IP Address Manager (IPAM) のスコープと IPAM プールを使用して、使用可能なアドレスセグメントを計画および割り当てることができます。これにより、CIDR の重複を回避し、IP アドレス枯渇のリスクを低減できます。
IPAM スコープは独立した IP アドレス空間を表します。異なるスコープを作成して、異なるエンティティの個別の IP アドレス空間を管理できます。異なるスコープには、重複する CIDR ブロックを含めることができます。
IPAM プールを作成し、IPAM スコープ内に CIDR ブロックをプロビジョニングした後、リージョン、部門、または基幹業務 (LOB) などの要因に基づいて、使用可能なアドレスセグメントを階層的に分割できます。
計画された IPAM プールを複数のビジネスアカウントと共有できます。これらのアカウントは、共有プールからアドレスリソースを割り当てることができます。
アドレス計画の設計
IPAM プールの CIDR 設計
IPAM プールの CIDR 設計により、リージョン、部門、または基幹業務 (LOB) などの要因に基づいて IP アドレスセグメントを複数のレベルに分割することで、柔軟で効率的な管理が可能になります。
階層的計画: まず、大規模なリージョン CIDR ブロックを作成します。次に、それらを異なる部門や基幹業務 (LOB) ごとに細分化して、IP アドレスの競合を回避できます。この方法により、ネットワーク管理者は CIDR ブロックを簡単に集約および割り当てることができ、ネットワーク管理とルーティング構成が簡素化されます。
分割ロジック: IPAM プールの階層的なデプロイメント設計は柔軟です。リージョン、部門、基幹業務 (LOB)、またはプロダクトなどのさまざまな要因に基づいて、複数レベル、複数リージョンのアドレス計画ソリューションを構築できます。また、対応するセキュリティグループ、ネットワーク ACL、およびファイアウォールを構成することもできます。階層の深さは 10 レベルを超えることはできません。
たとえば、ある会社が Alibaba Cloud 上に複数のコアサービスをデプロイし、クラウドネットワークの計画アドレス空間全体として 10.0.0.0/8 を使用することを計画しているとします。ビジネスアーキテクチャには、複数リージョンでのデプロイメント、複数環境でのデプロイメント (各サービスには厳密に隔離された独立した本番、プレリリース、テスト環境がある)、およびネットワーク接続を必要とする一部のサービスという特徴があります。IPAM プールの CIDR 設計原則に従って、アドレスセグメントを階層的に分割および割り当てることができます。
ネットワーク計画と設計:
計画ディメンションの確認: ビジネスアーキテクチャに基づいて、リージョン、基幹業務 (LOB)、およびビジネス環境である計画レベルを決定します。
拡張用のスペースを予約: リージョンについては、3 つのアクティブなリージョンを計画し、さらに 5 つのスペースを予約します。基幹業務 (LOB) については、各リージョン内に 6 つのコア基幹業務 (LOB) を計画し、さらに 10 のスペースを予約します。ビジネス環境については、各基幹業務 (LOB) には本番、テスト、および開発環境が含まれます。
CIDR を階層的に計画する:
リージョンごとにアドレス空間を分割する: 8 つのリージョンをサポートするには、空間を 8 つのアドレスセグメントに分割する必要があります (2³ = 8)。したがって、各リージョンのアドレスセグメントのネットワークマスクは
/11(/8+ 3) です。割り当て例: 3 つのアクティブなリージョンに
10.0.0.0/11、10.32.0.0/11、および10.64.0.0/11を割り当て、残りの 5 つのアドレスセグメントを予約します。同じロジックに従って、各基幹業務 (LOB) アドレスセグメントのネットワークマスクは
/15(16 の基幹業務 (LOB) をサポート、/11+ 4) であり、各ビジネス環境アドレスセグメントのネットワークマスクは/17(3 つのビジネス環境をサポート、/15+ 2) です。
IPAM を使用したアドレス計画の実装:
トップレベルプールの作成: デフォルトのプライベートスコープで、CIDR ブロック
10.0.0.0/8を持つトップレベルプールを作成します。リージョナルプールの作成:
10.0.0.0/8プールの下に、各リージョンを表す/11のサブプールを作成します。基幹業務 (LOB) プールの作成: 各リージョナルプールの下に、各基幹業務 (LOB) を表す
/15のサブプールを作成します。ビジネス環境プールの作成: 各基幹業務 (LOB) プールの下に、割り当て用の
/17のサブプールを作成します。これらのプールは、VPC の作成やカスタム割り当てのためにビジネスアカウントと共有できます。
独立したビジネス環境
買収した企業やマルチテナントサービスなどのビジネス環境では、独立した管理やより高いレベルの隔離が必要です。複数のプライベートスコープを作成して、異なる環境を管理できます。異なるスコープは、独立した管理ポリシーと権限設定を持つことができ、重複する CIDR ブロックを含めることができます。ただし、これらの環境間でネットワークの相互接続が必要かどうかを評価する必要があります。重複する CIDR ブロックは、相互接続中にネットワークの競合を引き起こす可能性があり、慎重な計画が必要です。
たとえば、会社 A が会社 B を買収する企業買収シナリオを考えてみましょう。2 つの会社は、重複する IP アドレス範囲を持つ可能性があります。各会社に個別のスコープを作成して、アドレスが重複していても IPAM での競合を防ぐことができます。また、各スコープを使用して、各会社の IP アドレス割り当てを理解することもできます。この情報を使用して、買収後にネットワークが効果的に動作し、IP アドレスの競合を回避するための適切なネットワーク接続とルーティングモデルを設計できます。
ハイブリッドクラウドとマルチクラウドのネットワーク設計
ハイブリッドクラウドネットワークとマルチクラウドデプロイメントを備えたネットワークアーキテクチャがある場合、IPAM プールにカスタム CIDR 割り当てを作成できます。これにより、データセンターや他のクラウドプロバイダー用に CIDR ブロックが予約されます。この方法により、予約された CIDR ブロックが他のクラウドリソースに割り当てられないようにし、クラウド VPC とデータセンターや他のクラウドプロバイダーの CIDR ブロックとの間の IP アドレスの競合を防ぎます。
IPAM スコープとプールを使用した計画
IPAM スコープと IPAM プールを使用して、使用可能な CIDR ブロックを計画できます。
IPAM を作成すると、デフォルトでパブリックスコープとプライベートスコープが作成されます。これらのスコープは削除できません。
パブリックスコープ: サービス計画とリソース割り当てのために、デフォルトの Alibaba Cloud IPv6 アドレスセグメントの割り当てをサポートします。
プライベートスコープ: IPv4 アドレスセグメントの割り当てと使用をサポートします。異なるプライベートスコープを作成して、異なるアドレス空間を独立して管理できます。
異なるプライベートスコープを作成して、重複するアドレス範囲を持つ異なるエンティティの個別の IP アドレス空間を独立して管理できます。これは、企業買収、マルチテナント環境、またはセキュリティ隔離などのシナリオに適しています。
IPAM プールを作成し、リージョン、部門、またはサービスに基づいてアドレスセグメントを階層的に分割します:
管理および使用を計画している CIDR ブロックをトップレベルプールにプロビジョニングします。
異なる IPAM スコープのプールにプロビジョニングされた CIDR ブロックは重複する可能性があります。したがって、異なる環境間でネットワークの相互接続が必要かどうかを評価する必要があります。ネットワークが相互接続されている場合、重複する CIDR ブロックはアクセス競合を引き起こす可能性があり、慎重な計画が必要です。
同じ IPAM スコープ内で、複数のトップレベルプールを作成できますが、これらのトップレベルプールにプロビジョニングされた CIDR ブロックは重複できません。
リージョンまたはサービスに基づいて、トップレベルプールの計画された CIDR ブロックを分割して、複数レベルの IPAM サブプールを作成します。これにより、異なる環境が重複しないアドレス範囲を使用し、競合を回避できます。
コンソール
IPAM スコープを使用した独立したアドレス空間の計画
IPAM コンソールに移動します。トップメニューバーで、IPAM を作成するリージョンを選択します。これは IPAM の管理リージョンです。
[IPAM の作成] をクリックします。管理リージョンに加えて、他の [適用リージョン] を追加できます。IPAM は、すべての適用リージョン内のアドレスリソースを一元管理します。IPAM が作成された後、適用リージョンを追加または削除できます。ただし、管理リージョンは削除できません。
デフォルトでは、パブリックスコープとプライベートスコープが作成されます。追加の独立した IPv4 アドレス空間を作成するには、[IPAM スコープ] ページに移動し、[スコープの作成] をクリックします。
IPAM プールを作成してアドレスセグメントを計画する
IPAM コンソール - IPAM プールページに移動します。ページの上部で、IPAM の管理リージョンを選択し、[プールの作成] をクリックします。
IPAM スコープ: 計画する必要があるアドレスセグメントの IP バージョンに基づいてスコープを選択します。
CIDR 範囲:
IPAM: IPAM スコープにトップレベルプールを作成します。サービスのアドレスセグメントを初めて計画する場合にこのオプションを選択します。
IPAM プール: 別の IPAM プールを [ソース IPAM プール] として使用してサブプールを作成します。ソースプールから CIDR ブロックを選択して、新しいサブプールにプロビジョニングできます。既存のアドレス空間をさらに細分化する場合にこのオプションを選択します。
IP バージョン: [IPAM スコープ] のアドレスセグメントの IP バージョン。
パブリックスコープを選択した場合、IPv6 のみがサポートされます。IPv6 CIDR ブロックタイプには [BGP (マルチ ISP) の割り当て] を選択します。
プライベートスコープを選択した場合、IPv4 のみがサポートされます。
適用リージョン: リソースのリージョンが適用リージョンと同じである場合にのみ、リソースにプールからアドレスを割り当てることができます。
適用リージョンは IPAM の適用リージョンの範囲内である必要があり、設定後に変更することはできません。
このパラメーターは、IPv6 アドレスセグメントを計画する際に必要です。サブプールは、ソースプールから適用リージョンを継承します。
このパラメーターは、IPv4 アドレスセグメントを計画する際にはオプションです。ソースプールに適用リージョンが設定されている場合、サブプールはそれを継承します。ソースプールに適用リージョンが設定されていない場合、サブプールに設定する適用リージョンは IPAM の適用リージョンの範囲内である必要があります。
検出されたリソースを自動的にインポート: この機能を有効にすると、IPAM は継続的に リソース検出を使用して適用リージョン内の VPC を検索します。その後、CIDR ブロックが現在のプールの範囲内にあり、まだ IPAM でアドレス管理用に割り当てられていないリソースをインポートします。
このパラメーターは、[適用リージョン] を設定した後にのみ有効になります。プールに [適用リージョン] が設定されていない場合、[自動インポート] を有効にすることはできません。
IPAM が複数の重複する CIDR ブロックを検出した場合、最大の CIDR ブロックのみを自動的にインポートします。
IPAM が複数の同一の CIDR ブロックを検出した場合、そのうちの 1 つのみをランダムにインポートします。
IPAM プールインスタンスを作成した後、その詳細ページの [詳細] タブまたは [編集] ページで自動インポートを有効または無効にできます。
プロビジョニングされた CIDR: プロビジョニングされた CIDR ブロックを持つ IPAM プールからのみリソースに CIDR を割り当てることができます。
IPv6 トップレベルプールの場合、アドレスマスクを選択して 1 つの CIDR ブロックをプロビジョニングすることしかできません。IPv4 トップレベルプールの場合、アドレスセグメントを入力して複数の CIDR ブロックをプロビジョニングすることしかできません。
サブプールの場合、アドレスセグメントを入力するか、アドレスマスクを選択するか、可視化インターフェイスでソースプールの割り当て可能な部分を選択することで、複数の CIDR ブロックをプロビジョニングできます。
IPAM プールを作成した後、IPAM プールインスタンス詳細ページの [CIDR] タブで CIDR ブロックをプロビジョニングできます。
割り当てルール: プールからリソースに CIDR ブロックを割り当てる場合、マスク長は最小ネットワークマスク長と最大ネットワークマスク長の間でなければなりません。マスク長が指定されていない場合は、デフォルトのネットワークマスク長が使用されます。
IPv6 アドレスプールの最小、デフォルト、および最大ネットワークマスク長の有効値は 0 から 128 です。IPv4 アドレスプールの場合、0 から 32 です。
これらのルールは、IPAM プールインスタンス詳細ページの [コンプライアンスルール] タブで変更できます。
プロビジョニングされた CIDR ブロックを持つプールの場合、サブプールを作成するか、IPAM 計画で VPC を作成できます。
CIDR ブロックのプロビジョニング解除
CIDR ブロックをプロビジョニング解除する前に、VPC または IPAM プールにアドレスが割り当てられておらず、カスタム割り当てが存在しないことを確認してください。ターゲットプールインスタンスの ID をクリックするか、[アクション] 列の [管理] をクリックします。[CIDR] タブで、ターゲット CIDR ブロックを見つけ、[アクション] 列の [プロビジョニング解除] をクリックします。
IPAM プールの削除
プールを削除する前に、プロビジョニングされたすべての CIDR ブロックがプロビジョニング解除されていることを確認してください。プールの [アクション] 列またはその詳細ページで、[削除] をクリックします。
IPAM スコープの削除
2 つのデフォルトスコープは削除できません。カスタムスコープを削除するには、まずその中のすべての IPAM プールを削除してから、[アクション] 列またはスコープの詳細ページで [削除] をクリックする必要があります。
IPAM の削除
IPAM を削除する前に、すべての IPAM プールとカスタムスコープが削除されていることを確認してください。ターゲット IPAM の [アクション] 列またはその詳細ページで、[削除] をクリックします。
API
IPAM スコープを使用した独立したアドレス空間の計画
OpenVpcIpamService を呼び出して IPAM をアクティブ化します。
CreateIpam を呼び出して IPAM を作成します。
CreateIpamScope を呼び出してプライベート IPAM スコープを作成します。
IPAM プールを作成して CIDR ブロックをプロビジョニングする
CreateIpamPool を呼び出して IPAM プールを作成します。
AddIpamPoolCidr を呼び出して IPAM プールに CIDR ブロックをプロビジョニングします。
リソースのクリーンアップ
DeleteIpamPoolCidr を呼び出して、IPAM プールにプロビジョニングされている CIDR ブロックを削除します。
DeleteIpamPool を呼び出して IPAM プールを削除します。
DeleteIpamScope を呼び出してカスタム IPAM スコープを削除します。
DeleteIpam を呼び出して IPAM を削除します。
Terraform
リソース: alicloud_vpc_ipam_service、alicloud_vpc_ipam_ipam、alicloud_vpc_ipam_ipam_scope、alicloud_vpc_ipam_ipam_pool、alicloud_vpc_ipam_ipam_pool_cidr
# IPAM を作成するリージョンを指定します。
provider "alicloud" {
region = "cn-hangzhou"
}
# 初めて IPAM を使用する場合は、IPAM サービスをアクティブ化する必要があります。
resource "alicloud_vpc_ipam_service" "example_ipam_service" {
}
# IPAM を作成します。
resource "alicloud_vpc_ipam_ipam" "example_ipam" {
ipam_name = "example_ipam_name"
operating_region_list = ["cn-hangzhou"] # IPAM の適用リージョンを指定します。
}
# IPAM スコープを作成します。
resource "alicloud_vpc_ipam_ipam_scope" "example_ipam_scope" {
ipam_scope_name = "example_ipam_scope_name"
ipam_id = alicloud_vpc_ipam_ipam.example_ipam.id
ipam_scope_type = "private" # プライベートスコープ。
}
# IPAM プールを作成します。
resource "alicloud_vpc_ipam_ipam_pool" "example_parentIpamPool" {
ipam_scope_id = alicloud_vpc_ipam_ipam_scope.example_ipam_scope.id # IPAM プールのスコープを指定します。
ipam_pool_name = "example_parentIpamPool_name"
pool_region_id = alicloud_vpc_ipam_ipam.example_ipam.region_id # IPAM プールの適用リージョンを指定します。
ip_version = "IPv4" # IPAM プールの IP バージョンを指定します。
}
# IPAM プールに CIDR ブロックを割り当てます。
resource "alicloud_vpc_ipam_ipam_pool_cidr" "example_ipamPoolCidr" {
cidr = "10.0.0.0/16" # CIDR ブロックを指定します。
ipam_pool_id = alicloud_vpc_ipam_ipam_pool.example_parentIpamPool.id # IPAM プールの ID を指定します。
}
# IPAM サブプールを作成します。
resource "alicloud_vpc_ipam_ipam_pool" "example_childIpamPool" {
ipam_pool_name = "example_childIpamPool_name"
ipam_scope_id = alicloud_vpc_ipam_ipam_scope.example_ipam_scope.id # IPAM プールのスコープを指定します。
pool_region_id = alicloud_vpc_ipam_ipam.example_ipam.region_id # IPAM プールの適用リージョンを指定します。
source_ipam_pool_id = alicloud_vpc_ipam_ipam_pool.example_parentIpamPool.id # ソース IPAM プールの ID を指定します。
ip_version = "IPv4" # IPAM プールの IP バージョンを指定します。
}
# IPAM サブプールに CIDR ブロックを割り当てます。
resource "alicloud_vpc_ipam_ipam_pool_cidr" "example_childIpamPoolCidr" {
cidr = "10.0.0.0/24" # CIDR ブロックを指定します。
ipam_pool_id = alicloud_vpc_ipam_ipam_pool.example_childIpamPool.id # IPAM プールの ID を指定します。
}計画されたプールを複数のアカウントと共有する
ネットワーク管理者は、アドレスプールをビジネスアカウント (プリンシパル) と共有できます。ビジネスアカウントは、共有プールを使用して VPC にアドレスを割り当てたり、カスタム割り当てを作成したりできます。
任意 の Alibaba Cloud アカウントとリソースを共有する: プリンシパルはリソース共有の招待を承諾する必要があります。
リソースディレクトリ内で共有する: プリンシパルは招待を確認する必要がなく、デフォルトで承諾します。
コンソール
このセクションでは、IPAM プールを任意のアカウントと共有する方法について説明します。リソースディレクトリ内での共有の詳細については、「リソースディレクトリ内でのみリソースを共有する」をご参照ください。
IPAM プールを共有する
プールオーナーとしてログオンし、IPAM コンソール - IPAM プールページに移動します。ページの上部で、ターゲットプールのリージョンを選択します。ターゲットプールインスタンスの ID をクリックするか、[アクション] 列の [管理] をクリックします。[共有管理] タブで、[リソース共有の作成] をクリックします。
[リソース共有の作成] ページで、手順に従ってリソース共有を構成します。
[リソース] を [IPAM プール] に設定し、共有する IPAM プールを選択します。
IPAM プールリソースの権限は AliyunRSDefaultPermissionIpamPool です。
[プリンシパル] で、[任意のアカウントとリソースを共有] を選択します。[追加方法] で、[手動で追加] を選択します。[プリンシパル ID] フィールドに、プールのプリンシパルの Alibaba Cloud アカウント ID を入力し、[追加] をクリックします。
構成を確認した後、ページ下部の [OK] をクリックします。
プールのプリンシパルのアカウントを使用してログオンし、共有の招待を承諾します:
Resource Management コンソールの リソース共有 - 自分と共有ページに移動します。
トップメニューバーの左上隅で、共有リソースが配置されているリージョンを選択します。次に、ターゲットリソース共有の [ステータス] 列にある [承諾] をクリックします。
リソースが共有された後、プリンシパルは [IPAM プール] ページの [自分と共有されているプール] タブで表示できます。プリンシパルはこのプールを使用して IPAM で VPC を計画および作成するか、IPAM で VPC を計画および作成することができます。
共有の停止
プールオーナーのアカウントでログオンします。[IPAM プール] 詳細ページの [共有管理] タブで、削除したい [リソース共有] をクリックします。その詳細ページで、[リソース共有の削除] を選択します。
共有を停止した後、プールのプリンシパルはプールを表示できなくなりますが、共有プールを使用して作成されたアドレス割り当ては影響を受けません。作成された VPC が削除されると、対応するプールの割り当てが解放されます。
プールオーナーは、VPC タイプの割り当ての解放や、プールのプリンシパルによって作成されたカスタム割り当ての解放を含む、プールの割り当てを管理することができます。
API
IPAM プールを共有する
方法 1: 任意のアカウントと共有する
プールオーナーの認証情報を使用して、CreateResourceShare を呼び出してリソース共有を作成し、
AllowExternalTargetsパラメーターをTrueに設定してください。プールのプリンシパルの認証情報を使用して、まず ListResourceShareInvitations を呼び出して受信したリソース共有の招待をクエリし、次に AcceptResourceShareInvitation を呼び出して招待を承諾します。
方法 2: リソースディレクトリ内でのみ共有する
リソースディレクトリの管理アカウントの認証情報を使用して、EnableSharingWithResourceDirectory を呼び出してリソースディレクトリのリソース共有を有効にします。
プールのプリンシパルの認証情報を使用して、CreateResourceShare を呼び出してリソース共有を作成し、
AllowExternalTargetsパラメーターをTrueに設定してください。
共有の停止
プールオーナーの認証情報を使用して、DeleteResourceShare を呼び出してリソース共有を削除します。
Terraform
Terraform は現在、IPAM プールの共有をサポートしていません。
詳細情報
課金
IP Address Manager (IPAM) 機能はパブリックプレビュー中であり、この期間中は無料で使用できます。
クォータ制限
クォータ名 | 説明 | デフォルトの制限 | クォータの引き上げ |
ipam_quota_per_region | ユーザーが各リージョンで作成できる IPAM の数。 | 1 | 引き上げ不可 |
ipam_scope_quota_per_ipam | 各 IPAM で作成できる IPAM スコープの数。 | 5 | |
ipam_pool_quota_depth | 各アドレスプールの最大深度。 | 10 | |
ipam_cidr_quota_per_ipam_pool | 各アドレスプールでプロビジョニングできる CIDR ブロックの数。 | 50 | |
ipam_sub_pool_quota_per_ipam_pool | 各アドレスプールで作成できるサブプールの数。 | 50 | |
ipam_pool_quota_per_scope | 各プライベート IPAM スコープで作成できるアドレスプールの数。 | 500 | |
resource_share_quota_per_ipam_pool | 各 IPAM プールで作成できるリソース共有の数。 | 100 | |
shared_ipam_pool_quota_per_user | 各ユーザーが持つことができる共有アドレスプールの数。 | 100 | |
ipam_public_ipv6_top_pool_quota_per_region_isp | ユーザーが各リージョンで作成できる各 ISP タイプのパブリック IPv6 IPAM トップレベルプールの数。 | 1 | |
ipam_cidr_quota_per_public_ipv6_top_pool | ユーザーが各リージョンのパブリック IPv6 IPAM トップレベルプールにプロビジョニングできる CIDR ブロックの数。 | 1 |