Definieren Sie die Strategie für die öffentliche IPv4 Zuweisung mit IPAM-Richtlinien - Amazon Virtual Private Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Definieren Sie die Strategie für die öffentliche IPv4 Zuweisung mit IPAM-Richtlinien

Eine IPAM-Richtlinie ist ein Regelwerk, das definiert, wie öffentliche IPv4 Adressen aus IPAM-Pools Ressourcen zugewiesen werden. AWS Jede Regel ordnet einen AWS Dienst IPAM-Pools zu, die der Dienst zum Abrufen von IP-Adressen verwendet. Eine einzelne Richtlinie kann mehrere Regeln haben und auf mehrere AWS Regionen angewendet werden. Wenn dem IPAM-Pool die Adressen ausgehen, greifen die Dienste auf von Amazon bereitgestellte IP-Adressen zurück. Eine Richtlinie kann auf ein einzelnes AWS Konto oder eine Entität innerhalb von AWS Organizations angewendet werden. Wenn Sie Ihr eigenes geistiges Eigentum (BYOIP) mitbringen, hilft dies, Ihre AWS öffentlichen IPv4 Kosten zu senken.

Wann sollten IPAM-Richtlinien verwendet werden

Verwenden Sie IPAM-Richtlinien, um:

  • Senken Sie die öffentlichen IPv4 Kosten durch die Verwendung von BYO-IP-Adressen

  • Steuern Sie zentral, welche IP-Pools Ihre Ressourcen verwenden AWS

  • Sorgen Sie für eine konsistente IP-Zuweisung in Ihrem gesamten Unternehmen

Funktionsweise

Wenn Sie eine AWS Ressource erstellen, für die eine öffentliche IP-Adresse in einem Konto erforderlich ist, für das IPAM-Richtlinien gelten, gilt Folgendes:

  • IPAM überprüft Ihre Richtlinienregeln der Reihe nach.

  • Wenn eine Regel dem Ressourcentyp entspricht, weist IPAM eine IP aus dem angegebenen Pool zu.

  • Wenn der Pool leer ist und Overflow aktiviert ist, stellt Amazon eine IP-Adresse bereit.

  • Wenn keine Regeln übereinstimmen, gilt das Standardverhalten.

Unterstützte Dienste und Ressourcen

Sie können IPAM-Richtlinien erstellen, um zu definieren, wie öffentliche IPv4 Adressen aus IPAM-Pools den folgenden AWS Diensten und Ressourcen zugewiesen werden:

  • Elastische IP-Adressen () EIPs

  • Regionale NAT-Gateways

Wichtig

Denn EIPs wenn Sie bei der Zuweisung einer öffentlichen IPv4 Adresse einen bestimmten IPAM-Pool wählen, hat dies Vorrang vor der IPAM-Richtlinie.

Voraussetzungen

Terminologie

IPAM-Richtlinie

Eine IPAM-Richtlinie besteht aus einer Reihe von Regeln, die definieren, wie öffentliche IPv4 Adressen aus IPAM-Pools Ressourcen zugewiesen werden. AWS Jede Regel ordnet einen AWS Dienst IPAM-Pools zu, die der Dienst zum Abrufen von IP-Adressen verwendet. Eine einzelne Richtlinie kann mehrere Regeln haben und auf mehrere AWS Regionen angewendet werden. Wenn dem IPAM-Pool die Adressen ausgehen, greifen die Dienste auf von Amazon bereitgestellte IP-Adressen zurück. Eine Richtlinie kann auf ein einzelnes AWS Konto oder eine Entität innerhalb von AWS Organizations angewendet werden. Eine Richtlinie kann auf ein einzelnes AWS Konto oder eine Entität innerhalb von AWS Organizations angewendet werden.

Regeln für die Zuweisung

Optionale Konfigurationen innerhalb einer IPAM-Richtlinie, die AWS Ressourcentypen bestimmten IPAM-Pools zuordnen. Wenn keine Regeln definiert sind, verwenden die Ressourcentypen standardmäßig von Amazon bereitgestellte IP-Adressen.

Target

Ein einzelnes AWS Konto oder eine Entität innerhalb einer AWS Organisation, auf die eine IPAM-Richtlinie angewendet werden kann.

Schritt 1: Erstellen Sie eine IPAM-Richtlinie

Mithilfe der AWS Konsole:

Gehen Sie wie folgt vor, um mithilfe der AWS Konsole eine IPAM-Richtlinie zu erstellen:

  1. Öffnen Sie die IPAM-Konsole unter. https://console.aws.amazon.com/ipam/

  2. Wählen Sie im linken Navigationsbereich Richtlinien aus.

  3. Wählen Sie Richtlinie erstellen aus.

  4. Geben Sie einen Namen für Ihre Richtlinie ein (optional).

  5. Wählen Sie das IPAM aus, das dieser Richtlinie zugeordnet werden soll.

  6. (Optional) Fügen Sie Tags hinzu.

  7. Wählen Sie Richtlinie erstellen aus.

Verwenden der AWS CLI:

Verwenden Sie den Befehl create-ipam-policy.

Schritt 2: Zuweisungsregeln hinzufügen

Nachdem Sie die Richtlinie erstellt haben, müssen Sie Zuweisungsregeln hinzufügen, die definieren, wie IP-Adressen zugewiesen werden:

Mithilfe der AWS Konsole:

Gehen Sie wie folgt vor, um Zuweisungsregeln mithilfe der AWS Konsole hinzuzufügen:

  1. Wählen Sie im linken Navigationsbereich Richtlinien aus.

  2. Wählen Sie die Richtlinie aus, die Sie im vorherigen Schritt erstellt haben.

  3. Wählen Sie auf der Seite mit den Richtliniendetails den Tab Allokationsregeln aus.

  4. Wählen Sie Zuweisungsregeln erstellen aus.

  5. Konfigurieren Sie die Dienstkonfiguration:

    • Gebietsschema: Wählen Sie die AWS Region (us-east-1) oder die lokale Zone aus, für die diese Richtlinie gelten soll.

    • Ressourcentyp: Wählen Sie den AWS Dienst- oder Ressourcentyp für diese Richtlinie aus (Elastic IP-Adressen).

  6. Konfiguration der Regeln konfigurieren:

    • IPAM-Pool: Wählen Sie den IPAM-Pool aus, der IP-Adressen bereitstellt.

    • Überprüfen Sie die Pooldetails (Gebietsschema, öffentliche IP-Quelle, verfügbarer Speicherplatz und verfügbare CIDR-Bereiche).

  7. (Optional) Wählen Sie Neue Regel hinzufügen, um zusätzliche Regeln zu erstellen.

  8. Wählen Sie Zuweisungsregel erstellen aus.

Verwenden der AWS CLI:

Verwenden Sie den Befehl modify-ipam-policy-allocation-rules.

Schritt 3: Aktivieren Sie die Richtlinie

Geben Sie an, für welche Konten diese Richtlinie verwendet werden soll.

Mithilfe der AWS Konsole:

Gehen Sie wie folgt vor, um die Richtlinie mithilfe der AWS Konsole zu aktivieren:

  1. Wählen Sie auf der Seite mit den Richtliniendetails den Tab Ziele aus.

  2. Wählen Sie Richtlinienziele verwalten aus.

  3. Führen Sie eine der folgenden Aktionen aus:

    • Wählen Sie für die Nutzung eines einzelnen Kontos (IPAM ist nicht in AWS Organizations integriert) die Option Aktivieren für Ihr Konto aus.

    • Für IPAM, das in AWS Organizations integriert ist (wenn Sie der delegierte Administrator sind):

      • Wählen Sie im Abschnitt Organisationsstruktur die Konten oder Organisationseinheiten aus, auf die Sie diese Richtlinie anwenden möchten.

      • Markieren Sie für jedes Ziel das Kontrollkästchen Aktiviert.

      • Wählen Sie Save Changes.

      • Wichtig: Durch die Aktivierung dieser Richtlinie werden alle aktiven IPAM-Richtlinien für die ausgewählten Konten oder Organisationseinheiten ersetzt.

Verwenden der AWS CLI:

Verwenden Sie den enable-ipam-policyBefehl, der auf Ihrem Setup basiert:

Für die Nutzung eines einzelnen Kontos (IPAM ist nicht in AWS Organizations integriert):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678

Für IPAM, das in AWS Organizations integriert ist (wenn Sie der delegierte Administrator sind):

aws ec2 enable-ipam-policy \
    --ipam-policy-id ipam-policy-12345678 \
    --organization-target-id 123456789012
Wichtig

Durch die Aktivierung dieser Richtlinie werden alle aktiven IPAM-Richtlinien für die ausgewählten Konten oder Organisationseinheiten ersetzt.

Schritt 4: (Optional) Organisationsweite Durchsetzung

Wenn Sie diese IPAM-Richtlinie für eine AWS Organisationseinheit aktiviert haben, verwenden Sie deklarative Richtlinien, um zusätzlich zu Ihren IPAM-Richtlinien eine zentrale Verwaltung und Steuerung hinzuzufügen.

Das fügt hinzu:

Die unternehmensweite Durchsetzung bietet die folgenden Vorteile:

  • Zentralisiertes Richtlinienmanagement für alle Unternehmenskonten

  • Automatische Durchsetzung ohne Konfiguration pro Konto

  • Verwaltungskontrollen zur Verhinderung von Richtlinienänderungen auf Kontoebene

Voraussetzungen:

Bevor Sie die unternehmensweite Durchsetzung einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • AWS Organizations, bei denen alle Funktionen aktiviert sind

  • IPAM im Organisationsverwaltungskonto oder im delegierten Administratorkonto

  • Geeignete Berechtigungen für Organizations und IPAM

Ausführliche Anweisungen zur Einrichtung der organisationsweiten Durchsetzung mit deklarativen Richtlinien finden Sie unter Erste Schritte mit deklarativen Richtlinien im AWS Benutzerhandbuch für Organizations.

Schritt 5: Testen Sie Ihre Richtlinie

Aktivieren Sie eine neue Ressource des von Ihnen konfigurierten Typs (z. B. eine EIP) in einem der Zielkonten. Die Ressource verwendet automatisch eine IP-Adresse aus Ihrem IPAM-Pool.

Wichtig

Denn EIPs wenn Sie bei der Zuweisung einer öffentlichen IPv4 Adresse einen bestimmten IPAM-Pool auswählen, hat dies Vorrang vor der IPAM-Richtlinie.

Schritt 6: Überwachen Sie die Nutzung

Sehen Sie in Ihrem IPAM-Pool in der Konsole nach, ob Ihren Ressourcen IP-Adressen zugewiesen wurden.