全部產品
Search

搜尋本產品

    Virtual Private Cloud:地址資源管理

    文件中心

    Virtual Private Cloud:地址資源管理

    更新時間:Sep 12, 2025

    地址統一規劃的基礎上,IPAM 支援地址資源管理與資源監控:

    • 從位址集區分配資源:基於已劃分的位址集區,為 VPC 分配符合商務規則的 IP 位址,實現企業內部地址的統一分配。

    • 發現全域地址資源:使用資摘要搜索統一發現生效地區內的資源,查看地址利用率和重疊情況。

    • 資源監控:使用 IP 位址監控功能,實現更有效資源規劃與分配,保障網路的穩定性與安全性。

    從規劃的位址集區中分配地址

    地址規劃時,支援將頂級池已規劃的CIDR分配給子位址集區。還支援:

    • VPC 網段分配:為 VPC 分配主網段或附加網段時,IPAM 確保分配的網段不重疊,避免VPC互連時出現地址衝突。

    • 混合雲/多雲地址預留:建立自訂分配預留本機資料中心/其他雲廠商的業務位址區段,確保不會分配給雲上資源,避免串連時發生衝突。

    網路系統管理員將規劃的IPAM位址集區共用給業務帳號(位址集區使用者)後,業務帳號可以使用共用位址集區,為VPC分配地址或建立自訂分配。

    控制台

    請確保已建立IPAM和IPAM位址集區

    為 VPC 分配網段

    • 結合 IPAM 建立 VPC:

      1. 前往專用網路控制台的建立專用網路頁面。

      2. 使用IPAM分配的IPv4位址區段,選擇IPv4位址集區並配置掩碼,系統會預設分配指定掩碼範圍內第一個可用的CIDR,可以在位址集區預置CIDR內調整分配的IPv4網段。

      3. 需開啟IPv6時,可以使用IPAM分配的IPv6位址區段,選擇IPv6位址集區並配置位址遮罩或指定CIDR。

    • 為已有 VPC 添加附加網段:

      1. 添加IPv4網段:在目標VPC詳情頁的網段管理頁簽,單擊添加IPv4網段,使用IPAM分配的IPv4位址區段,選擇IPv4位址集區並配置掩碼。系統會預設分配指定掩碼範圍內第一個可用的CIDR。

      2. 添加IPv6網段:VPC未開啟IPv6時,單擊開通IPv6;已開啟時,單擊添加IPv6網段。使用IPAM分配的IPv6位址區段,選擇IPv6位址集區並配置位址遮罩或指定CIDR。

    建立自訂分配

    建立自訂分配前,需確保目標位址集區已預置CIDR

    1. 前往IPAM控制台 - IPAM位址集區,在頁面上方選擇目標位址集區所在的地區。

    2. 單擊目標位址集區執行個體ID或操作列的管理,在分配頁簽,單擊建立自訂分配,預留的位址區段不會分配給雲上資源。

    3. 輸入CIDR或單擊已預置CIDR的可分配地區,支援添加多個CIDR。

    釋放地址分配

    前往目標位址集區詳情頁的分配頁簽,在目標分配的操作列單擊釋放

    • 支援釋放專用網路、自訂配置類型的分配。

    • 釋放專用網路類型的分配時,僅解除VPC與位址集區的分配關係,不會刪除VPC。

    API

    結合 IPAM 建立 VPC

    • 分配IPv4網段:調用CreateVpc時傳入Ipv4IpamPoolId來指定IPAM位址集區,同時傳入Ipv4CidrMask來指定掩碼從IPAM位址集區中分配地址作為建立VPC的IPv4網段。也可以傳入CidrBlock來指定VPC使用的網段,而不是通過指定掩碼自動分配網段。

    • 分配IPv6網段:在分配IPv4網段的同時,傳入Ipv6IpamPoolIdIpv6CidrMask,將從指定的IPv6位址集區中為VPC分配IPv6網段。

    為已有 VPC 添加附加網段

    • 添加IPv4網段:調用AssociateVpcCidrBlock,傳入IpamPoolId指定IPAM位址集區,同時傳入SecondaryCidrMaskSecondaryCidrBlock

    • 添加IPv6網段:調用AssociateVpcCidrBlock,傳入IpamPoolId指定IPAM位址集區,同時傳入Ipv6CidrMaskIPv6CidrBlock

    建立自訂分配

    調用CreateIpamPoolAllocation從IPAM位址集區建立自訂分配,預留指定位址區段。

    釋放分配

    調用DeleteIpamPoolAllocation釋放IPAM位址集區的地址分配。

    Terraform

    Terraform當前暫不支援結合IPAM為VPC分配IPv6網段。
    Resources:alicloud_vpcalicloud_vpc_ipv4_cidr_blockalicloud_vpc_ipam_ipam_pool_allocation
    # 指定IPAM位址集區所在的地區
provider "alicloud" {
  region = "cn-hangzhou"
}

# 指定IPAM位址集區的ID
variable "ipam_pool_id" {
  default = "ipam-pool-bp10******" # 修改為IPAM位址集區的實際ID
}

# 建立VPC,為VPC分配主網段
resource "alicloud_vpc" "example_ipam_vpc" {
  vpc_name          = "example_ipam_vpc_name"
  ipv4_ipam_pool_id = var.ipam_pool_id # 指定IPAM位址集區的ID
  ipv4_cidr_mask    = 24               # IPv4網路遮罩
}

# 為 VPC 分配附加網段
resource "alicloud_vpc_ipv4_cidr_block" "example_secondary_cidr_block" {
  vpc_id              = alicloud_vpc.example_ipam_vpc.id #指定VPC的ID
  ipv4_ipam_pool_id   = var.ipam_pool_id                 # 指定IPAM位址集區的ID
  secondary_cidr_mask = 20                               # IPv4網路遮罩
}

# 建立自訂分配
resource "alicloud_vpc_ipam_ipam_pool_allocation" "example_ipam_pool_allocation" {
  ipam_pool_allocation_name = "example_ipam_pool_allocation_name"
  ipam_pool_id              = var.ipam_pool_id # 指定IPAM位址集區的ID
  cidr                      = "10.0.160.0/22"  #預留指定的CIDR
}

    限制從IPAM位址集區為VPC分配網段

    多帳號企業中,各業務帳號獨立建立 VPC 時若隨意分配私網網段,VPC互連時易因網段衝突無法連通。使用管理帳號建立管控策略,與資源夾或成員綁定,限制業務帳號只能從共用的IPAM位址集區中為 VPC 分配網段。IPAM 確保分配的網段不重疊,避免VPC互連時出現地址衝突。

    管控策略對所有資來源目錄成員中的RAM使用者和RAM角色生效,但對成員的根使用者不生效。同時,資來源目錄的管理帳號位於資來源目錄外部,不歸屬於資來源目錄,所以管控策略對管理帳號內的所有身份也不生效。

    管控策略一:限定使用者從位址集區建立VPC和為VPC添加附加網段

    {
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}

    管控策略二:限定使用者從特定位址集區建立VPC

    使用者需要選擇與"vpc:Ipv4IpamPoolId"的設定值一致的IPAM位址集區,才能夠成功建立VPC。

    {
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "StringNotEquals": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
        }
      }
    },
    {
      "Action": [
        "vpc:CreateVpc"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "Null": {
          "vpc:Ipv4IpamPoolId": "true"
        }
      }
    }
  ],
  "Version": "1"
}

    管控策略三:限定使用者使用特定位址集區建立VPC和為VPC添加附加網段

    • 建立VPC時,選擇與"vpc:Ipv4IpamPoolId"的設定值一致的IPAM位址集區;

    • 添加附加網段時,選擇IPAM 分配的 IPv4 位址區段,並使用與"vpc:Ipv4IpamPoolId"的設定值一致的IPAM位址集區。

    {
  "Statement": [
    {
      "Action": [
        "vpc:CreateVpc",
        "vpc:AssociateVpcCidrBlock"
      ],
      "Resource": "*",
      "Effect": "Deny",
      "Condition": {
        "ForAllValues:StringNotLikeIfExists": {
          "vpc:Ipv4IpamPoolId": "ipam-pool-0123456789abcdefg"
        }
      }
    }
  ],
  "Version": "1"
}

    使用資摘要搜索查看地址使用方式

    使用規劃的IPAM位址集區分配地址,可以確保為VPC分配符合商務規則的網段。針對存量VPC和交換器資源,以及獨立於 IPAM 建立的VPC,可以使用資摘要搜索查看全量VPC和交換器位址區段資訊。

    結合IPAM建立的VPC管理狀態為託管,而存量資源和未結合IPAM建立資源管理狀態為未託管。符合規則、被匯入到位址集區的資源,管理狀態會轉化為託管

    使用資摘要搜索納管地址

    資摘要搜索會持續尋找並跟蹤生效地區內VPC和交換器網段的IP利用率。關聯 IPAM 後,IPAM 統一管理被發現的位址區段。

    1、預設資摘要搜索的生效地區與IPAM保持一致,無法修改。
    2、資摘要搜索更新頻率為5分鐘。

    • 建立 IPAM 時,系統建立預設資摘要搜索並與 IPAM 關聯。符合以下規則的 VPC 網段會被自動匯入到對應位址集區進行統一管理。規則如下:

      • 僅匯入在位址集區預置 CIDR 範圍內且未分配的位址區段。

      • 僅匯入到預設作用範圍下開啟自動匯入發現的資源的位址集區。

      • 發現的多個 CIDR 存在重疊關係時,IPAM 僅匯入範圍最大的 CIDR。

      • 發現多個相同的 CIDR 時,IPAM 將隨機匯入其中一個。

    • 未建立IPAM時,可建立自訂資摘要搜索,跟蹤VPC和交換器網段的IP使用率。在託管地區建立IPAM後,將自動轉換為預設資摘要搜索。

    控制台

    建立資摘要搜索

    • 建立 IPAM 時,系統會建立預設資摘要搜索並與IPAM關聯。

    • 未建立 IPAM 時,建立自訂資摘要搜索。

      1. 前往IPAM 控制台 - 資摘要搜索,在頁面上方選擇建立資摘要搜索的地區(即資摘要搜索的託管地區),單擊建立資摘要搜索

      2. 可以在託管地區的基礎上增加其他生效地區,資摘要搜索會持續尋找生效地區內的VPC和交換器網段。

      3. 建立完成後,也可以添加/刪除生效地區,但包含的託管地區無法刪除。

    • 建立完成後,可以在資摘要搜索詳情頁的已發現資源頁簽下查看生效地區內VPC和交換器網段的IP使用方式。

    刪除資摘要搜索

    • 預設資摘要搜索:只能通過刪除 IPAM,來刪除預設建立的資摘要搜索。

    • 自訂資摘要搜索:單擊自訂資摘要搜索操作列的刪除

    API

    未建立 IPAM 時:

    Terraform

    未建立 IPAM 時,可以建立自訂資摘要搜索。
    Resources:alicloud_vpc_ipam_ipam_resource_discovery
    # 指定未建立IPAM、可建立自訂資摘要搜索的地區
provider "alicloud" {
  region = "cn-shanghai"
}

resource "alicloud_vpc_ipam_ipam_resource_discovery" "example_ipam_resource_discovery" {
  operating_region_list               = ["cn-shanghai"]     # 指定IPAM資摘要搜索的生效地區
  ipam_resource_discovery_name        = "example_ipam_resource_discovery_name"
}

    共用資源發現統一管理地址使用

    業務帳號使用非規劃網段建立資源容易引發地址衝突。網路系統管理員可以關聯IPAM和業務帳號共用的資摘要搜索,統一管理多帳號下的資源,解決地址衝突。

    預設資摘要搜索和自訂資摘要搜索均支援共用。

    資摘要搜索所有者和使用者的操作許可權

    功能

    資源所有者(本例中的業務帳號)

    資源使用者(本例中的網路系統管理員)

    關聯資摘要搜索和IPAM

    支援

    支援

    解除資摘要搜索和IPAM的關聯

    支援

    支援

    修改資摘要搜索

    支援

    僅支援修改資摘要搜索的名稱、描述和所屬資源群組

    資源所有者和資源使用者可各自獨立設定資摘要搜索的名稱/描述/資源群組,預設保留資源所有者設定的名稱與描述。

    刪除資摘要搜索

    不共用後,支援刪除

    不支援

    查詢資摘要搜索關聯的地址資源

    支援

    支援

    查詢資摘要搜索關聯的帳號

    支援

    支援

    共用資源發現的生效地區和網路系統管理員的IPAM生效地區允許存在不一致,但託管地區(即建立地區)必須保持一致。生效地區存在不一致時:

    • 資源所有者(即本例中的業務帳號)和網路系統管理員可以管理和查看資摘要搜索的生效地區內的全部資源。

    • 網路系統管理員將資摘要搜索與IPAM關聯後,只能管理IPAM生效地區內的資源。

    控制台

    此處僅介紹將交換器共用給任意賬戶的方式。針對資來源目錄方式,請參考僅在資來源目錄內共用資源

    共用資源發現

    1. 業務帳號將建立的資摘要搜索共用給網路系統管理員:

      1. 前往IPAM 控制台 - 資摘要搜索,在頁面上方選擇目標資摘要搜索所在地區。單擊目標資摘要搜索執行個體ID或操作列的管理,在共用管理頁簽,單擊建立資源共用

      2. 建立共用單元頁面,按照步驟指引完成資源共用配置。

        1. 資源修改為IPAM資摘要搜索,並選擇要共用的IPAM資摘要搜索。

        2. 對於IPAM資摘要搜索,關聯許可權為AliyunRSDefaultPermissionIpamResourceDiscovery

        3. 資源使用者範圍選擇允許共用給任意帳號添加方式選擇手動添加,使用者ID輸入位址集區使用者的阿里雲帳號ID,並點擊添加

        4. 檢查無誤後,在頁面底部單擊確定

    2. 登入網路系統管理員帳號,接受共用邀請:

      1. 前往資源管理主控台的資源共用-共用給我頁面。

      2. 在頂部功能表列左上處,選擇共用資源所在的地區,再單擊目標共用單元狀態列的接受

      3. 共用成功後,網路系統管理員可分別查看各業務帳號下的資源與地址利用率等資訊。

    3. 網路系統管理員將共用的資摘要搜索與託管地區一致的IPAM關聯:

      1. 前往IPAM 控制台 - IPAM,在頁面上方選擇目標IPAM所在地區。單擊目標IPAM執行個體ID或操作列的管理,在關聯資摘要搜索頁簽,單擊關聯資摘要搜索,選擇業務帳號共用的資摘要搜索。

      2. 關聯完成後,網路系統管理員可統一管理IPAM生效地區內的資源,在IPAM作用範圍資源管理頁簽查看地址重疊與利用率等資訊。

    取消關聯 IPAM 與資摘要搜索

    只有主動建立的關聯關係可以被取消。建立IPAM時預設建立並關聯的資摘要搜索,無法取消關聯。

    單擊目標IPAM的關聯資摘要搜索頁簽下,單擊目標資摘要搜索的操作列的解除關聯。取消關聯後,IPAM將無法管理資摘要搜索尋找到的地址資源。

    不共用資摘要搜索

    使用業務帳號,在資摘要搜索詳情頁的共用管理頁簽下,單擊目標共用單元進入詳情頁,選擇刪除共用單元

    即使網路系統管理員已經將資摘要搜索與IPAM關聯,業務帳號也可以不共用。取消後,關聯關係將被自動刪除。

    API

    共用資源發現

    • 將資摘要搜索共用給任意賬戶

      1. 使用業務帳號的身份憑證,調用CreateResourceShare建立共用單元,並確保將AllowExternalTargets參數設為True

      2. 使用網路系統管理員的身份憑證,先調用ListResourceShareInvitations查詢收到的資源共用邀請,再調用AcceptResourceShareInvitation接受共用。

    • 僅在資來源目錄內共用資源發現

      1. 使用資來源目錄管理帳號的身份憑證,調用EnableSharingWithResourceDirectory啟用資來源目錄組織共用。

      2. 使用業務帳號的身份憑證,調用CreateResourceShare建立共用單元,並確保將AllowExternalTargets參數設為True

    • 使用業務帳號的身份憑證,調用DeleteResourceShare刪除共用單元,不共用資摘要搜索。

    關聯資摘要搜索與IPAM

    Terraform

    Terraform暫不支援共用資源發現。

    資源監控

    監控地址利用率

    監控地址利用率,便於對高利用率資源及時進行擴容。

    • 監控位址集區的地址利用率:前往IPAM控制台 - IPAM位址集區,單擊目標位址集區ID。

      • 詳細資料頁簽下,可查看位址集區的可用 IP 數與分配給資源和子位址集區的 IP 數。若目標位址集區為子位址集區,可同時查看本池與源位址集區的地址利用率。

      • IP空間可視化分配頁簽下,可查看位址集區的具體分配情況。

    • 監控 VPC 和交換器的地址利用率:

      • 前往IPAM 控制台 - 資摘要搜索,單擊目標資摘要搜索ID,可查看生效地區下全部 VPC 和交換器的 CIDR 和 IP 使用方式。

      • 前往IPAM 控制台 - IPAM作用範圍,單擊目標作用範圍ID。

        • 資源管理頁簽下,可查看該作用範圍內 VPC 和交換器的 CIDR 和地址利用率。單擊目標 VPC 或交換器 ID,可查看 IP 使用方式。

        • 監控圖表頁簽下,可以從時間維度以折線圖形式監控該作用範圍內 VPC 和交換器的地址利用率。

    監控地址重疊情況

    監控地址重疊,可以主動發現並解決網路連接中的地址衝突,確保實現網路互連時不會引起存取違規。

    前往IPAM 控制台 - IPAM作用範圍,單擊目標作用範圍ID。

    • 資源管理頁簽下,可查看該作用範圍內 VPC 和交換器網段的重疊情況。存在網段重疊時,可以單擊重疊狀態>查看,查看與當前資源存在衝突的具體執行個體。

    • 監控圖表頁簽下,可以從時間維度以折線圖形式監控該作用範圍內 CIDR 的重疊數量。

    監控位址區段管理狀態和合規性

    前往IPAM 控制台 - IPAM作用範圍,單擊目標作用範圍ID,可以在概覽資源管理監控圖表頁簽,查看資源的 CIDR 是否通過 IPAM 位址集區分配(即是否託管)以及是否符合 IPAM 位址集區的分配規則(即是否合規)。

    更多資訊

    計費說明

    IP地址管理(IPAM)功能進行中公測,公測期間免費使用。

    配額限制

    配額名稱

    描述

    預設限制

    提升配額

    ustom_ipam_resource_discovery_quota_per_region

    單地區單帳號允許建立的自訂資摘要搜索數量

    1 個

    無法提升

    resource_share_quota_per_ipam_resource_discovery

    每個資摘要搜索支援建立的共用資源數量

    100 個

    shared_ipam_resource_discovery_quota_per_user

    每個使用者允許擁有的共用資源發現的數量

    100 個