPAM 发现和导入属于 10.0.0.0/8 IP 地址范围内的任何 CIDR。由于 IPAM 会在定期快照中获取对 CIDR 的更改,因此到下午 3:05 分才会发现现有的 VPC CIDR。当您使用搜索 IP 历史记录功能搜索此 VPC 的 ID 时,VPC 的采样开始时间为下午 3:05,即 IPAM 发现它的时间,而不是下午 2:00(创建 VPC 的时间)。现在,假设您决定在下午 5:00 删除 VPC。删除 VPC 后,将分配给 VPC 的 CIDR 10.0.0.0/16 回收回 IPAM 池。IPAM 在下午 5:05 拍摄定期快照并获取更改。当您在搜索 IP 历史记录功能中搜索此 VPC 的 ID 时,VPC CIDR 的采样结束时间将为下午 5:05,而不是下午 5:00(删除 VPC 的时间)。
+ **Resource ID**(资源 ID):资源与 CIDR 关联时生成的 ID。
+ **Name**(名称):资源的名称(如果适用)。
+ **Compliance status**(合规性状态):CIDR 的合规性状态。
+ **Compliant**(合规):托管资源符合 IPAM 池的分配规则。
+ **Noncompliant**(不合规):资源 CIDR 不符合 IPAM 池的一个或多个分配规则。
**Example**
如果 VPC 的 CIDR 不符合 IPAM 池的网络掩码长度参数,或者资源与 IPAM 池不在同一个 AWS 区域中,它将被标记为不合规。
+ **Unmanaged**(非托管):该资源不具有从 IPAM 池中分配的 CIDR,IPAM 正在监控该资源是否可能存在符合池分配规则的 CIDR。对 CIDR 进行重叠监控。
+ **Ignored**(已忽略):已选择该托管资源免于监控。不会评估忽略的资源是否存在重叠或分配规则合规性。选择忽略资源时,从 IPAM 池中分配给它的任何空间都将返回到池中,并且不会通过自动导入再次导入该资源(如果在池中设置了自动导入分配规则)。
+ **-**:此资源不是 IPAM 可以监控或管理的资源类型之一。
+ **Overlap status**(重叠状态):CIDR 的重叠状态。
+ **Nonoverlapping**(不重叠):资源 CIDR 与同一范围内的另一个 CIDR 不重叠。
+ **Overlapping**(重叠):资源 CIDR 与同一范围内的另一个 CIDR 重叠。请注意,如果资源 CIDR 重叠,则可能与手动分配重叠。
+ **Ignored**(已忽略):已选择该托管资源免于监控。IPAM 不会评估被忽略资源的重叠或分配规则合规性。选择忽略资源时,从 IPAM 池中分配给它的任何空间都将返回到池中,并且不会通过自动导入再次导入该资源(如果在池中设置了自动导入分配规则)。
+ **-**:此资源不是 IPAM 可以监控或管理的资源类型之一。
+ **资源类型**
+ **vpc**:CIDR 与 VPC 关联。
+ **subnet**(子网):CIDR 与 VPC 子网相关联。
+ **eip**:CIDR 与弹性 IP 地址相关联。
+ **instance**(实例):CIDR 与 EC2 实例相关联。
+ **network-interface**:CIDR 与网络接口相关联。
+ **VPC ID**:此资源所属的 VPC 的 ID(如果适用)。
+ **Region**(区域):此资源的 AWS 区域。
+ **Owner ID**(拥有者 ID):创建此资源的用户的 AWS 账户 ID(如果适用)。
# 查看公有 IP 见解
您可以使用**公共 IP 洞察功能**来查看以下内容:
+ 如果您的 IPAM 已[与 AWS 组织中的多个账户集成](enable-integ-ipam.md),则可以查看整个 AWS 组织中所有 AWS 区域的服务使用的所有公有 IPv4 地址。
+ 如果您的 IPAM 已[与单个账户集成](enable-single-user-ipam.md),则可以查看你的账户所有 AWS 区域的服务使用的所有公有 IPv4 地址。
公有 IPv4 地址是指可从互联网路由的 IPv4 地址。公有 IPv4 地址是通过 IPv4 从互联网直接访问资源所必需的。
**注意**
AWS 将对所有公有 IPv4 地址收费,包括与运行的实例相关联的公有 IPv4 地址和弹性 IP 地址。有关更多信息,请参阅 [Amazon VPC 定价页面](https://aws.amazon.com/vpc/pricing/)中的**公有 IPv4 地址定价**选项卡。
您可以查看对以下公有 IPv4 地址类型的洞察:
+ **弹性 IP 地址 (EIP)**:Amazon 提供的静态公有 IPv4 地址,您可以将其与 EC2 实例、弹性网络接口或 AWS 资源相关联。
+ **EC2 公有 IPv4 地址**:Amazon 分配给 EC2 实例的公有 IPv4 地址(如果 EC2 实例在默认子网中启动,或者该实例在已配置为自动分配公有 IPv4 地址的子网中启动)。
+ **BYOIPv4 地址**:您使用[自带 IP 地址 (BYOIP)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html)带到 AWS 的 IPv4 地址范围内的公有 IPv4 地址。
+ **服务管理的 IPv4 地址**:在 AWS 资源上自动预配置并由 AWS 服务管理的公有 IPv4 地址。例如,Amazon ECS、Amazon RDS 或 Amazon WorkSpaces 上的公有 IPv4 地址。
公共 IP 洞察功能会向您显示您的账户中跨区域使用的服务的所有公有 IPv4 地址。您可以使用这些见解来确定公有 IPv4 地址的使用情况,并查看释放未使用的弹性 IP 地址的建议。
+ **公有 IP 类型**:按类型组织的公有 IPv4 地址的数量。
+ **Amazon 拥有的 EIP**:您已为您的 AWS 账户中的资源预配置或分配的弹性 IP 地址。
+ **EC2 公有地址**:当实例启动到默认子网或配置为自动分配公有 IPv4 地址的子网时,分配给 EC2 实例的公有 IPv4 地址。
+ **BYOIP**:您使用自带 IP 地址 (BYOIP) 带到 AWS 的公有 IPv4 地址。
+ **服务托管 IP**:由 AWS 服务预配置和管理的公有 IPv4 地址。
+ **服务托管 BYOIP**:带给 AWS 并由 AWS 服务管理的公有 IPv4 地址。
+ **Amazon 拥有的连续 EIP**:从 Amazon 提供的连续公有 IPv4 IPAM 池中分配的弹性 IP 地址。
+ **EIP 使用情况**:按使用方式组织的弹性 IP 地址的数量。
+ **Amazon 拥有的关联 EIP**:您在 AWS 账户中预配置且已将其与 EC2 实例、网络接口或 AWS 资源关联的弹性 IP 地址。
+ **关联的 BYOIP**:您使用 BYOIP 带到 AWS 且已将其与网络接口关联的公有 IPv4 地址。
+ **Amazon 拥有的未关联 EIP**:您在 AWS 帐户中预配置但尚未将其与网络接口关联的弹性 IP 地址。
+ **未关联的 BYOIP**:您使用 BYOIP 带到 AWS 但未将其与网络接口关联的公有 IPv4 地址。
+ **Amazon 拥有的关联的连续 EIP**:从 Amazon 提供的连续公有 IPv4 IPAM 池中分配的并与资源关联的弹性 IP 地址。
+ **Amazon 拥有的未关联的连续 EIP**:从 Amazon 提供的连续公有 IPv4 IPAM 池中分配的并未与资源关联的弹性 IP 地址。
+ **Amazon 拥有的 IPv4 连续 IP 使用情况**:该表显示了一段时间内连续的公有 IPv4 地址使用情况以及 Amazon 拥有的相关的 IPv4 IPAM 池。
+ **公有 IP 地址**:公有 IPv4 地址及其属性的表。
+ **IP 地址**:公有 IPv4 地址。
+ **关联**:该地址是否与 EC2 实例、网络接口或 AWS 资源相关联。
+ **关联**:公有 IPv4 地址与 EC2 实例、网络接口或 AWS 资源相关联。
+ **未关联**:公有 IPv4 地址未与任何资源相关联且在 AWS 账户中处于空闲状态。
+ **地址类型**:IP 地址类型。
+ **Amazon 拥有的 EIP**:公有 IPv4 地址是弹性 IP 地址。
+ **BYOIP**:公有 IPv4 地址已使用 BYOIP 带到 AWS。
+ **EC2 公有 IP**:公有 IPv4 地址已自动分配给 EC2 实例。
+ **服务管理 BYOIP**:公有 IPv4 地址已使用自带 IP(BYOIP)带入 AWS。
+ **服务托管 IP**:公有 IPv4 地址已预配置并由 AWS 服务管理。
+ **服务**:与 IP 地址关联的服务。
+ **AGA**:AWS Global Accelerator。如果使用[自定义路由加速器](https://docs.aws.amazon.com/global-accelerator/latest/dg/work-with-custom-routing-accelerators.html),则不会列出其公有 IP。要查看这些公有 IP,请参阅[查看您的自定义路由加速器](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-custom-routing-accelerators.html#about-custom-routing-accelerators.viewing)。
+ **数据库迁移服务**:AWS Database Migration Service (DMS) 复制实例。
+ **Redshift**:Amazon Redshift 集群。
+ **RDS**:Amazon Relational Database Service (RDS) 实例。
+ **负载均衡器 (EC2)**:应用程序负载均衡器或网络负载均衡器。
+ **NAT 网关 (VPC)**:Amazon VPC 公有 NAT 网关。
+ **Site-to-Site VPN**:AWS Site-to-Site VPN 虚拟私有网关。
+ **其他**:其他当前无法识别的服务。
+ **名称 (EIP ID)**:如果此公有 IPv4 地址是弹性 IP 地址分配,则这是 EIP 分配的名称和 ID。
+ **网络接口 ID**:如果此公有 IPv4 地址与网络接口关联,则这是网络接口的 ID。
+ **实例 ID**:如果此公有 IPv4 地址与 EC2 实例关联,则这是实例 ID。
+ **安全组**:如果此公有 IPv4 地址与 EC2 实例关联,则这是分配给实例的安全组的名称和 ID。
+ **公有 IPv4 池**:如果这是来自 Amazon 拥有和管理的 IP 地址池的弹性 IP 地址,则值为“-”。如果这是您拥有并带给 Amazon(使用 BYOIP)的 IP 地址范围内的弹性 IP 地址,则值为公有 IPv4 池 ID。
+ **网络边界组**:如果广告了 IP 地址,则这是广告 IP 地址的 AWS 区域。
+ **所有者 ID:**资源所有者的 AWS 账号。
+ **采样时间**:上次成功发现资源的时间。
+ **资源发现 ID**:发现此公有 IPv4 地址的资源发现的 ID。
+ **服务资源**:资源 ARN 或 ID。
如果向您的账户分配了弹性 IP 地址,但该地址未与网络接口关联,则会出现一条横幅,告知您的账户中有未关联的 EIP,应将其释放。
**重要**
公共 IP 洞察功能最近已更新。如果您看到与无权调用 getiPamDiscoveredPublicAddresses 相关的错误,则需要更新与您共享的资源发现所附加的托管权限。联系创建资源发现的人员,要求他们将托管权限 `AWSRAMPermissionIpamResourceDiscovery` 更新为默认版本。有关更多信息,请参阅《AWS RAM 用户指南》**中的[更新资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)。
------
#### [ AWS Management Console ]
**查看公有 IP 地址洞察**
1. 在 [https://console.aws.amazon.com/ipam/](https://console.aws.amazon.com/ipam/) 中打开 IPAM 控制台。
1. 在导航窗格中,选择**公有 IP 地址见解**。
1. 如需查看公有 IP 地址的详细信息,请单击 IP 地址来选择该地址。
1. 查看 IP 地址相关的以下信息:
+ **详细信息**:与“公有 IP 见解”主窗格的列中可见的信息相同,例如**地址类型**和**服务**。
+ **入站安全组规则**:如果此 IP 地址与 EC2 实例关联,则这些是控制实例入站流量的安全组规则。
+ **出站安全组规则**:如果此 IP 地址与 EC2 实例关联,则这些是控制来自实例的出站流量的安全组规则。
+ **标签**:充当元数据的键和值对,用于组织 AWS 资源。
------
#### [ Command line ]
使用以下命令获取 IPAM 发现的公有 IP 地址:[get-ipam-discovered-public-addresses](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-ipam-discovered-public-addresses.html)
------