IP地址管理(IPAM)
您在進行網絡規(guī)劃時,如果僅依賴Excel等工具手動分配和管理IP地址,人力成本較高且配置效率低。同時隨著業(yè)務發(fā)展,未來可能因為IP地址沖突導致后期不必要的網絡重構,不僅面臨高昂的成本,更可能導致業(yè)務流程受到嚴重影響。您可以使用VPC的IP地址管理IPAM(IP Address Manager)功能,自動化分配與管理IP地址,避免IP地址沖突,簡化網絡規(guī)劃與管理過程。
什么是IPAM?
IPAM作為IP地址管理工具,可以幫助您自動化分配與管理IP地址,簡化網絡管理流程并避免地址沖突。IPAM提供以下功能:
IP地址自動化分配:根據業(yè)務場景設置IP地址分配規(guī)則,通過指定的地址池分配規(guī)則為專有網絡VPC自動分配符合業(yè)務規(guī)則的IP地址。
VPC和交換機地址資源管理:當您創(chuàng)建IPAM后,系統為您默認創(chuàng)建IPAM資源發(fā)現并與創(chuàng)建的IPAM進行關聯,您可通過資源發(fā)現管理VPC和交換機地址資源。
地址沖突檢測:自動檢測地址沖突以及是否符合地址池分配規(guī)則等情況,提前發(fā)現可能的地址沖突問題,降低網絡故障的風險。
地址利用率監(jiān)控:您可以監(jiān)控IP地址利用率等相關指標,進行IP地址容量管理,針對高利用率的資源及時擴容,保障網絡的穩(wěn)定性與安全性。
多賬號統一網絡規(guī)劃:企業(yè)網絡管理員可以將創(chuàng)建的IPAM地址池共享給業(yè)務賬號,實現IP地址的高效分配與管理,同時避免出現地址沖突。
工作原理
創(chuàng)建IPAM時,系統默認創(chuàng)建兩個作用范圍。作用范圍、地址池和分配CIDR是IPAM關鍵組成部分。
作用范圍:IPAM作用范圍是IPAM中最頂級的容器。每個作用范圍代表一個獨立的IP地址空間,不同的作用范圍屬于不同的IP地址空間。創(chuàng)建IPAM后,系統默認創(chuàng)建一個公網作用范圍和一個私網作用范圍。公網作用范圍適用于所有公有空間(目前不支持分配和使用),私網作用范圍適用于所有私有空間。通過創(chuàng)建不同的作用范圍,您可以重復使用IP地址,而不會出現IP地址重疊或沖突。在IPAM作用范圍內,您可以創(chuàng)建地址池。
地址池:IPAM地址池是連續(xù)IP地址范圍(或CIDR)的集合。您可以在私網作用范圍內創(chuàng)建頂級池,一個頂級池中可以擁有多個子地址池。同時IPAM地址池可以根據網絡流量的目的地和安全策略來系統地管理和分配IP地址。例如,開發(fā)環(huán)境和生產環(huán)境可能需要不同的路由規(guī)則和安全策略。通過為開發(fā)環(huán)境和生產環(huán)境分別創(chuàng)建地址池,可以實現網絡流量的隔離,確保每個環(huán)境遵循其特定的路由規(guī)則和安全策略。
可以選擇IPAM地址池的地址用于VPC地址分配,IPAM會自動檢測分配給VPC的資源是否有沖突或重疊。
分配:您可以將IPAM地址池的CIDR分配給子地址池或其他資源。當您創(chuàng)建專有網絡VPC時,選擇從IPAM地址池分配CIDR,此時VPC的CIDR將從預置給IPAM地址池的CIDR中分配。
下圖1和圖2為您展示IPAM地址池的邏輯結構和為專有網絡VPC分配資源時的層級結構。
圖 1. IPAM地址池結構
圖 2. 從地址池為VPC分配資源的層級結構
應用場景
IPAM支持自動分配IP地址、資源共享、資源監(jiān)控等核心功能,您可以結合業(yè)務場景與多賬號架構,使用IPAM規(guī)劃與管理IP地址資源并監(jiān)控地址利用率。
場景一:對不同業(yè)務或部門劃分地址池,實現邏輯隔離
IPAM能夠靈活的管理地址池。IPAM地址池可以根據不同業(yè)務部門、應用程序環(huán)境或地理區(qū)域,設計不同的地址池層次結構,從而有效地分配和管理IP地址,以確保IP地址的邏輯分組和使用。
您可以將頂級池細分為更小的子池,這些子池對應于組織中的特定業(yè)務部門、應用程序或地理區(qū)域。您可以通過以下步驟實現不同地域的不同部門劃分子地址池,并根據這些子地址池的池利用率信息,查看特定IP地址范圍的CIDR塊具體分配給了哪個IPAM地址池。
創(chuàng)建IPAM和私網IPAM作用范圍。具體操作,請參見創(chuàng)建和管理IPAM。
依次創(chuàng)建頂級池、區(qū)域池及開發(fā)池并預置CIDR。具體操作,請參見創(chuàng)建和管理IPAM地址池。
在區(qū)域池中查看池利用率及該池分配給其他地址池的CIDR的分配情況。具體操作,請參見創(chuàng)建和管理IPAM地址池。
本文以下圖1和圖2為例進行展示,不同地域的地址池層次結構以及不同業(yè)務部門的地址池層次結構。
圖 1. 不同地域的地址池層次結構
圖 2. 不同業(yè)務部門的地址池層次結構
場景二:創(chuàng)建VPC選擇從地址池分配資源
通過場景一創(chuàng)建不同的開發(fā)池后,您可以利用這些池來創(chuàng)建VPC,實現網絡流量的隔離,且無需擔心IP地址及安全策略等沖突。
創(chuàng)建VPC時,根據地址池的分配規(guī)則及策略,選擇從地址池分配CIDR資源,避免與其他資源發(fā)生重疊。您還可以通過IPAM管理控制臺,查看地址池關聯了哪些VPC以及VPC資源的管理狀態(tài)、合規(guī)性狀態(tài)等信息。您可以通過以下步驟實現創(chuàng)建VPC時選擇從地址池分配資源信息。
創(chuàng)建VPC時選擇從地址池分配。具體操作,請參見創(chuàng)建和管理專有網絡。
查看地址池關聯的專有網絡VPC的CIDR的管理狀態(tài)、合規(guī)性狀態(tài)等信息。具體操作,請參見創(chuàng)建和管理IPAM。
本文以下圖為例為您展示不同開發(fā)池關聯的VPC的地址池層次結構。
場景三:多賬號統一分配與管理IP地址
多賬號體系架構下,如果IP地址資源分散在每個業(yè)務賬號進行獨立配置,網絡運維人員很難實現網絡資源的集中控制,使得整體配置維護成本急劇增加。您可以將規(guī)劃并創(chuàng)建的IPAM地址池,通過資源管理功能,共享給業(yè)務賬號,實現企業(yè)內部網絡地址的統一規(guī)劃。
如下圖所示,網絡管理員劃分后的IPAM地址池可以通過資源共享分別共享給賬號A、B、C,賬號C創(chuàng)建VPC時可從共享IPAM地址池分配資源。
場景四:IP地址監(jiān)控助力地址資源管理
IPAM為您提供完整豐富的IP地址監(jiān)控能力,幫助您實現更有效的資源規(guī)劃與分配,保障網絡的穩(wěn)定性與安全性。
您可監(jiān)控VPC或交換機的地址利用率,針對高利用率的資源及時擴容,確保需要從地址池分配資源創(chuàng)建VPC或交換機時,具備充足的地址資源。
您可以檢測地址合規(guī)沖突狀態(tài),提前發(fā)現可能的地址沖突問題并予以解決,降低網絡故障的風險。
使用限制和費用
功能計費
IP地址管理(IPAM)功能正在進行公測,公測期間IP地址管理(IPAM)免費使用。
支持的地域
區(qū)域 | IPAM支持的地域 |
亞太 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地域)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華中1(武漢-本地地域)、華東6(福州-本地地域)、日本(東京)、韓國(首爾)、新加坡、澳大利亞(悉尼)(關停中)、馬來西亞(吉隆坡)、印度尼西亞(雅加達)、菲律賓(馬尼拉)、泰國(曼谷) |
歐洲與美洲 | 德國(法蘭克福)、英國(倫敦)、美國(硅谷)、美國(弗吉尼亞) |
中東 | 阿聯酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴運營。 |
配額限制
配額名稱 | 描述 | 默認限制 |
ipam_quota_per_region | 每個用戶在每個地域支持創(chuàng)建的IPAM數量 | 1個 |
ipam_scope_quota_per_ipam | 每個IPAM支持創(chuàng)建的IPAM作用范圍數量 | 5個 |
ipam_pool_quota_depth | 每個地址池最大深度 | 10 |
ipam_cidr_quota_per_ipam_pool | 每個地址池中允許預置的CIDR的數量 | 50個 |
ipam_sub_pool_quota_per_ipam_pool | 每個地址池允許創(chuàng)建的子地址池的數量 | 50個 |
ipam_pool_quota_per_scope | 每個IPAM私有范圍支持創(chuàng)建的地址池的數量 | 500個 |
ipam_resource_discovery_quota_per_region | 單地域單賬號允許創(chuàng)建的資源發(fā)現 | 1個 |
resource_share_quota_per_ipam_pool | 每個IPAM地址池允許創(chuàng)建的共享資源數量 | 100個 |
shared_ipam_pool_quota_per_user | 每個用戶允許擁有的共享地址池的數量 | 100個 |