IP Address Manager (IPAM) のスコープおよび IPAM プールを使用して、使用可能な CIDR ブロックを計画および割り当てることができます。これにより、CIDR の重複を回避し、IP アドレス枯渇のリスクを低減できます。
IPAM スコープは、独立した IP アドレス空間を表します。異なるエンティティ向けに別個の IP アドレス空間を管理するため、複数のスコープを作成できます。異なるスコープ間では、CIDR ブロックが重複しても構いません。
IPAM プールを作成し、IPAM スコープ内で CIDR ブロックをプロビジョニングした後、リージョン、部門、LOB(Line-of-Business)などの要因に基づいて、使用可能な CIDR ブロックを階層的に分割できます。
計画済みの IPAM プールを複数のビジネスアカウントと共有できます。これらのアカウントは、共有されたプールからアドレスリソースを割り当てられます。
アドレス 計画設計
IPAM プールの CIDR 設計
IPAM プールの CIDR 設計では、リージョン、部門、LOB(Line-of-Business)などの要因に基づき、IP CIDR ブロックを複数のレベルに分割することで、柔軟かつ効率的な管理が可能になります。
階層的計画:まず、大規模なリージョン単位の CIDR ブロックを作成します。その後、異なる部門や LOB ごとにさらに細分化し、IP アドレスの競合を回避します。この方法により、ネットワーク管理者は CIDR ブロックの集約および割り当てを容易に行え、ネットワーク管理およびルーティング設定が簡素化されます。
分割ロジック:IPAM プールの階層的デプロイメント設計は柔軟です。リージョン、部門、LOB、製品など、さまざまな要因に基づいて、多段階・マルチリージョンのアドレス計画ソリューションを構築できます。また、対応するセキュリティグループ、ネットワーク ACL、ファイアウォールの設定も可能です。階層の深さは最大 10 段階までとなります。
たとえば、ある企業が Alibaba Cloud 上で複数の中核サービスを展開し、クラウドネットワーク全体の計画アドレス空間として 10.0.0.0/8 を使用することを計画しているとします。そのビジネスアーキテクチャには、以下のような特徴があります:マルチリージョン展開、マルチ環境展開(各サービスに、厳密に分離された本番環境、プレリリース環境、テスト環境がそれぞれ独立して存在)、一部のサービスではネットワーク接続が必要である、などです。このような場合、IPAM プールの CIDR 設計原則に従って、CIDR ブロックを階層的に分割および割り当てることができます。
ネットワーク計画および設計:
計画のディメンションを確認:ビジネスアーキテクチャに基づき、計画レベル(リージョン、LOB、ビジネス環境)を決定します。
拡張用の領域を確保:リージョンについては、3 つのアクティブなリージョンを計画し、さらに 5 つのリージョン分の領域を予約します。LOB については、各リージョン内で 6 つのコア LOB を計画し、さらに 10 の LOB 分の領域を予約します。ビジネス環境については、各 LOB に本番環境、テスト環境、開発環境が含まれます。
CIDR を階層的に計画:
リージョン単位でアドレス空間を分割:8 つのリージョンをサポートするため、空間を 8 個の CIDR ブロック(2³ = 8)に分割する必要があります。したがって、各リージョンのアドレスセグメントのネットワークマスクは
/11(/8+ 3)となります。例:3 つのアクティブなリージョンに
10.0.0.0/11、10.32.0.0/11、10.64.0.0/11を割り当て、残りの 5 つの CIDR ブロックは予約します。同様のロジックに従い、各 LOB のアドレスセグメントのネットワークマスクは
/15(16 の LOB をサポート、/11+ 4)、各ビジネス環境のアドレスセグメントのネットワークマスクは/17(3 つのビジネス環境をサポート、/15+ 2)となります。
IPAM を使用したアドレス計画の実装:
トップレベルプールを作成:デフォルトのプライベートスコープ内に、CIDR ブロック
10.0.0.0/8を持つトップレベルプールを作成します。リージョン単位のプールを作成:
10.0.0.0/8プールの下位に、各リージョンを表す/11サブプールを作成します。LOB 単位のプールを作成:各リージョンプールの下位に、各 LOB を表す
/15サブプールを作成します。ビジネス環境単位のプールを作成:各 LOB プールの下位に、割り当て用の
/17サブプールを作成します。これらのプールは、VPC の作成やカスタム割り当てのためにビジネスアカウントと共有できます。
独立したビジネス環境
買収された企業やマルチテナントサービスなど、独立した管理またはより高い隔離レベルを必要とするビジネス環境では、複数のプライベートスコープを作成して各環境を管理できます。異なるスコープでは、独立した管理ポリシーおよび権限設定を適用でき、CIDR ブロックの重複も許容されます。ただし、これらの環境間でネットワーク相互接続が必要かどうかを事前に評価する必要があります。相互接続時に CIDR ブロックが重複すると、ネットワーク上の競合が発生するため、慎重な計画が必要です。
たとえば、会社 A が会社 B を買収するというシナリオを考えてみましょう。両社は IP アドレス範囲が重複している可能性があります。このような場合、IPAM 内での競合を防ぐために、各社ごとに別々のスコープを作成できます。また、各スコープを活用して、各社の IP アドレス割り当て状況を把握できます。この情報をもとに、買収後のネットワークが適切に機能し、IP アドレスの競合を回避できるよう、適切なネットワーク接続およびルーティングモデルを設計できます。
ハイブリッドクラウドおよびマルチクラウドネットワーク設計
ハイブリッドクラウドネットワークおよびマルチクラウドデプロイメントを含むネットワークアーキテクチャを持つ場合、IPAM プール内でカスタム CIDR 割り当てを作成できます。これにより、データセンターおよび他のクラウドプロバイダー向けに CIDR ブロックを予約できます。この手法により、予約された CIDR ブロックが他のクラウドリソースに割り当てられることを防止し、クラウド VPC とデータセンターまたは他のクラウドプロバイダーの CIDR ブロック間で IP アドレスの競合を回避できます。
IPAM スコープおよびプールを用いた計画
IPAM スコープおよび IPAM プールを使用して、使用可能な CIDR ブロックを計画できます。
IPAM を作成すると、デフォルトでパブリックスコープおよびプライベートスコープが作成されます。これらのスコープは削除できません。
パブリックスコープ:サービス計画およびリソース割り当てのための、Alibaba Cloud のデフォルト IPv6 CIDR ブロックの割り当てをサポートします。
プライベートスコープ:IPv4 CIDR ブロックの割り当ておよび使用をサポートします。異なるプライベートスコープを作成して、異なるアドレス空間を独立して管理できます。
アドレス範囲が重複する異なるエンティティ向けに、別々のプライベートスコープを作成して、独立した IP アドレス空間を管理できます。これは、企業買収、マルチテナント環境、またはセキュリティ隔離などのユースケースに適しています。
リージョン、部門、またはサービスに基づき、IPAM プールを作成し、CIDR ブロックを階層的に分割:
トップレベルプールに、管理および使用を計画する CIDR ブロックをプロビジョニングします。
異なる IPAM スコープ内のプールにプロビジョニングされる CIDR ブロックは重複しても構いません。したがって、異なる環境間でネットワーク相互接続が必要かどうかを事前に評価する必要があります。ネットワークを相互接続する場合、重複する CIDR ブロックによってアクセス競合が発生する可能性があるため、慎重な計画が必要です。
同一の IPAM スコープ内では、複数のトップレベルプールを作成できますが、これらのトップレベルプールにプロビジョニングされる CIDR ブロックは重複してはなりません。
リージョンまたはサービスに基づき、トップレベルプールの計画済み CIDR ブロックを分割して、複数レベルの IPAM サブプールを作成します。これにより、異なる環境が重複しないアドレス範囲を使用し、競合を回避できます。
コンソール
IPAM スコープを用いた独立したアドレス空間の計画
IPAM コンソール に移動します。上部のメニューバーから、IPAM を作成するリージョンを選択します。これは、IPAM のマネージドリージョンです。
IPAM の作成 をクリックします。マネージドリージョンに加えて、他の 対象リージョン を追加できます。IPAM は、すべての適用リージョン内でアドレスリソースを一元管理します。IPAM を作成した後、適用リージョンを追加または削除できますが、マネージドリージョンは削除できません。
デフォルトでパブリックスコープおよびプライベートスコープが作成されます。追加の独立した IPv4 アドレス空間を作成するには、IPAM スコープ ページに移動し、スコープの作成 をクリックします。
IPAM プールを作成して CIDR ブロックを計画
IPAM コンソール - IPAM プール ページに移動します。ページ上部で IPAM のマネージドリージョンを選択し、アドレスプールの作成 をクリックします。
IPAM スコープ:計画するアドレスセグメントの IP バージョンに応じて、スコープを選択します。
CIDR 範囲:
IPAM:IPAM スコープ内にトップレベルプールを作成します。サービスの CIDR ブロックを初めて計画する場合にこのオプションを選択します。
IPAM アドレスプール:別の IPAM プールを ソース IPAM アドレスプール として使用してサブプールを作成します。ソースプールから新しいサブプールにプロビジョニングする CIDR ブロックを選択できます。既存のアドレス空間をさらに細分化する場合にこのオプションを選択します。
IP バージョン:IPAM スコープ 内の CIDR ブロックの IP バージョンです。
パブリックスコープを選択した場合、IPv6 のみがサポートされます。IPv6 CIDR ブロックのタイプとして、BGP (マルチライン) を選択します。
プライベートスコープを選択した場合、IPv4 のみがサポートされます。
対象リージョン:リソースのリージョンが適用リージョンと一致する場合にのみ、プールからそのリソースにアドレスを割り当てることができます。
適用リージョンは、IPAM の適用リージョンの範囲内である必要があり、設定後に変更できません。
IPv6 CIDR ブロックを計画する場合、このパラメーターは必須です。サブプールは、ソースプールから適用リージョンを継承します。
IPv4 CIDR ブロックを計画する場合、このパラメーターは任意です。ソースプールに適用リージョンが設定されている場合は、サブプールがそれを継承します。ソースプールに適用リージョンが設定されていない場合は、サブプールに設定する適用リージョンは、IPAM の適用リージョンの範囲内である必要があります。
発見したリソースの自動導入:この機能を有効にすると、IPAM は リソース検出 を継続的に使用して、適用リージョン内の VPC を検出します。その後、現在のプールの範囲内にあり、IPAM でまだアドレス管理のために割り当てられていない CIDR ブロックを持つリソースをインポートします。
このパラメーターは、対象リージョン を設定した後に有効になります。プールに 対象リージョン が設定されていない場合、発見したリソースの自動導入 を有効にできません。
IPAM が複数の重複する CIDR ブロックを検出した場合、最も大きな CIDR ブロックのみを自動的にインポートします。
IPAM が複数の同一の CIDR ブロックを検出した場合、そのうちの 1 つをランダムにインポートします。
IPAM プールインスタンスを作成した後、その詳細ページの 詳細情報 タブ、または 編集 ページで、自動インポートを有効または無効にできます。
CIDR のプロビジョニング:プロビジョニング済み CIDR ブロックを持つ IPAM プールからのみ、リソースへの CIDR の割り当て を行うことができます。
IPv6 トップレベルプールの場合、アドレスマスクを選択して 1 つの CIDR ブロックのみをプロビジョニングできます。IPv4 トップレベルプールの場合、複数の CIDR ブロックを入力してプロビジョニングできます。
サブプールの場合、CIDR ブロックの入力、アドレスマスクの選択、または可視化インターフェイスでのソースプールの割り当て可能な部分の選択により、複数の CIDR ブロックをプロビジョニングできます。
IPAM プールを作成した後、IPAM プールインスタンスの詳細ページの CIDR タブで CIDR ブロックをプロビジョニングできます。
割り当てルール:プールからリソースに CIDR ブロックを割り当てる場合、プレフィックス長は最小および最大ネットワークマスク長の範囲内である必要があります。プレフィックス長が指定されていない場合、デフォルトのネットワークマスク長が使用されます。
IPv6 アドレスプールの最小、デフォルト、最大ネットワークマスク長の値範囲は 0~128 です。IPv4 アドレスプールの場合は 0~32 です。
これらのルールは、IPAM プールインスタンスの詳細ページの コンプライアンスルール タブで変更できます。
プロビジョニング済み CIDR ブロックを持つプールでは、サブプールを作成したり、IPAM 計画を用いた VPC の作成 を行ったりできます。
CIDR ブロックの非プロビジョニング
CIDR ブロックの非プロビジョニングを行う前に、そのブロックが VPC や IPAM プールに割り当てられておらず、カスタム割り当てが存在しないことを確認してください。対象のプールインスタンスの ID をクリックするか、管理 を 操作 列でクリックします。その後、CIDR タブで対象の CIDR ブロックを見つけ、プロビジョニングをキャンセル を 操作 列でクリックします。
IPAM プールの削除
プールを削除する前に、そのプールのすべてのプロビジョニング済み CIDR ブロックが非プロビジョニング済みであることを確認してください。操作 列またはその詳細ページで、削除 をクリックします。
IPAM スコープの削除
2 つのデフォルトスコープは削除できません。カスタムスコープを削除するには、まずそのスコープ内のすべての IPAM プールを削除し、その後、削除 を 操作 列またはスコープの詳細ページでクリックします。
IPAM の削除
IPAM を削除する前に、その IPAM のすべての IPAM プールおよびカスタムスコープが削除済みであることを確認してください。操作 列またはその詳細ページで、削除 をクリックします。
API
IPAM スコープを用いた独立したアドレス空間の計画
OpenVpcIpamService を呼び出して、IPAM を有効化します。
CreateIpam を呼び出して、IPAM を作成します。
CreateIpamScope を呼び出して、プライベート IPAM スコープを作成します。
IPAM プールの作成および CIDR ブロックのプロビジョニング
CreateIpamPool を呼び出して、IPAM プールを作成します。
AddIpamPoolCidr を呼び出して、IPAM プールに CIDR ブロックをプロビジョニングします。
リソースのクリーンアップ
DeleteIpamPoolCidr を呼び出して、IPAM プールにプロビジョニングされた CIDR ブロックを削除します。
DeleteIpamPool を呼び出して、IPAM プールを削除します。
DeleteIpamScope を呼び出して、カスタム IPAM スコープを削除します。
DeleteIpam を呼び出して、IPAM を削除します。
Terraform
リソース:alicloud_vpc_ipam_service、alicloud_vpc_ipam_ipam、alicloud_vpc_ipam_ipam_scope、alicloud_vpc_ipam_ipam_pool、alicloud_vpc_ipam_ipam_pool_cidr
# IPAM を作成するリージョンを指定します。
provider "alicloud" {
region = "cn-hangzhou"
}
# 初めて IPAM を使用する場合、IPAM サービスを有効化する必要があります。
resource "alicloud_vpc_ipam_service" "example_ipam_service" {
}
# IPAM を作成します。
resource "alicloud_vpc_ipam_ipam" "example_ipam" {
ipam_name = "example_ipam_name"
operating_region_list = ["cn-hangzhou"] # IPAM の適用リージョンを指定します。
}
# IPAM スコープを作成します。
resource "alicloud_vpc_ipam_ipam_scope" "example_ipam_scope" {
ipam_scope_name = "example_ipam_scope_name"
ipam_id = alicloud_vpc_ipam_ipam.example_ipam.id
ipam_scope_type = "private" # プライベートスコープです。
}
# IPAM プールを作成します。
resource "alicloud_vpc_ipam_ipam_pool" "example_parentIpamPool" {
ipam_scope_id = alicloud_vpc_ipam_ipam_scope.example_ipam_scope.id # IPAM プールのスコープを指定します。
ipam_pool_name = "example_parentIpamPool_name"
pool_region_id = alicloud_vpc_ipam_ipam.example_ipam.region_id # IPAM プールの適用リージョンを指定します。
ip_version = "IPv4" # IPAM プールの IP バージョンを指定します。
}
# CIDR ブロックを IPAM プールに割り当てます。
resource "alicloud_vpc_ipam_ipam_pool_cidr" "example_ipamPoolCidr" {
cidr = "10.0.0.0/16" # CIDR ブロックを指定します。
ipam_pool_id = alicloud_vpc_ipam_ipam_pool.example_parentIpamPool.id # IPAM プールの ID を指定します。
}
# IPAM サブプールを作成します。
resource "alicloud_vpc_ipam_ipam_pool" "example_childIpamPool" {
ipam_pool_name = "example_childIpamPool_name"
ipam_scope_id = alicloud_vpc_ipam_ipam_scope.example_ipam_scope.id # IPAM プールのスコープを指定します。
pool_region_id = alicloud_vpc_ipam_ipam.example_ipam.region_id # IPAM プールの適用リージョンを指定します。
source_ipam_pool_id = alicloud_vpc_ipam_ipam_pool.example_parentIpamPool.id # ソース IPAM プールの ID を指定します。
ip_version = "IPv4" # IPAM プールの IP バージョンを指定します。
}
# CIDR ブロックを IPAM サブプールに割り当てます。
resource "alicloud_vpc_ipam_ipam_pool_cidr" "example_childIpamPoolCidr" {
cidr = "10.0.0.0/24" # CIDR ブロックを指定します。
ipam_pool_id = alicloud_vpc_ipam_ipam_pool.example_childIpamPool.id # IPAM プールの ID を指定します。
}計画済みプールの複数アカウントとの共有
ネットワーク管理者は、アドレスプールをビジネスアカウント(プリンシパル)と共有できます。プリンシパルは、共有されたプールを使用して VPC にアドレスを割り当てたり、カスタム割り当てを作成したりできます。
任意の Alibaba Cloud アカウントとリソースを共有:プリンシパルは、リソース共有の招待を承諾する必要があります。
リソースディレクトリ内での共有:プリンシパルは招待を確認する必要がなく、デフォルトで承諾されます。
コンソール
このセクションでは、任意のアカウントと IPAM プールを共有する方法について説明します。リソースディレクトリ内での共有の詳細については、「リソースディレクトリ内でのみリソースを共有」をご参照ください。
IPAM プールの共有
プール所有者としてログインし、IPAM コンソール - IPAM プール ページに移動します。ページ上部で、対象プールが配置されているリージョンを選択します。対象のプールインスタンスの ID をクリックするか、管理 を 操作 列でクリックします。その後、共有管理 タブで、リソース共有の作成 をクリックします。
リソース共有の作成 ページで、リソース共有の構成手順に従います。
リソース を IPAM アドレスプール に設定し、共有する IPAM プールを選択します。
IPAM プールリソースの権限は
AliyunRSDefaultPermissionIpamPoolです。依頼人のスコープ では、すべてのアカウント を選択します。追加方法 では、手動で追加 を選択します。プリンシパル ID フィールドに、プールのプリンシパルの Alibaba Cloud アカウント ID を入力し、追加 をクリックします。
構成を確認した後、ページ下部の OK をクリックします。
プールのプリンシパルのアカウントを使用してログインし、共有の招待を承諾します:
Resource Management コンソール - 私に共有されたリソース ページに移動します。
上部のメニューバー左上隅で、共有リソースが配置されているリージョンを選択します。その後、対象のリソース共有の ステータス 列で 承諾 をクリックします。
リソースが共有された後、プリンシパルは 共有プール タブの IPAM アドレスプール ページでそのプールを表示できます。プリンシパルは、このプールを使用して、IPAM を使用した VPC の計画および作成 や、IPAM を使用した VPC の計画および作成 を行えます。
共有の停止
プール所有者のアカウントでログインします。共有管理 タブの IPAM アドレスプール 詳細ページで、削除する対象のリソース共有の ID をクリックします。その詳細ページで、リソース共有の削除 を選択します。
共有を停止した後、プリンシパルはプールを表示できなくなりますが、共有プールを使用して作成されたアドレス割り当ては影響を受けません。作成された VPC が削除されると、対応するプール割り当てが解放されます。
プール所有者は、プールの割り当ての管理(VPC 型の割り当ておよびプリンシパルが作成したカスタム割り当ての解放を含む)を行えます。
API
IPAM プールの共有
方法 1:任意のアカウントと共有
プール所有者の認証情報を使用して、CreateResourceShare を呼び出してリソース共有を作成し、
AllowExternalTargetsパラメーターをTrueに設定します。プールのプリンシパルの認証情報を使用して、まず ListResourceShareInvitations を呼び出して受信したリソース共有の招待を照会し、その後 AcceptResourceShareInvitation を呼び出して招待を承諾します。
方法 2:リソースディレクトリ内でのみ共有
リソースディレクトリの管理アカウントの認証情報を使用して、EnableSharingWithResourceDirectory を呼び出して、リソースディレクトリに対するリソース共有を有効化します。
プールのプリンシパルの認証情報を使用して、CreateResourceShare を呼び出してリソース共有を作成し、
AllowExternalTargetsパラメーターをTrueに設定します。
共有の停止
プール所有者の認証情報を使用して、DeleteResourceShare を呼び出してリソース共有を削除します。
Terraform
Terraform では、現時点では IPAM プールの共有はサポートされていません。
その他の情報
課金
IP Address Manager (IPAM) 機能はパブリックプレビュー中であり、この期間中は無料でご利用いただけます。
クォータ制限
クォータ名 | 説明 | デフォルト制限 | 調整可能 |
ipam_quota_per_region | ユーザーが各リージョンで作成できる IPAM の数。 | 1 | いいえ |
ipam_scope_quota_per_ipam | 各 IPAM で作成できる IPAM スコープの数。 | 5 | |
ipam_pool_quota_depth | 各アドレスプールの最大階層深度。 | 10 | |
ipam_cidr_quota_per_ipam_pool | 各アドレスプールでプロビジョニングできる CIDR ブロックの数。 | 50 | |
ipam_sub_pool_quota_per_ipam_pool | 各アドレスプールで作成できるサブプールの数。 | 50 | |
ipam_pool_quota_per_scope | 各プライベート IPAM スコープで作成できるアドレスプールの数。 | 500 | |
resource_share_quota_per_ipam_pool | 各 IPAM プールに対して作成できるリソース共有の数。 | 100 | |
shared_ipam_pool_quota_per_user | 各ユーザーが保持できる共有アドレスプールの数。 | 100 | |
ipam_public_ipv6_top_pool_quota_per_region_isp | ユーザーが各リージョンで作成できる、各 ISP タイプのパブリック IPv6 IPAM トップレベルプールの数。 | 1 | |
ipam_cidr_quota_per_public_ipv6_top_pool | ユーザーが各リージョンでパブリック IPv6 IPAM トップレベルプールにプロビジョニングできる CIDR ブロックの数。 | 1 |