您在進行網路規劃時,如果僅依賴Excel等工具手動分配和管理IP地址,人力成本較高且配置效率低。同時隨著業務發展,未來可能因為IP地址衝突導致後期不必要的網路重構,不僅面臨高昂的成本,更可能導致商務程序受到嚴重影響。您可以使用VPC的IP地址管理IPAM(IP Address Manager)功能,自動化分配與管理IP地址,避免IP地址衝突,簡化網路規劃與管理過程。
什麼是IPAM?
IPAM作為IP地址管理工具,可以協助您自動化分配與管理IP地址,簡化網路管理流程並避免地址衝突。IPAM提供以下功能:
IP地址自動化分配:根據業務情境設定IP地址分配規則,通過指定的位址集區分配規則為Virtual Private Cloud自動分配符合商務規則的IP地址。
VPC和交換器地址資源管理:當您建立IPAM後,系統為您預設建立IPAM資摘要搜索並與建立的IPAM進行關聯,您可通過資摘要搜索管理VPC和交換器地址資源。
地址衝突檢測:自動檢測地址衝突以及是否符合位址集區分配規則等情況,提前發現可能的地址衝突問題,降低網路故障的風險。
地址利用率監控:您可以監控IP地址利用率等相關指標,進行IP地址容量管理,針對高利用率的資源及時擴容,保障網路的穩定性與安全性。
多帳號統一網路規劃:商業網路管理員可以將建立的IPAM位址集區共用給業務帳號,實現IP地址的高效分配與管理,同時避免出現地址衝突。
工作原理
建立IPAM時,系統預設建立兩個作用範圍。作用範圍、位址集區和分配CIDR是IPAM關鍵組成部分。
作用範圍:IPAM作用範圍是IPAM中最頂級的容器。每個作用範圍代表一個獨立的IP地址空間,不同的作用範圍屬於不同的IP地址空間。建立IPAM後,系統預設建立一個公網作用範圍和一個私網作用範圍。公網作用範圍適用於所有公有空間(目前不支援分配和使用),私網作用範圍適用於所有私人空間。通過建立不同的作用範圍,您可以重複使用IP地址,而不會出現IP地址重疊或衝突。在IPAM作用範圍內,您可以建立位址集區。
位址集區:IPAM位址集區是連續IP位址範圍(或CIDR)的集合。您可以在私網作用範圍內建立頂級池,一個頂級池中可以擁有多個子位址集區。同時IPAM位址集區可以根據網路流量的目的地和安全性原則來系統地管理和分配IP地址。例如,開發環境和生產環境可能需要不同的路由規則和安全性原則。通過為開發環境和生產環境分別建立位址集區,可以實現網路流量的隔離,確保每個環境遵循其特定的路由規則和安全性原則。
可以選擇IPAM位址集區的地址用於VPC地址分配,IPAM會自動檢測分配給VPC的資源是否有衝突或重疊。
分配:您可以將IPAM位址集區的CIDR分配給子位址集區或其他資源。當您建立Virtual Private Cloud時,選擇從IPAM位址集區分配CIDR,此時VPC的CIDR將從預置給IPAM位址集區的CIDR中分配。
下圖1和圖2為您展示IPAM位址集區的邏輯結構和為Virtual Private Cloud分配資源時的層級結構。
圖 1. IPAM位址集區結構
圖 2. 從位址集區為VPC分配資源的層級結構
應用情境
IPAM支援自動分配IP地址、資源共用、資源監控等核心功能,您可以結合業務情境與多帳號架構,使用IPAM規劃與管理IP地址資源並監控地址利用率。
情境一:對不同業務或部門劃分位址集區,實現邏輯隔離
IPAM能夠靈活的管理位址集區。IPAM位址集區可以根據不同業務部門、應用程式環境或地理地區,設計不同的位址集區階層,從而有效地分配和管理IP地址,以確保IP地址的邏輯分組和使用。
您可以將頂級池細分為更小的子池,這些子池對應於組織中的特定業務部門、應用程式或地理地區。您可以通過以下步驟實現不同地區的不同部門劃分子位址集區,並根據這些子位址集區的池利用率資訊,查看特定IP位址範圍的CIDR塊具體分配給了哪個IPAM位址集區。
建立IPAM和私網IPAM作用範圍。具體操作,請參見建立和管理IPAM。
依次建立頂級池、地區池及開發池並預置CIDR。具體操作,請參見建立和管理IPAM位址集區。
在地區池中查看池利用率及該池分配給其他位址集區的CIDR的分配情況。具體操作,請參見建立和管理IPAM位址集區。
本文以下圖1和圖2為例進行展示,不同地區的位址集區階層以及不同業務部門的位址集區階層。
圖 1. 不同地區的位址集區階層
圖 2. 不同業務部門的位址集區階層
情境二:建立VPC選擇從位址集區分配資源
通過情境一建立不同的開發池後,您可以利用這些池來建立VPC,實現網路流量的隔離,且無需擔心IP地址及安全性原則等衝突。
建立VPC時,根據位址集區的分配規則及策略,選擇從位址集區分配CIDR資源,避免與其他資源發生重疊。您還可以通過IPAM管理主控台,查看位址集區關聯了哪些VPC以及VPC資源的管理狀態、合規性狀態等資訊。您可以通過以下步驟實現建立VPC時選擇從位址集區分配資源資訊。
建立VPC時選擇從位址集區分配。具體操作,請參見建立和管理專用網路。
查看位址集區關聯的Virtual Private Cloud的CIDR的管理狀態、合規性狀態等資訊。具體操作,請參見建立和管理IPAM。
本文以下圖為例為您展示不同開發池關聯的VPC的位址集區階層。
情境三:多帳號統一分配與管理IP地址
多帳號體系架構下,如果IP地址資源分散在每個業務帳號進行獨立配置,網路營運人員很難實現網路資源的集中控制,使得整體配置維護成本急劇增加。您可以將規劃並建立的IPAM位址集區,通過資源管理功能,共用給業務帳號,實現企業內部網路地址的統一規劃。
如下圖所示,網路系統管理員劃分後的IPAM位址集區可以通過資源共用分別共用給帳號A、B、C,帳號C建立VPC時可從共用IPAM位址集區分配資源。
情境四:IP地址監控助力地址資源管理
IPAM為您提供完整豐富的IP地址監控能力,協助您實現更有效資源規劃與分配,保障網路的穩定性與安全性。
您可監控VPC或交換器的地址利用率,針對高利用率的資源及時擴容,確保需要從位址集區分配資源建立VPC或交換器時,具備充足的地址資源。
您可以檢測地址合規衝突狀態,提前發現可能的地址衝突問題並予以解決,降低網路故障的風險。
使用限制和費用
功能計費
IP地址管理(IPAM)功能進行中公測,公測期間IP地址管理(IPAM)免費使用。
支援的地區
地區 | IPAM支援的地區 |
亞太地區 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地區)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華中1(武漢-本地地區)、華東6(福州-本地地區)、日本(東京)、韓國(首爾)、新加坡、馬來西亞(吉隆坡)、印尼(雅加達)、菲律賓(馬尼拉)、泰國(曼穀) |
歐美地區 | 德國(法蘭克福)、英國(倫敦)、美國(矽谷)、美國(維吉尼亞) |
中東 | 阿聯酋(杜拜)、沙特(利雅得) 重要 沙特(利雅得)地區由夥伴營運。 |
配額限制
配額名稱 | 描述 | 預設限制 |
ipam_quota_per_region | 每個使用者在每個地區支援建立的IPAM數量 | 1個 |
ipam_scope_quota_per_ipam | 每個IPAM支援建立的IPAM作用範圍數量 | 5個 |
ipam_pool_quota_depth | 每個位址集區最大深度 | 10 |
ipam_cidr_quota_per_ipam_pool | 每個位址集區中允許預置的CIDR的數量 | 50個 |
ipam_sub_pool_quota_per_ipam_pool | 每個位址集區允許建立的子位址集區的數量 | 50個 |
ipam_pool_quota_per_scope | 每個IPAM私人範圍支援建立的位址集區的數量 | 500個 |
ipam_resource_discovery_quota_per_region | 單地區單帳號允許建立的資摘要搜索 | 1個 |
resource_share_quota_per_ipam_pool | 每個IPAM位址集區允許建立的共用資源數量 | 100個 |
shared_ipam_pool_quota_per_user | 每個使用者允許擁有的共用位址集區的數量 | 100個 |