Automatizza gli aggiornamenti degli elenchi di prefissi con IPAM - Amazon Virtual Private Cloud
Problema risoltoCome funzionaQuando usare questa funzionePrerequisitiPassaggi di impostazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Automatizza gli aggiornamenti degli elenchi di prefissi con IPAM

Un elenco di prefissi gestiti è una serie di intervalli CIDR che puoi richiamare nelle regole del gruppo di sicurezza e nelle tabelle di routing invece di indicare singoli indirizzi IP. Ad esempio, invece di creare regole di gruppo di sicurezza separate per10.1.0.0/16, e 10.2.0.0/1610.3.0.0/16, è possibile creare un elenco di prefissi contenente tutti CIDRs e tre e fare riferimento ad esso in un'unica regola.

Esistono due tipi di elenchi:

  • Elenchi di prefissi gestiti dai clienti: intervalli IP definiti e gestiti dall’utente.

  • AWS-elenchi di prefissi gestiti: intervalli IP per AWS servizi (come S3 o) CloudFront

Questa funzionalità IPAM automatizza la gestione degli elenchi di prefissi gestiti dai clienti, mantenendo le voci CIDR sincronizzate con le modifiche apportate alla rete.

Problema risolto

Senza automazione, i team della rete devono dedicare molto tempo all’aggiornamento manuale degli elenchi di prefissi in caso di modifiche dell’infrastruttura, oltre ad assicurare l’uniformità degli elenchi di prefissi tra vari ambienti e regioni.

IPAM risolve questo problema attraverso la creazione di regole che consentono di compilare automaticamente gli elenchi di prefissi. Puoi utilizzare due approcci: fare riferimento CIDRs ai tuoi pool IPAM o creare regole basate sulle tue AWS risorse effettive, ad esempio «includi tutti i VPCs tag con env=prod», «includi tutte le sottoreti in us-east-1' o «includi tutti gli indirizzi IP elastici di proprietà dell'account 123456789'. Quando aggiungi o rimuovi queste risorse, IPAM aggiorna automaticamente l'elenco dei prefissi CIDRs con le loro.

Come funziona

Dovrai creare regole che indicano a IPAM quali indirizzi IP includere in un elenco di prefissi. Ad esempio, «includi tutti i VPC CIDRs etichettati con env=prod». Quando si aggiunge o si rimuove la produzione VPCs, IPAM aggiorna automaticamente l'elenco dei prefissi.

Quando usare questa funzione

  • Gruppi di sicurezza: crea una regola «includi tutti i VPCs tag env=prod» in modo che quando aggiungi una nuova produzione VPCs, questi vengano automaticamente consentiti nelle regole del tuo gruppo di sicurezza

  • Disponibilità in più regioni: implementa le stesse regole IPAM in più regioni per mantenere elenchi di prefissi identici senza copiare manualmente le voci CIDR

  • Infrastruttura dinamica: se tu create/delete VPCs o le sottoreti, queste provengono automaticamente dagli elenchi di CIDRs prefissi senza aggiornamenti manuali added/removed

Prerequisiti

Prima di iniziare, assicurati di disporre dei seguenti elementi:

Passaggi di impostazione

Passaggio 1: creazione di un resolver per un elenco di prefissi IPAM

Definisci quali CIDRs includere nell'elenco dei prefissi creando un risolutore di elenchi di prefissi IPAM.

AWS Management Console
Creare un resolver per un elenco di prefissi IPAM

  1. Apri la console IPAM.

  2. Nel riquadro di navigazione, seleziona Resolver per elenchi di prefissi.

  3. Seleziona Crea resolver per un elenco di prefissi.

  4. Al punto 1) Configurazione dei dettagli del resolver, indica i seguenti elementi:

    • IPAM: un’istanza IPAM

    • IPv4 Famiglia di indirizzi: o IPv6

    • Tag con il nome (facoltativo): un nome descrittivo

    • Descrizione (facoltativa): una descrizione

    • Tag: tag di risorse

  5. Scegli Next (Successivo).

  6. Al punto 2) Configurazione delle regole, seleziona Aggiungi regola. Puoi aggiungere fino a 99 regole.

    Importante

    È possibile creare un risolutore di elenchi di prefissi senza alcuna regola di selezione CIDR, ma genererà versioni vuote (contenenti no CIDRs) finché non si aggiungono regole.

  7. Seleziona uno dei seguenti tipi di regole:

    • CIDR statico: un elenco fisso CIDRs che non cambia (come un elenco manuale replicato tra le regioni)

    • Pool IPAM CIDR: CIDRs da pool IPAM specifici (come tutti CIDRs quelli del pool di produzione IPAM)

      Se scegli questa opzione, procedi come segue

      • Ambito IPAM: seleziona l’ambito IPAM per cercare risorse

      • Condizioni:

        • Proprietà

          • ID pool IPAM: seleziona un pool IPAM che contiene le risorse

          • CIDR (ad esempio, 10.24.34.0/23)

        • Funzionamento: Equals/Not uguale

        • Valore: il valore in base al quale la condizione viene soddisfatta

    • Ambito della risorsa CIDR: CIDRs da AWS risorse come sottoreti VPCs, all'interno di un ambito IPAM EIPs

      Se scegli questa opzione, procedi come segue

      • Ambito IPAM: seleziona l’ambito IPAM per cercare risorse

      • Tipo di risorsa: seleziona una risorsa, ad esempio un VPC o una sottorete.

      • Condizioni:

        • Proprietà:

          • ID risorsa: l’ID univoco di una risorsa (ad esempio, vpc-1234567890abcdef0)

          • Proprietario della risorsa (ad esempio, 111122223333)

          • Regione della risorsa (ad esempio, us-east-1)

          • Tag risorsa (come chiave: nome, valore: dev-vpc-1)

          • CIDR (ad esempio, 10.24.34.0/23)

        • Operazione: è Equals/Not uguale

        • Valore: il valore in base al quale la condizione viene soddisfatta

  8. Scegli Next (Successivo).

  9. Seleziona Convalida e crea.

Command line

I comandi in questa sezione rimandano al Riferimento ai comandi AWS CLI . La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Utilizzate i seguenti AWS CLI comandi per creare un risolutore di elenchi di prefissi IPAM:

Passaggio 2: creazione di una destinazione del resolver per connettersi a un elenco di prefissi

Collega il resolver a un elenco di prefissi esistente creando una destinazione del resolver. Usa l’ID del resolver indicato al punto 1.

AWS Management Console
Creare una destinazione del resolver per un elenco di prefissi IPAM

  1. Nella console IPAM, seleziona Resolver per elenchi di prefissi.

  2. Seleziona il resolver creato al punto 1.

  3. Nella pagina dei dettagli del resolver, seleziona la scheda Destinazioni.

  4. Seleziona Crea destinazione.

  5. Configurazione della destinazione:

    • Regione: seleziona la regione in cui si trova l’elenco di prefissi gestiti esistente o dove ne verrà creato uno.

    • Elenco di prefissi: seleziona un elenco di prefissi gestiti esistente o creane uno nuovo

  6. In Versione desiderata, seleziona una delle seguenti opzioni:

    • Tieni sempre traccia della versione più recente: seleziona questa opzione per gli aggiornamenti automatici se desideri che gli elenchi di prefissi rimangano aggiornati in base alle modifiche dell’infrastruttura senza interventi manuali.

    • Tieni traccia delle versioni specifiche: seleziona questa opzione per garantire la stabilità quando hai bisogno di aggiornamenti prevedibili e controllati e quando vuoi approvare manualmente le modifiche agli elenchi di prefissi.

  7. Seleziona Crea destinazione.

Command line

I comandi in questa sezione rimandano al Riferimento ai comandi AWS CLI . La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Utilizzate i seguenti AWS CLI comandi per creare un target resolver con elenco di prefissi IPAM:

IPAM ora aggiornerà automaticamente l’elenco di prefissi in base alle regole. L'elenco dei prefissi verrà compilato con i criteri corrispondenti ai tuoi criteri. CIDRs

Passaggio 3: monitoraggio delle versioni e della sincronizzazione

Come risultato della creazione di un resolver e di un target per l'elenco di prefissi, il resolver dell'elenco di prefissi genera versioni CIDR in base alle regole dell'utente, quindi il target sincronizza quelle CIDRs dal resolver con uno specifico elenco di prefissi gestiti. Ogni versione è un'istantanea di ciò che corrispondeva alle tue regole in quel momento. CIDRs Il numero di versione aumenta ogni volta che l’elenco dei CIDR cambia a seguito di modifiche all’infrastruttura.

Esempio di versione:

Stato iniziale (versione 1)

Ambiente di produzione:

  • vpc-prod-web (10.1.0.0/16) - taggato env=prod

  • vpc-prod-db (10.2.0.0/16) - contrassegnato con env=prod

Regola Resolver: include tutti i tag VPCs env=prod

Versione 1:10.1.0.0/16, 10.2.0.0/16 CIDRs

Modifica dell’infrastruttura (versione 2)

Nuovo VPC aggiunto:

  • vpc-prod-api (10.3.0.0/16) - contrassegnato con env=prod

IPAM rileva automaticamente la modifica e crea una nuova versione.

Versione 2:10.1.0.0/16, 10.2.0.0/16, 10.3.0.0/16 CIDRs

Questa sezione spiega come monitorare la creazione di versioni con la AWS console o la AWS CLI e il successo della sincronizzazione con la CLI. AWS

Inoltre, ti consigliamo di impostare CloudWatch allarmi sulle metriche degli errori, poiché potrebbe essere necessario rivalutare e modificare le regole di selezione CIDR per rimanere entro i limiti delle dimensioni dell'elenco di versioni e prefissi. Per un elenco di CloudWatch metriche relative agli elenchi di prefissi IPAM, consulta. Parametri del resolver per l’elenco di prefissi IPAM

AWS Management Console
Visualizzare le versioni create e monitorare la sincronizzazione della destinazione

  1. Nella console IPAM, seleziona Resolver per elenchi di prefissi.

  2. Seleziona il resolver creato al punto 1.

  3. Nella pagina dei dettagli del resolver, seleziona la scheda Versioni. Qui vedrai tutte le versioni che sono state create dal resolver insieme a tutte le versioni presenti nella versione. CIDRs

  4. Nella pagina dei dettagli del resolver, seleziona la scheda Monitoraggio. In questa visualizzazione, i Parametri del resolver per l’elenco di prefissi IPAM sono riportati in un grafico:

    • Creazione della versione del resolver per l’elenco di prefissi completata

    • Creazione della versione del resolver per l’elenco di prefissi non completata

  5. Dalla scheda Monitoraggio, puoi anche configurare un CloudWatch allarme scegliendo Crea allarme per la creazione della versione del risolutore di elenchi di prefissi. Verrai indirizzato alla CloudWatch console con l'allarme parzialmente configurato per la metrica. Per ulteriori informazioni su come completare la creazione dell'allarme, consulta Creare un CloudWatch allarme basato su una soglia statica nella Amazon CloudWatch User Guide.

Command line

I comandi in questa sezione rimandano al Riferimento ai comandi AWS CLI . La documentazione fornisce descrizioni dettagliate delle opzioni che è possibile utilizzare quando si eseguono i comandi.

Usa i seguenti AWS CLI comandi per monitorare le versioni e la sincronizzazione:

  1. Usa il resolver-version-entries comando get-ipam-prefix-list- per visualizzare l'ultima versione creata da resolver.

  2. Utilizzate il comando describe-ipam-prefix-list-resolver-targets per monitorare lo stato di sincronizzazione del target del resolver.

Il comando di monitoraggio mostra:

  • state: lo stato di sincronizzazione corrente (create-complete, modify-complete e altri)

  • lastSyncedVersion - ultima versione sincronizzata con successo

  • desiredVersion: la versione di destinazione per la sincronizzazione

  • stateMessage: dettagli degli errori se la sincronizzazione non è stata completata
Importante

Per supportare i flussi di lavoro di rollback, IPAM conserverà copie delle precedenti 10 versioni del resolver dell'elenco di prefissi per ciascuna delle sue destinazioni; inoltre, IPAM eliminerà le versioni precedenti a questa soglia se rimangono senza riferimenti per altri 7 giorni.

Passaggio 4: (facoltativo) attivazione e disattivazione della sincronizzazione dell’elenco di prefissi IPAM

Se un elenco di prefissi gestiti è stato configurato come destinazione dell’elenco di prefissi IPAM e vuoi modificare l’elenco di prefissi senza richiedere l’autorizzazione per accedere alla destinazione del resolver dell’elenco di prefissi IPAM, potrai modificare l’elenco di prefissi gestiti e disabilitare la sincronizzazione con il resolver per l’elenco di prefissi IPAM. Se disabilitato, l'elenco dei prefissi non viene aggiornato automaticamente ed è CIDRs possibile modificarlo. Se abilitato, l'elenco dei CIDRs prefissi viene aggiornato automaticamente in base alle regole di selezione CIDR del resolver associato.