使用 IPAM 作用範圍和 IPAM 位址集區規劃可使用的位址區段並進行分配,可以避免 CIDR 重疊並降低 IP 位址耗盡的風險。
IPAM 作用範圍代表獨立的 IP 位址空間。建立不同的作用範圍,可以為不同主體建立各自的 IP 位址空間獨立管理,不同作用範圍可以包含重疊的CIDR塊。
在 IPAM 作用範圍內,建立 IPAM 位址集區並預置 CIDR 後,可以基於地區、部門或業務逐層劃分可使用的位址區段。
規劃的 IPAM 位址集區支援共用給多業務帳號,業務帳號可從中分配地址資源。
地址規劃設計
IPAM 位址集區的 CIDR 設計
位址集區的 CIDR 設計通過將 IP 位址段劃分為多個層級(如地區級、部門級或業務線級),實現靈活高效的管理。
逐層規劃:先建立大的地區CIDR塊,然後進一步細分給不同的部門或業務線,以避免IP地址衝突。這種方法使得網路系統管理員能夠輕鬆匯總和分配CIDR塊,從而簡化網路管理和路由配置。
劃分邏輯:IPAM位址集區分層部署設計不受限於單一方案。可以根據地區、部門、業務線或者產品等多種方式構建多層次、多地區的地址規劃方案,配置相應的安全性群組、網路ACL和防火牆等規則,設計深度不能超過10層。
例如,某公司計劃在阿里雲上部署多個核心業務,並採用 10.0.0.0/8 作為雲上網路地址空間的總規劃範圍。業務架構如下:多地區部署、多業務環境部署(各業務包含獨立的生產、預發、測試等環境,各環境嚴格隔離)、部分業務有網路互連需求。可遵照 IPAM 位址集區的 CIDR 設計思路,逐層劃分位址區段並分配。
網路規劃設計:
確認規劃維度:根據業務架構,確定規劃層級為地區、業務線、業務環境。
預留擴充空間:地區(計劃使用3個地區、預留5個地區)、業務線(每個地區內6個核心業務線,預留10個)、業務環境(每個業務線包含生產環境、測試環境、開發環境)。
逐層規劃 CIDR:
為地區維度劃分地址空間:支援8個地區,需劃分8個位址區段(2^3 = 8)。因此,各地區位址區段的網路遮罩為
/11(/8+ 3)。分配樣本:
10.0.0.0/11、10.32.0.0/11、10.64.0.0/11分配給3個使用地區,剩餘5個位址區段作為預留。按照上述邏輯,各業務線維度位址區段的網段掩碼為
/15(支援 16 個業務線,/11+ 4)、各業務環境維度位址區段的網段掩碼為/17(支援 3 個業務環境,/15+2)。
使用 IPAM 實施地址規劃:
建立頂級位址集區:在預設私網作用範圍內建立
10.0.0.0/8的頂級位址集區。建立地區位址集區:在
10.0.0.0/8位址集區下,建立代表各個地區的/11子位址集區。建立業務線位址集區:在每個地區位址集區下,建立代表各個業務線的
/15子位址集區。建立業務環境位址集區:在每個業務線位址集區下,建立用於分配的
/17子位址集區。這些位址集區可共用給業務帳號,用於建立 VPC、自訂分配等。
獨立業務環境
由於收購公司、多租戶環境等業務環境需要獨立管理或要求更高的隔離性,可以建立多個私人作用範圍來管理不同的環境。不同作用範圍可以有獨立的管理原則和使用權限設定,且可以包含重疊的CIDR塊。但需評估不同環境之間是否有網路互連的需求,重疊的CIDR塊可能導致互連的網路發生衝突,需要謹慎規劃。
以收購公司情境為例,A公司收購了B公司,兩家公司可能有重疊的IP位址範圍,需要為兩家公司分別建立作用範圍,這樣即使地址重疊,也不會引起衝突。同時可以通過每個作用範圍,瞭解每家公司的IP地址分配情況,即使IP地址有重疊,也可以利用這些資訊設計出合適的網路連接和路由模型,以確保公司被收購後的網路能夠有效運行,避免IP地址衝突。
混合雲組網和多雲互連網絡設計
當具備混合雲組網與多雲部署的網路架構時,在IPAM位址集區中建立自訂分配CIDR,預留IDC網段、雲廠商網段,確保預留的網段不會分配給其他雲上資源,從而避免雲上VPC和IDC網段、其他雲廠商網段衝突。
使用IPAM作用範圍和位址集區進行規劃
使用 IPAM 作用範圍和 IPAM 位址集區,規劃可使用的 CIDR 位址區段。
建立 IPAM 後,系統預設建立一個公網作用範圍和一個私網作用範圍,無法刪除。
公網作用範圍:僅支援分配和使用阿里雲預設 IPv6 位址區段,用於業務規劃以及 IPv6 資源分派。
私網作用範圍:支援分配和使用 IPv4 位址區段。支援建立不同的私網作用範圍,獨立管理不同的地址空間。
建立不同的私網作用範圍,可以為具有重疊位址範圍的不同主體建立各自的 IP 位址空間獨立管理,適合於收購公司、多租戶環境或者安全隔離情境。
建立 IPAM 位址集區,基於地區、部門或業務逐層劃分位址區段:
將計劃管理和使用的 CIDR 位址區段預置到頂級池。
不同 IPAM 作用範圍的位址集區預置的 CIDR 可以重疊。因此,需要評估不同環境之間是否有網路互連的需求。網路互連時,重疊的CIDR塊可能會引起存取違規,需謹慎規劃。
同一 IPAM 作用範圍內,可以建立多個頂級池,但頂級池預置的 CIDR 不可以重疊。
基於地區或業務,將頂級池已規劃的 CIDR 進行劃分,建立多個層級的 IPAM 子位址集區,確保各環境之間使用不重疊的位址範圍,避免衝突。
控制台
使用 IPAM 作用範圍規劃獨立的地址空間
前往IPAM 控制台。在頂部功能表列,選擇要建立IPAM的地區(即IPAM託管地區)。
單擊建立IPAM,可以在託管地區的基礎上增加其他生效地區,IPAM將統一管理生效地區內的地址資源。建立完成後,也可以添加/刪除生效地區,但包含的託管地區無法刪除。
系統預設建立一個公網作用範圍、一個私網作用範圍。如需規劃其他獨立的 IPv4 地址空間,可以在IPAM作用範圍頁面,單擊建立作用範圍。
建立 IPAM 位址集區規劃位址區段
前往IPAM控制台 - IPAM位址集區,在頁面上方選擇IPAM的託管地區。單擊建立位址集區。
歸屬IPAM作用範圍:結合需規劃的位址區段版本選擇。
CIDR範圍:
IPAM:建立 IPAM 作用範圍中的頂級池。業務首次規劃位址區段時選擇。
IPAM位址集區:建立子位址集區。使用 IPAM 中另一個池作為源IPAM位址集區,從源位址集區中選擇 CIDR 預置到本位址集區。業務需要從已規劃地址中繼續劃分和使用時選擇。
IP版本:歸屬IPAM作用範圍決定可規劃的位址區段類型。
選擇公網作用範圍時僅支援 IPv6,IPv6網段類型選擇分配BGP(多線)。
選擇私網作用範圍時僅支援 IPv4。
生效地區:資源所屬地區與生效地區一致時,才能從位址集區中分配地址。
生效地區需在所屬 IPAM 生效地區的範圍內,且一旦設定不允許修改。
規劃IPv6位址區段時,必須配置。子位址集區將繼承源位址集區的生效地區。
規劃IPv4位址區段時,非必須配置。源位址集區設定生效地區時,子位址集區將繼承源位址集區的生效地區。如果源位址集區未設定,子位址集區設定的生效地區需在所屬 IPAM 生效地區範圍內。
自動匯入發現的資源:開啟後,IPAM將通過資摘要搜索持續尋找生效地區內的VPC,將網段在當前位址集區範圍內且在 IPAM 中未分配的資源納入地址管理。
該參數僅在設定生效地區後生效,即位址集區沒有設定生效地區時,無法開啟自動匯入。
如果 IPAM 發現的多個 CIDR 存在重疊關係,IPAM 僅自動匯入位址區段最大的 CIDR。
如果 IPAM 發現多個相同的 CIDR,IPAM 將只隨機匯入其中一個。
建立完成後,可以在 IPAM 位址集區執行個體詳情頁的詳細資料頁簽、執行個體編輯頁面開啟/關閉自動匯入。
預置CIDR:預置 CIDR 的 IPAM 位址集區,才可以從中為資源分派 CIDR。
IPv6 頂級池僅能選擇位址遮罩來預置 1 個 CIDR;IPv4 頂級池僅支援輸入位址區段,可預置多個 CIDR。
子位址集區可通過輸入位址區段、選擇位址遮罩或在可視化介面中選擇源位址集區的可分配部分,預置多個 CIDR。
建立完成後,可以在 IPAM 位址集區執行個體詳情頁的CIDR頁簽,預置CIDR。
分配規則:從位址集區為資源分派 CIDR 時,掩碼範圍需在最小到最大網路遮罩長度之間。未指定掩碼時,使用預設網路掩碼長度。
IPv6位址集區的最小、預設以及最大網路遮罩長度取值範圍均為 0 ~ 128,IPv4位址集區為0~32。
建立完成後,可以在 IPAM 位址集區執行個體詳情頁的合規規則頁簽修改。
已預置 CIDR 的位址集區,可以建立該位址集區的子位址集區、結合IPAM規劃建立VPC。
取消預置 CIDR
取消前,請確保預置的 CIDR 中沒有地址分配給VPC、IPAM 位址集區或建立自訂分配。單擊目標位址集區執行個體 ID 或在操作列單擊管理,在CIDR頁簽下目標 CIDR的操作列單擊取消預置。
刪除 IPAM 位址集區
刪除前,請確保已取消所有的預置CIDR。在目標位址集區的操作列或詳情頁,單擊刪除。
刪除 IPAM 作用範圍
系統預設建立的兩個作用範圍無法刪除。在自建作用範圍的操作列或詳情頁單擊刪除。刪除前,請確保已刪除該作用範圍下的 IPAM 位址集區。
刪除 IPAM
刪除前,請確保已刪除IPAM 位址集區和自建的作用範圍。在目標IPAM的操作列或詳情頁,單擊刪除。
API
使用 IPAM 作用範圍規劃獨立的地址空間
調用OpenVpcIpamService開通IPAM。
調用CreateIpam建立IPAM。
調用CreateIpamScope建立IPAM私網作用範圍。
建立IPAM位址集區並預置CIDR
調用CreateIpamPool建立IPAM位址集區。
調用AddIpamPoolCidr為IPAM位址集區預置CIDR位址區段。
資源清理
調用DeleteIpamPoolCidr刪除IPAM位址集區預置的CIDR位址區段。
調用DeleteIpamPool刪除IPAM位址集區。
調用DeleteIpamScope刪除自建的IPAM作用範圍。
調用DeleteIpam刪除IPAM。
Terraform
Resources:alicloud_vpc_ipam_service、alicloud_vpc_ipam_ipam、alicloud_vpc_ipam_ipam_scope、alicloud_vpc_ipam_ipam_pool、alicloud_vpc_ipam_ipam_pool_cidr
# 指定建立 IPAM 的地區
provider "alicloud" {
region = "cn-hangzhou"
}
# 初次使用,需要開通 IPAM 服務
resource "alicloud_vpc_ipam_service" "example_ipam_service" {
}
# 建立IPAM
resource "alicloud_vpc_ipam_ipam" "example_ipam" {
ipam_name = "example_ipam_name"
operating_region_list = ["cn-hangzhou"] # 指定IPAM的生效地區
}
# 建立IPAM作用範圍
resource "alicloud_vpc_ipam_ipam_scope" "example_ipam_scope" {
ipam_scope_name = "example_ipam_scope_name"
ipam_id = alicloud_vpc_ipam_ipam.example_ipam.id
ipam_scope_type = "private" # 私網作用範圍
}
# 建立IPAM位址集區
resource "alicloud_vpc_ipam_ipam_pool" "example_parentIpamPool" {
ipam_scope_id = alicloud_vpc_ipam_ipam_scope.example_ipam_scope.id # 指定IPAM位址集區的作用範圍
ipam_pool_name = "example_parentIpamPool_name"
pool_region_id = alicloud_vpc_ipam_ipam.example_ipam.region_id # 指定IPAM位址集區的生效地區
ip_version = "IPv4" # 指定IPAM位址集區的版本
}
# 為IPAM位址集區分配CIDR
resource "alicloud_vpc_ipam_ipam_pool_cidr" "example_ipamPoolCidr" {
cidr = "10.0.0.0/16" # 指定CIDR
ipam_pool_id = alicloud_vpc_ipam_ipam_pool.example_parentIpamPool.id # 指定IPAM位址集區的ID
}
# 建立IPAM子位址集區
resource "alicloud_vpc_ipam_ipam_pool" "example_childIpamPool" {
ipam_pool_name = "example_childIpamPool_name"
ipam_scope_id = alicloud_vpc_ipam_ipam_scope.example_ipam_scope.id # 指定IPAM位址集區的作用範圍
pool_region_id = alicloud_vpc_ipam_ipam.example_ipam.region_id # 指定IPAM位址集區的生效地區
source_ipam_pool_id = alicloud_vpc_ipam_ipam_pool.example_parentIpamPool.id # 指定源IPAM位址集區的ID
ip_version = "IPv4" # 指定IPAM位址集區的版本
}
# 為IPAM子位址集區分配CIDR
resource "alicloud_vpc_ipam_ipam_pool_cidr" "example_childIpamPoolCidr" {
cidr = "10.0.0.0/24" # 指定CIDR
ipam_pool_id = alicloud_vpc_ipam_ipam_pool.example_childIpamPool.id # 指定IPAM位址集區的ID
}多帳號共用規劃的位址集區
網路系統管理員可以將建立的位址集區共用給業務帳號(位址集區使用者)。業務帳號可以使用共用位址集區,為VPC分配地址或建立自訂分配。
共用給任意阿里雲主帳號:使用者需要接受共用資源的邀請。
在資來源目錄內共用:使用者無需確認,預設直接接受共用資源的邀請。
控制台
此處僅介紹將交換器共用給任意賬戶的方式。針對資來源目錄方式,請參考僅在資來源目錄內共用資源。
共用 IPAM 位址集區
使用位址集區所有者帳號,前往IPAM控制台 - IPAM位址集區,在頁面上方選擇目標位址集區所在的地區。單擊目標位址集區執行個體ID或操作列的管理,在共用管理頁簽,單擊建立資源共用。
在建立共用單元頁面,按照步驟指引完成資源共用配置。
將資源修改為IPAM位址集區,並選擇要共用的IPAM位址集區資源。
對於IPAM位址集區資源,關聯許可權為AliyunRSDefaultPermissionIpamPool。
資源使用者範圍選擇允許共用給任意帳號,添加方式選擇手動添加,使用者ID輸入位址集區使用者的阿里雲帳號ID,並點擊添加。
檢查無誤後,在頁面底部單擊確定。
登入位址集區使用者的帳號,接受共用邀請:
前往資源管理主控台的資源共用-共用給我頁面。
在頂部功能表列左上處,選擇共用資源所在的地區,再單擊目標共用單元狀態列的接受。
共用成功後,位址集區使用者可以在IPAM位址集區頁面共用給我的池頁簽中查看,可使用該位址集區結合IPAM規劃並建立專用網路或結合IPAM規劃並建立專用網路。
不共用
使用位址集區所有者帳號,在IPAM位址集區詳情頁的共用管理頁簽下,單擊目標共用單元進入詳情頁,選擇刪除共用單元。
不共用後,位址集區使用者無法再查看該位址集區,但使用共用位址集區建立的地址分配不受影響。刪除建立的VPC時,釋放對應的位址集區分配。
位址集區所有者可以管理位址集區的分配,包括釋放位址集區使用者建立的專用網路類型的分配以及自訂分配。
API
共用 IPAM 位址集區
方式一:共用給任意賬戶
使用位址集區所有者的身份憑證,調用CreateResourceShare建立共用單元,並確保將
AllowExternalTargets參數設為True。使用位址集區使用者的身份憑證,先調用ListResourceShareInvitations查詢收到的資源共用邀請,再調用AcceptResourceShareInvitation接受共用。
方式二:僅在資來源目錄內共用
使用資來源目錄管理帳號的身份憑證,調用EnableSharingWithResourceDirectory啟用資來源目錄組織共用。
使用位址集區使用者的身份憑證,調用CreateResourceShare建立共用單元,並確保將
AllowExternalTargets參數設為True。
不共用
使用位址集區所有者的身份憑證,調用DeleteResourceShare刪除共用單元。
Terraform
Terraform暫不支援共用IPAM位址集區。
更多資訊
計費說明
IP地址管理(IPAM)功能進行中公測,公測期間免費使用。
配額限制
配額名稱 | 描述 | 預設限制 | 提升配額 |
ipam_quota_per_region | 每個使用者在每個地區支援建立的 IPAM 數量 | 1 個 | 無法提升 |
ipam_scope_quota_per_ipam | 每個 IPAM 支援建立的 IPAM 作用範圍數量 | 5 個 | |
ipam_pool_quota_depth | 每個位址集區最大深度 | 10 | |
ipam_cidr_quota_per_ipam_pool | 每個位址集區中允許預置的 CIDR 的數量 | 50 個 | |
ipam_sub_pool_quota_per_ipam_pool | 每個位址集區允許建立的子位址集區的數量 | 50 個 | |
ipam_pool_quota_per_scope | 每個 IPAM 私人範圍支援建立的位址集區的數量 | 500 個 | |
resource_share_quota_per_ipam_pool | 每個 IPAM 位址集區允許建立的共用資源數量 | 100 個 | |
shared_ipam_pool_quota_per_user | 每個使用者允許擁有的共用位址集區的數量 | 100 個 | |
ipam_public_ipv6_top_pool_quota_per_region_isp | 每個使用者在每個地區支援建立的每種 ISP 類型的公網IPv6 IPAM 頂級位址集區數量 | 1 個 | |
ipam_cidr_quota_per_public_ipv6_top_pool | 每個使用者在每個地區支援為公網IPv6 IPAM 頂級位址集區預置的CIDR數量 | 1 個 |