全部產品
Search

搜尋本產品

    Virtual Private Cloud:地址資源管理

    文件中心

    Virtual Private Cloud:地址資源管理

    更新時間:Feb 05, 2026

    地址統一規劃的基礎上,IPAM 支援地址資源管理與資源監控:

    • 從位址集區分配資源:基於已劃分的位址集區,為 VPC 分配符合商務規則的 IP 位址,實現企業內部地址的統一分配。

    • 發現全域地址資源:使用資摘要搜索統一發現生效地區內的資源,查看地址利用率和重疊情況。

    • 多帳號統一管理:結合資來源目錄,通過指定 IPAM 的委派管理員啟用 IPAM 可信服務,統一管理成員帳號的 IP 位址資源。

    • 資源監控:使用 IP 位址監控功能,實現更有效資源規劃與分配,保障網路的穩定性與安全性。

    從規劃的位址集區中分配地址

    地址規劃時,支援將頂級池已規劃的CIDR分配給子位址集區。還支援:

    • VPC 網段分配:為 VPC 分配主網段或附加網段時,IPAM 確保分配的網段不重疊,避免VPC互連時出現地址衝突。

    • 混合雲/多雲地址預留:建立自訂分配預留本機資料中心/其他雲廠商的業務位址區段,確保不會分配給雲上資源,避免串連時發生衝突。

    網路系統管理員將規劃的IPAM位址集區共用給業務帳號(位址集區使用者)後,業務帳號可以使用共用位址集區,為VPC分配地址或建立自訂分配。

    image

    控制台

    請確保已建立IPAM和IPAM位址集區

    為 VPC 分配網段

    • 結合 IPAM 建立 VPC:

      1. 前往專用網路控制台的建立專用網路頁面。

      2. 使用IPAM 分配的 IPv4 位址區段,選擇IPv4位址集區並配置掩碼,系統會預設分配指定掩碼範圍內第一個可用的CIDR,可以在位址集區預置CIDR內調整分配的IPv4網段。

      3. 需開啟IPv6時,可以使用IPAM 分配的 IPv6 位址區段,選擇IPv6位址集區並配置位址遮罩或指定CIDR。

    • 為已有 VPC 添加附加網段:

      1. 添加IPv4網段:在目標VPC詳情頁的網段管理頁簽,單擊添加附加IPv4網段,使用IPAM 分配的 IPv4 位址區段,選擇IPv4位址集區並配置掩碼。系統會預設分配指定掩碼範圍內第一個可用的CIDR。

      2. 添加IPv6網段:VPC未開啟IPv6時,單擊開通IPv6;已開啟時,單擊添加IPv6網段。使用IPAM 分配的 IPv6 位址區段,選擇IPv6位址集區並配置位址遮罩或指定CIDR。

    建立自訂分配

    建立自訂分配前,需確保目標位址集區已預置CIDR

    1. 前往IPAM控制台 - IPAM位址集區,在頁面上方選擇目標位址集區所在的地區。

    2. 單擊目標位址集區執行個體ID或操作列的管理,在分配頁簽,單擊创建自定义分配,預留的位址區段不會分配給雲上資源。

    3. 輸入CIDR或單擊已預置CIDR的可分配地區,支援添加多個CIDR。

    釋放地址分配

    前往目標位址集區詳情頁的分配頁簽,在目標分配的操作列單擊释放

    • 支援釋放專用網路、自訂配置類型的分配。

    • 釋放專用網路類型的分配時,僅解除VPC與位址集區的分配關係,不會刪除VPC。

    API

    結合 IPAM 建立 VPC

    • 分配IPv4網段:調用CreateVpc時傳入Ipv4IpamPoolId來指定IPAM位址集區,同時傳入Ipv4CidrMask來指定掩碼從IPAM位址集區中分配地址作為建立VPC的IPv4網段。也可以傳入CidrBlock來指定VPC使用的網段,而不是通過指定掩碼自動分配網段。

    • 分配IPv6網段:在分配IPv4網段的同時,傳入Ipv6IpamPoolIdIpv6CidrMask,將從指定的IPv6位址集區中為VPC分配IPv6網段。

    為已有 VPC 添加附加網段

    • 添加IPv4網段:調用AssociateVpcCidrBlock,傳入IpamPoolId指定IPAM位址集區,同時傳入SecondaryCidrMaskSecondaryCidrBlock

    • 添加IPv6網段:調用AssociateVpcCidrBlock,傳入IpamPoolId指定IPAM位址集區,同時傳入Ipv6CidrMaskIPv6CidrBlock

    建立自訂分配

    調用CreateIpamPoolAllocation從IPAM位址集區建立自訂分配,預留指定位址區段。

    釋放分配

    調用DeleteIpamPoolAllocation釋放IPAM位址集區的地址分配。

    Terraform

    Terraform當前暫不支援結合IPAM為VPC分配IPv6網段。
    Resources:alicloud_vpcalicloud_vpc_ipv4_cidr_blockalicloud_vpc_ipam_ipam_pool_allocation
    # 指定IPAM位址集區所在的地區
provider "alicloud" {
  region = "cn-hangzhou"
}

# 指定IPAM位址集區的ID
variable "ipam_pool_id" {
  default = "ipam-pool-bp10******" # 修改為IPAM位址集區的實際ID
}

# 建立VPC,為VPC分配主網段
resource "alicloud_vpc" "example_ipam_vpc" {
  vpc_name          = "example_ipam_vpc_name"
  ipv4_ipam_pool_id = var.ipam_pool_id # 指定IPAM位址集區的ID
  ipv4_cidr_mask    = 24               # IPv4網路遮罩
}

# 為 VPC 分配附加網段
resource "alicloud_vpc_ipv4_cidr_block" "example_secondary_cidr_block" {
  vpc_id              = alicloud_vpc.example_ipam_vpc.id #指定VPC的ID
  ipv4_ipam_pool_id   = var.ipam_pool_id                 # 指定IPAM位址集區的ID
  secondary_cidr_mask = 20                               # IPv4網路遮罩
}

# 建立自訂分配
resource "alicloud_vpc_ipam_ipam_pool_allocation" "example_ipam_pool_allocation" {
  ipam_pool_allocation_name = "example_ipam_pool_allocation_name"
  ipam_pool_id              = var.ipam_pool_id # 指定IPAM位址集區的ID
  cidr                      = "10.0.160.0/22"  #預留指定的CIDR
}

    限制從IPAM位址集區為VPC分配網段

    多帳號企業中,各業務帳號獨立建立 VPC 時若隨意分配私網網段,VPC互連時易因網段衝突無法連通。使用管理帳號建立管控策略,與資源夾或成員綁定,限制業務帳號只能從共用的IPAM位址集區中為 VPC 分配網段。IPAM 確保分配的網段不重疊,避免VPC互連時出現地址衝突。

    管控策略對所有資來源目錄成員中的RAM使用者和RAM角色生效,但對成員的根使用者不生效。同時,資來源目錄的管理帳號位於資來源目錄外部,不歸屬於資來源目錄,所以管控策略對管理帳號內的所有身份也不生效。

    管控策略一:限定使用者從位址集區建立VPC和為VPC添加附加網段

    {
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}

    管控策略二:限定使用者從特定位址集區建立VPC

    使用者需要選擇與"vpc:Ipv4IpamPoolId"的設定值一致的IPAM位址集區,才能夠成功建立VPC。

    {
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "StringNotEquals": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
        }
      }
    },
    {
      "Action": [
        "vpc:CreateVpc"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}

    管控策略三:限定使用者使用特定位址集區建立VPC和為VPC添加附加網段

    • 建立VPC時,選擇與"vpc:Ipv4IpamPoolId"的設定值一致的IPAM位址集區;

    • 添加附加網段時,選擇IPAM 分配的 IPv4 位址區段,並使用與"vpc:Ipv4IpamPoolId"的設定值一致的IPAM位址集區。

    {
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "ForAllValues:StringNotLikeIfExists": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
        }
      }
    }
  ],
  "Version": "1"
}

    使用資摘要搜索查看地址使用方式

    使用規劃的IPAM位址集區分配地址,可以確保為VPC分配符合商務規則的網段。針對存量VPC和交換器資源,以及獨立於 IPAM 建立的VPC,可以使用資摘要搜索查看全量VPC和交換器位址區段資訊。

    結合IPAM建立的VPC管理狀態為托管,而存量資源和未結合IPAM建立資源管理狀態為未托管。符合規則、被匯入到位址集區的資源,管理狀態會轉化為托管

    使用資摘要搜索納管地址

    資摘要搜索會持續尋找並跟蹤生效地區內VPC和交換器網段的IP利用率。關聯 IPAM 後,IPAM 統一管理被發現的位址區段。

    1、預設資摘要搜索的生效地區與IPAM保持一致,無法修改。
    2、資摘要搜索更新頻率為5分鐘。

    • 建立 IPAM 時,系統建立預設資摘要搜索並與 IPAM 關聯。符合以下規則的 VPC 網段會被自動匯入到對應位址集區進行統一管理。規則如下:

      • 僅匯入在位址集區預置 CIDR 範圍內且未分配的位址區段。

      • 僅匯入到預設作用範圍下開啟自动导入发现的资源的位址集區。

      • 發現的多個 CIDR 存在重疊關係時,IPAM 僅匯入範圍最大的 CIDR。

      • 發現多個相同的 CIDR 時,IPAM 將隨機匯入其中一個。

    • 未建立IPAM時,可建立自訂資摘要搜索,跟蹤VPC和交換器網段的IP使用率。在託管地區建立IPAM後,將自動轉換為預設資摘要搜索。

    image

    控制台

    建立資摘要搜索

    • 建立 IPAM 時,系統會建立預設資摘要搜索並與IPAM關聯。

    • 未建立 IPAM 時,建立自訂資摘要搜索。

      1. 前往IPAM 控制台 - 資摘要搜索,在頁面上方選擇建立資摘要搜索的地區(即資摘要搜索的託管地區),單擊创建资源发现

      2. 可以在託管地區的基礎上增加其他生效地區,資摘要搜索會持續尋找生效地區內的VPC和交換器網段。

      3. 建立完成後,也可以添加/刪除生效地區,但包含的託管地區無法刪除。

    • 建立完成後,可以在資摘要搜索詳情頁的已发现资源頁簽下查看生效地區內VPC和交換器網段的IP使用方式。

    刪除資摘要搜索

    • 預設資摘要搜索:只能通過刪除 IPAM,來刪除預設建立的資摘要搜索。

    • 自訂資摘要搜索:單擊自訂資摘要搜索操作列的刪除

    API

    未建立 IPAM 時:

    Terraform

    未建立 IPAM 時,可以建立自訂資摘要搜索。
    Resources:alicloud_vpc_ipam_ipam_resource_discovery
    # 指定未建立IPAM、可建立自訂資摘要搜索的地區
provider "alicloud" {
  region = "cn-shanghai"
}

resource "alicloud_vpc_ipam_ipam_resource_discovery" "example_ipam_resource_discovery" {
  operating_region_list               = ["cn-shanghai"]     # 指定IPAM資摘要搜索的生效地區
  ipam_resource_discovery_name        = "example_ipam_resource_discovery_name"
}

    共用資源發現統一管理地址使用

    業務帳號使用非規劃網段建立資源容易引發地址衝突。網路系統管理員可以關聯IPAM和業務帳號共用的資摘要搜索,統一管理多帳號下的資源,解決地址衝突。

    預設資摘要搜索和自訂資摘要搜索均支援共用。

    資摘要搜索所有者和使用者的操作許可權

    功能

    資源所有者(本例中的業務帳號)

    資源使用者(本例中的網路系統管理員)

    關聯資摘要搜索和IPAM

    支援

    支援

    解除資摘要搜索和IPAM的關聯

    支援

    支援

    修改資摘要搜索

    支援

    僅支援修改資摘要搜索的名稱、描述和所屬資源群組

    資源所有者和資源使用者可各自獨立設定資摘要搜索的名稱/描述/資源群組,預設保留資源所有者設定的名稱與描述。

    刪除資摘要搜索

    不共用後,支援刪除

    不支援

    查詢資摘要搜索關聯的地址資源

    支援

    支援

    查詢資摘要搜索關聯的帳號

    支援

    支援

    image

    共用資源發現的生效地區和網路系統管理員的IPAM生效地區允許存在不一致,但託管地區(即建立地區)必須保持一致。生效地區存在不一致時:

    • 資源所有者(即本例中的業務帳號)和網路系統管理員可以管理和查看資摘要搜索的生效地區內的全部資源。

    • 網路系統管理員將資摘要搜索與IPAM關聯後,只能管理IPAM生效地區內的資源。

    控制台

    此處僅介紹將交換器共用給任意賬戶的方式。針對資來源目錄方式,請參考僅在資來源目錄內共用資源

    共用資源發現

    1. 業務帳號將建立的資摘要搜索共用給網路系統管理員:

      1. 前往IPAM 控制台 - 資摘要搜索,在頁面上方選擇目標資摘要搜索所在地區。單擊目標資摘要搜索執行個體ID或操作列的管理,在共享管理頁簽,單擊创建资源共享

      2. 創建共享單元頁面,按照步驟指引完成資源共用配置。

        1. 資源修改為IPAM资源发现,並選擇要共用的IPAM資摘要搜索。

        2. 對於IPAM資摘要搜索,關聯許可權為AliyunRSDefaultPermissionIpamResourceDiscovery

        3. 資源使用者範圍選擇允许共享给任意账号添加方式選擇手動添加,使用者ID輸入位址集區使用者的阿里雲帳號ID,並點擊添加

        4. 檢查無誤後,在頁面底部單擊確定

    2. 登入網路系統管理員帳號,接受共用邀請:

      1. 前往資源管理主控台的資源共用-共用給我頁面。

      2. 在頂部功能表列左上處,選擇共用資源所在的地區,再單擊目標共用單元状态列的接受

      3. 共用成功後,網路系統管理員可分別查看各業務帳號下的資源與地址利用率等資訊。

    3. 網路系統管理員將共用的資摘要搜索與託管地區一致的IPAM關聯:

      1. 前往IPAM 控制台 - IPAM,在頁面上方選擇目標IPAM所在地區。單擊目標IPAM執行個體ID或操作列的管理,在关联资源发现頁簽,單擊关联资源发现,選擇業務帳號共用的資摘要搜索。

      2. 關聯完成後,網路系統管理員可統一管理IPAM生效地區內的資源,在IPAM作用范围资源管理頁簽查看地址重疊與利用率等資訊。

    取消關聯 IPAM 與資摘要搜索

    只有主動建立的關聯關係可以被取消。建立IPAM時預設建立並關聯的資摘要搜索,無法取消關聯。

    單擊目標IPAM的关联资源发现頁簽下,單擊目標資摘要搜索操作列的解除关联。取消關聯後,IPAM將無法管理資摘要搜索尋找到的地址資源。

    不共用資摘要搜索

    使用業務帳號,在资源发现詳情頁的共享管理頁簽下,單擊目標共用單元進入詳情頁,選擇刪除共享單元

    即使網路系統管理員已經將資摘要搜索與IPAM關聯,業務帳號也可以不共用。取消後,關聯關係將被自動刪除。

    API

    共用資源發現

    • 將資摘要搜索共用給任意賬戶

      1. 使用業務帳號的身份憑證,調用CreateResourceShare建立共用單元,並確保將AllowExternalTargets參數設為True

      2. 使用網路系統管理員的身份憑證,先調用ListResourceShareInvitations查詢收到的資源共用邀請,再調用AcceptResourceShareInvitation接受共用。

    • 僅在資來源目錄內共用資源發現

      1. 使用資來源目錄管理帳號的身份憑證,調用EnableSharingWithResourceDirectory啟用資來源目錄組織共用。

      2. 使用業務帳號的身份憑證,調用CreateResourceShare建立共用單元,並確保將AllowExternalTargets參數設為True

    • 使用業務帳號的身份憑證,調用DeleteResourceShare刪除共用單元,不共用資摘要搜索。

    關聯資摘要搜索與IPAM

    Terraform

    Terraform暫不支援共用資源發現。

    多帳號地址資源管理

    當企業已使用資來源目錄搭建多帳號體系時,資來源目錄的管理帳號可設定 IPAM 委派管理員。IPAM 委派管理員可統一查看企業多帳號下的IP地址資源使用資訊。

    image

    適用範圍

    IPAM 可信服務只支援資來源目錄的 IPAM 委派管理員操作,不允許組織管理員或其他成員進行操作。

    • 添加委派:資來源目錄僅支援添加一個 IPAM 可信服務委派管理員,且委派管理員帳號只能是資來源目錄的成員,不能是組織管理帳號。

    • 管理成員: 

      • IPAM 委派管理員新增成員後,將啟用所在資來源目錄的 IPAM 可信服務;移除全部成員時,將關閉 IPAM 可信服務。

      • IPAM 委派管理員只能選定一個地區的 IPAM 執行個體管理資來源目錄成員,如果想更換其他地區的 IPAM 執行個體進行多帳號管理,需要將當前地區的 IPAM 管理成員全部移除後,在其他地區的 IPAM 多帳號管理頁面新增成員。

      • 不允許 IPAM 委派管理員將資來源目錄根節點或資來源目錄根資源夾作為成員進行管理。

      • 不允許 IPAM 所管理的成員帳號將自己的資摘要搜索共用給 IPAM 委派管理員。

      • 當 IPAM 可信服務管理的成員帳號和配額相等時,如果資來源目錄中納管的資源夾成員增加成員帳號,IPAM 可信服務的管理範圍將不包括超出配額的成員帳號。

    • 取消委派:當 IPAM 委派管理員移除全部納管成員時,即可刪除 IPAM 委派管理員帳號,或取消委派。

    控制台

    1. 確保已開通資來源目錄並建立多帳號體系

    2. 使用資來源目錄的管理帳號,前往資源管理-可信服務列表頁,單擊IP地址管理操作列的管理,在委派管理員帳號地區,添加資來源目錄的成員為 IPAM 委派管理員。

    3. 使用 IPAM 委派管理員帳號建立 IPAM 後,可前往IPAM - 多帳號管理頁面新增成員。添加後,委派管理員即可使用資摘要搜索查看 IPAM 生效地區中所有納管成員帳號下的 IP 位址使用方式。

      資摘要搜索更新頻率為 5 分鐘。
      IPAM 委派管理員納管成員時,IPAM 會給納管成員所包含的成員帳號建立服務關聯角色,並配置以下權限原則。

      為服務關聯角色配置的權限原則

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DescribeNetworkInterfaces",
        "ecs:DescribeSecurityGroups",
        "vpc:DescribeEipAddresses",
        "vpc:DescribeHaVips",
        "vpc:DescribeIpv6Addresses",
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*"
    },
    {
      "Action": "ram:DeleteServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "vpcipam.vpc.aliyuncs.com"
        }
      }
    }
  ]
}

    API

    1. 調用EnableResourceDirectory開通資來源目錄。結合CreateFolderCreateResourceAccount建立多帳號體系。

    2. 資來源目錄的管理帳號,調用RegisterDelegatedAdministrator設定 IPAM 委派管理員。

    3. IPAM 委派管理員調用OpenVpcIpamService開通 IPAM,並調用CreateIpam建立IPAM。

    4. IPAM 委派管理員調用AddIpamMembers新增成員,統一查看 IPAM 生效地區中所有納管成員帳號下的 IP 位址資源使用資訊。

    資源監控

    監控地址利用率

    監控地址利用率,便於對高利用率資源及時進行擴容。

    • 監控位址集區的地址利用率:前往IPAM控制台 - IPAM位址集區,單擊目標位址集區ID。

      • 详细信息頁簽下,可查看位址集區的可用 IP 數與分配給資源和子位址集區的 IP 數。若目標位址集區為子位址集區,可同時查看本池與源位址集區的地址利用率。

      • IP空间可视化分配頁簽下,可查看位址集區的具體分配情況。

    • 監控 VPC 和交換器的地址利用率:

      • 前往IPAM 控制台 - 資摘要搜索,單擊目標資摘要搜索ID,可查看生效地區下全部 VPC 和交換器的 CIDR 和 IP 使用方式。

      • 前往IPAM 控制台 - IPAM作用範圍,單擊目標作用範圍ID。

        • 资源管理頁簽下,可查看該作用範圍內 VPC 和交換器的 CIDR 和地址利用率。單擊目標 VPC 或交換器 ID,可查看 IP 使用方式。

        • 監控圖表頁簽下,可以從時間維度以折線圖形式監控該作用範圍內 VPC 和交換器的地址利用率。

    監控地址重疊情況

    監控地址重疊,可以主動發現並解決網路連接中的地址衝突,確保實現網路互連時不會引起存取違規。

    前往IPAM 控制台 - IPAM作用範圍,單擊目標作用範圍ID。

    • 资源管理頁簽下,可查看該作用範圍內 VPC 和交換器網段的重疊情況。存在網段重疊時,可以單擊重叠状态(重叠)>查看,查看與當前資源存在衝突的具體執行個體。

    • 監控圖表頁簽下,可以從時間維度以折線圖形式監控該作用範圍內 CIDR 的重疊數量。

    監控位址區段管理狀態和合規性

    前往IPAM 控制台 - IPAM作用範圍,單擊目標作用範圍ID,可以在概览资源管理監控圖表頁簽,查看資源的 CIDR 是否通過 IPAM 位址集區分配(即是否託管)以及是否符合 IPAM 位址集區的分配規則(即是否合規)。

    更多資訊

    計費說明

    IP地址管理(IPAM)功能進行中公測,公測期間免費使用。

    配額限制

    配額名稱

    描述

    預設限制

    提升配額

    ustom_ipam_resource_discovery_quota_per_region

    單地區單帳號允許建立的自訂資摘要搜索數量

    1 個

    無法提升

    resource_share_quota_per_ipam_resource_discovery

    每個資摘要搜索支援建立的共用資源數量

    100 個

    shared_ipam_resource_discovery_quota_per_user

    每個使用者允許擁有的共用資源發現的數量

    100 個

    ipam_resource_directory_member_detail_quota

    IPAM 可信服務管理的成員所包括所有成員帳號的最大數量

    1000 個