View a markdown version of this page

使用 IPAM 政策定義公有 IPv4 配置策略 - Amazon Virtual Private Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 IPAM 政策定義公有 IPv4 配置策略

IPAM 政策是一組規則,定義如何將 IPAM 集區的公有 IPv4 地址分配給 AWS 資源。每個規則會將 AWS 服務映射至服務將用於取得 IP 地址的 IPAM 集區。單一政策可以有多個規則,並套用到多個 AWS 區域。如果 IPAM 集區的位址用盡,則服務會回復為使用 Amazon 提供的 IP 位址。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。如果您使用自己的 IP (BYOIP),這有助於降低 AWS 公有 IPv4 成本。

何時使用 IPAM 政策

使用 IPAM 政策來:

  • 使用 BYOIP 地址降低公有 IPv4 成本

  • 集中控制 AWS 資源使用的 IP 集區

  • 確保整個組織的 IP 配置一致

運作方式

當您在強制執行 IPAM 政策的帳戶中建立需要公有 IP 地址 AWS 的資源時:

  • IPAM 會依序檢查您的政策規則。

  • 如果規則符合資源類型,IPAM 會從指定的集區配置 IP。

  • 如果集區為空且啟用溢位,Amazon 會提供 IP 地址。

  • 如果沒有相符的規則,則會套用預設行為。

支援的 服務和資源

您可以建立 IPAM 政策,以定義如何將 IPAM 集區的公有 IPv4 地址配置給下列 AWS 服務和資源:

  • 彈性 IP 地址 EIPs)

  • Application Load Balancer ALBs)

  • Amazon Relational Database Service (RDS)

  • 區域 NAT 閘道

重要

如果您在建立 AWS 資源時選擇特定的 IPAM 集區或 EIP 配置 ID, 會覆寫 IPAM 政策。

先決條件

術語

IPAM 政策

IPAM 政策是一組規則,定義如何將 IPAM 集區的公有 IPv4 地址分配給 AWS 資源。每個規則會將 AWS 服務映射至服務將用於取得 IP 地址的 IPAM 集區。單一政策可以有多個規則,並套用到多個 AWS 區域。如果 IPAM 集區的位址用盡,則服務會回復為使用 Amazon 提供的 IP 位址。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。政策可以套用到 AWS Organizations 內的個別 AWS 帳戶或實體。

配置規則

IPAM 政策中的選用組態,可將 AWS 資源類型映射至特定 IPAM 集區。若未定義任何規則,資源類型會預設為使用 Amazon 提供的 IP 位址。

Target

組織中可套用 IPAM 政策 AWS 的個別 AWS 帳戶或實體。

步驟 1:建立 IPAM 政策

使用 AWS 主控台:

請依照下列步驟,使用 AWS 主控台建立 IPAM 政策:

  1. 請在 https://console.aws.amazon.com/ipam/ 開啟 IPAM 主控台。

  2. 在左側導覽窗格中選擇 Policies (政策)。

  3. 選擇建立政策

  4. 輸入政策的名稱 (選用)。

  5. 選取要與此政策建立關聯的 IPAM

  6. (選用) 新增標籤。

  7. 選擇建立政策

使用 AWS CLI:

使用 create-ipam-policy 命令。

步驟 2:新增配置規則

建立政策後,您需要新增配置規則,以定義 IP 地址的配置方式:

使用 AWS 主控台:

請依照下列步驟,使用 AWS 主控台新增配置規則:

  1. 在左側導覽窗格中選擇 Policies (政策)。

  2. 選擇您在上一個步驟中建立的政策。

  3. 在您的政策詳細資訊頁面中,選擇配置規則索引標籤。

  4. 選擇建立配置規則

  5. 設定 服務組態

    • 地區設定:選擇您希望套用此政策 AWS 的區域 (us-east-1) 或本地區域。

    • 資源類型:選取此政策 AWS 的服務或資源類型 (彈性 IP 地址、RDS 資料庫執行個體、Application Load Balancer 或區域可用性模式中的 NAT 閘道)。

  6. 設定規則組態

    • IPAM 集區:選取將提供 IP 地址的 IPAM 集區。

    • 檢閱集區詳細資訊 (地區、公有 IP 來源、可用空間和可用 CIDR 範圍)。

  7. (選用) 選擇新增規則以建立其他規則。

  8. 選擇建立配置規則

使用 AWS CLI:

使用 modify-ipam-policy-allocation-rules 命令。

步驟 3:啟用政策

指定哪些帳戶應該使用此政策。

使用 AWS 主控台:

請依照下列步驟,使用 AWS 主控台啟用政策:

  1. 在您的政策詳細資訊頁面中,選擇目標索引標籤。

  2. 選擇管理政策目標

  3. 執行以下任意一項:

    • 對於單一帳戶用量 (IPAM 未與 AWS Organizations 整合),請為您的帳戶選擇啟用

    • 對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時):

      • 組織結構區段中,選取您要套用此政策的帳戶或組織單位。

      • 勾選每個目標的已啟用核取方塊。

      • 選擇 Save Changes (儲存變更)。

      • 重要:啟用此政策將取代所選帳戶或組織單位上的任何作用中 IPAM 政策。

使用 AWS CLI:

根據您的設定使用 enable-ipam-policy 命令:

對於單一帳戶使用 (IPAM 未與 AWS Organizations 整合):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678

對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時),請將政策設定為以 AWS Organization 中的帳戶為目標:

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id 123456789012

對於與 AWS Organizations 整合的 IPAM (當您是委派管理員時),請將政策設定為以組織單位為目標:

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id ou-123
重要

啟用此政策將取代所選取帳戶或組織單位上的任何現行 IPAM 政策。

步驟 4:測試您的政策

為您在其中一個目標帳戶中設定的類型 (例如 EIP) 建立新的資源。資源會自動使用來自 IPAM 集區的 IP 地址。

重要

如果您在建立 AWS 資源時選擇特定的 IPAM 集區或 EIP 配置 ID, 會覆寫 IPAM 政策。

步驟 5:監控用量

在主控台中檢查您的 IPAM 集區,以查看要配置給資源的 IP 地址。