La solution au problème Comment ça marche Contexte d’utilisation Conditions préalables Étapes de configuration

Automatisation des mises à jour des listes de préfixes avec IPAM

Une liste de préfixes gérée est un ensemble de blocs CIDR que vous pouvez référencer dans des règles de groupe de sécurité et des tables de routage au lieu de spécifier des adresses IP individuelles. Par exemple, au lieu de créer des règles de groupe de sécurité distinctes pour 10.1.0.0/1610.2.0.0/16, et10.3.0.0/16, vous pouvez créer une liste de préfixes contenant les trois CIDRs et y faire référence dans une seule règle.

Deux types de listes de préfixes existent :

Listes de préfixes gérées par le client : plages d’adresses IP que vous définissez et gérez
AWS-listes de préfixes gérées : plages d'adresses IP pour les AWS services (tels que S3 ou) CloudFront

Cette fonctionnalité IPAM automatise la gestion des listes de préfixes gérées par le client, en faisant en sorte que vos entrées CIDR demeurent synchronisées avec les modifications apportées au réseau.

La solution au problème

Sans automatisation, les équipes réseau passent beaucoup de temps à mettre à jour manuellement les listes de préfixes lorsque l’infrastructure évolue et à maintenir des listes de préfixes cohérentes entre les environnements et les régions.

L’IPAM résout ce problème en vous permettant de créer des règles qui renseignent automatiquement les listes de préfixes. Vous pouvez utiliser deux approches : faire référence CIDRs à vos pools IPAM ou créer des règles basées sur vos AWS ressources réelles, telles que « inclure tout VPCs étiqueté avec env=prod », « inclure tous les sous-réseaux dans us-east-1 » ou « inclure toutes les adresses IP élastiques détenues par le compte 123456789 ». Lorsque vous ajoutez ou supprimez ces ressources, IPAM met automatiquement à jour la liste des préfixes avec leurs. CIDRs

Comment ça marche

Créez des règles qui indiquent à l’IPAM les adresses IP à inclure dans une liste de préfixes. Par exemple, « inclure tous les VPC CIDRs étiquetés avec env=prod ». Lorsque vous ajoutez ou supprimez de la production VPCs, IPAM met automatiquement à jour la liste des préfixes.

Contexte d’utilisation

Groupes de sécurité : créez une règle « inclure tous les éléments VPCs tagués env=prod » afin que, lorsque vous ajoutez une nouvelle production VPCs, ils soient automatiquement autorisés dans les règles de votre groupe de sécurité
Multi-région : déployez les mêmes règles IPAM dans plusieurs régions pour conserver des listes de préfixes identiques sans copier manuellement les entrées CIDR.
Infrastructure dynamique : lorsque vous create/delete VPCs ou des sous-réseaux, ils CIDRs apparaissent automatiquement à added/removed partir de listes de préfixes sans mises à jour manuelles

Conditions préalables

Avant de commencer, assurez-vous de ce qui suit :

Vous disposez d’un IPAM pour lequel le Niveau avancé est activé.
Vous disposez d’une liste de préfixes gérée par le client (ou vous allez en créer une lors de la configuration).
Vous disposez des Autorisations IAM pour les opérations de liste de préfixes IPAM et EC2.

Étapes de configuration

Étape 1 : création d’un résolveur de liste de préfixes IPAM

Définissez ceux CIDRs à inclure dans votre liste de préfixes en créant un résolveur de liste de préfixes IPAM.

AWS Management Console

Pour créer un résolveur de liste de préfixes IPAM

Ouvrez la console IPAM.
Dans le panneau de navigation, sélectionnez Résolveurs de listes de préfixes.
Sélectionnez Créer un résolveur de liste de préfixes.
À l’étape 1 : configurer les détails du résolveur, choisissez les éléments suivants :
- IPAM : instance IPAM
- Adresse de la famille : IPv4 ou IPv6
- Balise Nom – facultatif : nom descriptif
- Description – Facultatif : description
- Balises : balises de ressource
Choisissez Suivant.
À l’étape 2 : configurer les règles, sélectionnez Ajouter une règle. Vous pouvez ajouter jusqu’à 99 règles.

Important
Vous pouvez créer un résolveur de liste de préfixes sans aucune règle de sélection CIDR, mais il générera des versions vides (ne contenant aucune CIDRs) jusqu'à ce que vous ajoutiez des règles.
Choisissez l’un des types de règles suivants :
- CIDR statique : une liste fixe de ceux CIDRs qui ne changent pas (comme une liste manuelle répliquée entre les régions)
- CIDR du pool IPAM : CIDRs à partir de pools IPAM spécifiques (comme tous ceux CIDRs de votre pool de production IPAM)
  
  Si vous choisissez cette option, choisissez les éléments suivants :
  - Portée IPAM : sélectionnez la portée IPAM pour rechercher des ressources
  - Conditions :
    
    Propriété
    
    ID du groupe IPAM : sélectionnez un groupe IPAM contenant les ressources
    
    CIDR (comme, 10.24.34.0/23)
    
    Opération : Equals/Not égale
    
    Valeur : valeur à laquelle répondre à la condition
- CIDR de la ressource d'étendue : CIDRs à partir de AWS ressources telles que les sous-réseaux VPCs, EIPs au sein d'une portée IPAM
  
  Si vous choisissez cette option, choisissez les éléments suivants :
  - Portée IPAM : sélectionnez la portée IPAM pour rechercher des ressources
  - Type de ressource : sélectionnez une ressource, comme un VPC ou un sous-réseau
  - Conditions :
    
    Propriété :
    
    ID de ressource : ID unique d’une ressource (comme vpc-1234567890abcdef0)
    
    Propriétaire de la ressource (comme 111122223333)
    
    Région de la ressource (comme us-east-1)
    
    Balise de ressource (comme clé : nom, valeur : dev-vpc-1)
    
    CIDR (comme 10.24.34.0/23)
    
    Opération : Equals/Not égale
    
    Valeur : valeur à laquelle répondre à la condition
Choisissez Suivant.
Choisissez Valider et créer.

Command line

Les commandes de cette section renvoient vers la documentation de référence sur les commandes de l’AWS CLI . La documentation fournit des descriptions détaillées des options que vous pouvez utiliser lorsque vous exécutez les commandes.

Utilisez les AWS CLI commandes suivantes pour créer un résolveur de liste de préfixes IPAM :

Utilisez la commande create-ipam-prefix-list-resolver et enregistrez l'ID de résolveur renvoyé pour l'étape 2.

Étape 2 : création d’une cible de résolveur pour se connecter à une liste de préfixes

Reliez votre résolveur à une liste de préfixes existante en créant une cible de résolveur. Utilisez l’ID du résolveur renvoyé à l’étape 1.

AWS Management Console

Pour créer une cible de résolveur de liste de préfixes IPAM

Dans la console IPAM, sélectionnez Résolveurs de listes de préfixes.
Choisissez le résolveur que vous avez créé à l’étape 1.
Sur la page des détails du résolveur, sélectionnez l’onglet Cibles.
Sélectionnez Créer une cible.
Configurez la cible :
- Région : sélectionnez la région dans laquelle se trouve la liste de préfixes gérée existante ou dans laquelle vous prévoyez d’en créer une.
- Liste de préfixes : choisissez une liste de préfixes gérée existante ou créez-en une nouvelle.
Sous Version souhaitée, sélectionnez l’une des options suivantes :
- Toujours suivre la dernière version : choisissez cette option pour les mises à jour automatiques lorsque vous souhaitez que vos listes de préfixes restent à jour avec les modifications de l’infrastructure sans intervention manuelle.
- Suivre une version spécifique : choisissez cette option pour des raisons de stabilité lorsque vous avez besoin de mises à jour prévisibles et contrôlées et que vous souhaitez approuver manuellement les modifications apportées à vos listes de préfixes.
Sélectionnez Créer une cible.

Command line

Utilisez les AWS CLI commandes suivantes pour créer une cible de résolution de liste de préfixes IPAM :

Utilisez la commande create-ipam-prefix-list-resolver-target avec l'ID du résolveur indiqué à l'étape 1 et l'ID de votre liste de préfixes existante.

L’IPAM met désormais automatiquement à jour votre liste de préfixes en fonction de vos règles. La liste des préfixes sera remplie en fonction de CIDRs vos critères.

Étape 3 : surveillance des versions et de la synchronisation

À la suite de la création d'un résolveur de liste de préfixes et d'une cible, le résolveur de liste de préfixes génère des versions CIDR en fonction de vos règles, puis la cible synchronise celles du résolveur avec une liste CIDRs de préfixes gérée spécifique. Chaque version est un aperçu de ce qui CIDRs correspondait à vos règles à ce moment-là. Le numéro de version augmente chaque fois que la liste CIDR change en raison de modifications de l’infrastructure.

Exemple de version :

État initial (version 1)

Environnement de production :

vpc-prod-web (10.1.0.0/16) - étiqueté env=prod
vpc-prod-db (10.2.0.0/16) - étiqueté env=prod

Règle du résolveur : inclure tous les VPCs tags env=prod

Version 1 CIDRs : 10.1.0.0/16, 10.2.0.0/16

Modification de l’infrastructure (version 2)

Nouveau VPC ajouté :

vpc-prod-api (10.3.0.0/16) - étiqueté env=prod

L’IPAM détecte automatiquement la modification et crée une nouvelle version.

Version 2 CIDRs : 10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16

Cette section explique comment surveiller la création de versions à l'aide de la AWS console ou de la AWS CLI et le succès de la synchronisation avec la AWS CLI.

Nous vous encourageons également à définir des CloudWatch alarmes sur les indicateurs de défaillance, car vous devrez peut-être réévaluer et ajuster les règles de sélection du CIDR afin de respecter les limites de version et de taille de la liste de préfixes. Pour obtenir la liste des CloudWatch métriques relatives aux listes de préfixes IPAM, consultez. Métriques de résolveur de listes de préfixes IPAM

AWS Management Console

Pour afficher les versions créées et surveiller la synchronisation des cibles

Dans la console IPAM, sélectionnez Résolveurs de listes de préfixes.
Choisissez le résolveur que vous avez créé à l’étape 1.
Sur la page des détails du résolveur, sélectionnez l’onglet Versions. Vous verrez ici toutes les versions créées par le résolveur ainsi que toutes les versions présentes CIDRs dans la version.
Sur la page de détails du résolveur, sélectionnez l’onglet Surveillance. Cette vue présente les Métriques de résolveur de listes de préfixes IPAM sous forme de graphique :
- Réussite de la création de la version du résolveur de listes de préfixes
- Échec de la création de la version du résolveur de listes de préfixes
Dans l'onglet Surveillance, vous pouvez également configurer une CloudWatch alarme en choisissant Créer une alarme pour la création de la version du résolveur de listes de préfixes. Vous êtes redirigé vers la CloudWatch console avec l'alarme partiellement configurée pour la métrique. Pour plus d'informations sur la façon de terminer la création de l'alarme, consultez la section Création CloudWatch d'une alarme basée sur un seuil statique dans le guide de CloudWatch l'utilisateur Amazon.

Command line

Utilisez les AWS CLI commandes suivantes pour contrôler les versions et la synchronisation :

Utilisez la resolver-version-entries commande get-ipam-prefix-list- pour afficher la dernière version créée par le résolveur.
Utilisez la commande describe-ipam-prefix-list-resolver-targets pour surveiller l'état de synchronisation de la cible du résolveur.

La commande de surveillance affiche les éléments suivants :

state : état de synchronisation actuel (create-complete, modify-complete, etc.)
lastSyncedVersion - dernière version synchronisée avec succès
desiredVersion : version cible avec laquelle effectuer la synchronisation
stateMessage : détails de l’erreur en cas d’échec de la synchronisation

Important

Pour prendre en charge les flux de travail de restauration, IPAM conservera des copies des 10 versions précédentes du résolveur de listes de préfixes pour chacune de ses cibles ; en outre, IPAM supprimera les versions antérieures à ce seuil si elles ne sont pas référencées pendant 7 jours supplémentaires.

Étape 4 : (facultatif) activation et désactivation de la synchronisation de la liste de préfixes IPAM

Si une liste de préfixes gérée a été configurée comme cible de liste de préfixes IPAM et que vous souhaitez apporter des modifications à la liste de préfixes sans avoir besoin d’autorisations pour accéder à la cible du résolveur de liste de préfixes IPAM, vous pouvez modifier la liste de préfixes gérée et désactiver la synchronisation avec le résolveur de liste de préfixes IPAM. Lorsque cette option est désactivée, la liste des préfixes CIDRs n'est pas automatiquement mise à jour et vous pouvez y apporter des modifications. Lorsque cette option est activée, la liste des CIDRs préfixes est automatiquement mise à jour en fonction des règles de sélection CIDR du résolveur associé.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion de l'espace d'adressage IP dans IPAM

Modifiez l'état de contrôle des CIDR VPC