您在进行网络规划时,如果仅依赖Excel等工具手动分配和管理IP地址,人力成本较高且配置效率低。同时随着业务发展,未来可能因为IP地址冲突导致后期不必要的网络重构,不仅面临高昂的成本,更可能导致业务流程受到严重影响。您可以使用VPC的IP地址管理IPAM(IP Address Manager)功能,自动化分配与管理IP地址,避免IP地址冲突,简化网络规划与管理过程。
什么是IPAM?
IPAM作为IP地址管理工具,可以帮助您自动化分配与管理IP地址,简化网络管理流程并避免地址冲突。IPAM提供以下功能:
IP地址自动化分配:根据业务场景设置IP地址分配规则,通过指定的地址池分配规则为专有网络VPC自动分配符合业务规则的IP地址。
VPC和交换机地址资源管理:当您创建IPAM后,系统为您默认创建IPAM资源发现并与创建的IPAM进行关联,您可通过资源发现管理VPC和交换机地址资源。
地址冲突检测:自动检测地址冲突以及是否符合地址池分配规则等情况,提前发现可能的地址冲突问题,降低网络故障的风险。
地址利用率监控:您可以监控IP地址利用率等相关指标,进行IP地址容量管理,针对高利用率的资源及时扩容,保障网络的稳定性与安全性。
多账号统一网络规划:企业网络管理员可以将创建的IPAM地址池共享给业务账号,实现IP地址的高效分配与管理,同时避免出现地址冲突。
工作原理
创建IPAM时,系统默认创建两个作用范围。作用范围、地址池和分配CIDR是IPAM关键组成部分。
作用范围:IPAM作用范围是IPAM中最顶级的容器。每个作用范围代表一个独立的IP地址空间,不同的作用范围属于不同的IP地址空间。创建IPAM后,系统默认创建一个公网作用范围和一个私网作用范围。公网作用范围适用于所有公有空间(目前不支持分配和使用),私网作用范围适用于所有私有空间。通过创建不同的作用范围,您可以重复使用IP地址,而不会出现IP地址重叠或冲突。在IPAM作用范围内,您可以创建地址池。
地址池:IPAM地址池是连续IP地址范围(或CIDR)的集合。您可以在私网作用范围内创建顶级池,一个顶级池中可以拥有多个子地址池。同时IPAM地址池可以根据网络流量的目的地和安全策略来系统地管理和分配IP地址。例如,开发环境和生产环境可能需要不同的路由规则和安全策略。通过为开发环境和生产环境分别创建地址池,可以实现网络流量的隔离,确保每个环境遵循其特定的路由规则和安全策略。
可以选择IPAM地址池的地址用于VPC地址分配,IPAM会自动检测分配给VPC的资源是否有冲突或重叠。
分配:您可以将IPAM地址池的CIDR分配给子地址池或其他资源。当您创建专有网络VPC时,选择从IPAM地址池分配CIDR,此时VPC的CIDR将从预置给IPAM地址池的CIDR中分配。
下图1和图2为您展示IPAM地址池的逻辑结构和为专有网络VPC分配资源时的层级结构。
图 1. IPAM地址池结构
图 2. 从地址池为VPC分配资源的层级结构
应用场景
IPAM支持自动分配IP地址、资源共享、资源监控等核心功能,您可以结合业务场景与多账号架构,使用IPAM规划与管理IP地址资源并监控地址利用率。
场景一:对不同业务或部门划分地址池,实现逻辑隔离
IPAM能够灵活的管理地址池。IPAM地址池可以根据不同业务部门、应用程序环境或地理区域,设计不同的地址池层次结构,从而有效地分配和管理IP地址,以确保IP地址的逻辑分组和使用。
您可以将顶级池细分为更小的子池,这些子池对应于组织中的特定业务部门、应用程序或地理区域。您可以通过以下步骤实现不同地域的不同部门划分子地址池,并根据这些子地址池的池利用率信息,查看特定IP地址范围的CIDR块具体分配给了哪个IPAM地址池。
创建IPAM和私网IPAM作用范围。具体操作,请参见创建和管理IPAM。
依次创建顶级池、区域池及开发池并预置CIDR。具体操作,请参见创建和管理IPAM地址池。
在区域池中查看池利用率及该池分配给其他地址池的CIDR的分配情况。具体操作,请参见创建和管理IPAM地址池。
本文以下图1和图2为例进行展示,不同地域的地址池层次结构以及不同业务部门的地址池层次结构。
图 1. 不同地域的地址池层次结构
图 2. 不同业务部门的地址池层次结构
场景二:创建VPC选择从地址池分配资源
通过场景一创建不同的开发池后,您可以利用这些池来创建VPC,实现网络流量的隔离,且无需担心IP地址及安全策略等冲突。
创建VPC时,根据地址池的分配规则及策略,选择从地址池分配CIDR资源,避免与其他资源发生重叠。您还可以通过IPAM管理控制台,查看地址池关联了哪些VPC以及VPC资源的管理状态、合规性状态等信息。您可以通过以下步骤实现创建VPC时选择从地址池分配资源信息。
本文以下图为例为您展示不同开发池关联的VPC的地址池层次结构。
场景三:多账号统一分配与管理IP地址
多账号体系架构下,如果IP地址资源分散在每个业务账号进行独立配置,网络运维人员很难实现网络资源的集中控制,使得整体配置维护成本急剧增加。您可以将规划并创建的IPAM地址池,通过资源管理功能,共享给业务账号,实现企业内部网络地址的统一规划。
如下图所示,网络管理员划分后的IPAM地址池可以通过资源共享分别共享给账号A、B、C,账号C创建VPC时可从共享IPAM地址池分配资源。
场景四:IP地址监控助力地址资源管理
IPAM为您提供完整丰富的IP地址监控能力,帮助您实现更有效的资源规划与分配,保障网络的稳定性与安全性。
您可监控VPC或交换机的地址利用率,针对高利用率的资源及时扩容,确保需要从地址池分配资源创建VPC或交换机时,具备充足的地址资源。
您可以检测地址合规冲突状态,提前发现可能的地址冲突问题并予以解决,降低网络故障的风险。
使用限制和费用
功能计费
IP地址管理(IPAM)功能正在进行公测,公测期间IP地址管理(IPAM)免费使用。
支持的地域
区域 | IPAM支持的地域 |
亚太 | 华东1(杭州)、华东2(上海)、华东5 (南京-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港、华中1(武汉-本地地域)、华东6(福州-本地地域)、日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
中东 | 阿联酋(迪拜)、沙特(利雅得) 重要 沙特(利雅得)地域由合作伙伴运营。 |
配额限制
配额名称 | 描述 | 默认限制 |
ipam_quota_per_region | 每个用户在每个地域支持创建的IPAM数量 | 1个 |
ipam_scope_quota_per_ipam | 每个IPAM支持创建的IPAM作用范围数量 | 5个 |
ipam_pool_quota_depth | 每个地址池最大深度 | 10 |
ipam_cidr_quota_per_ipam_pool | 每个地址池中允许预置的CIDR的数量 | 50个 |
ipam_sub_pool_quota_per_ipam_pool | 每个地址池允许创建的子地址池的数量 | 50个 |
ipam_pool_quota_per_scope | 每个IPAM私有范围支持创建的地址池的数量 | 500个 |
ipam_resource_discovery_quota_per_region | 单地域单账号允许创建的资源发现 | 1个 |
resource_share_quota_per_ipam_pool | 每个IPAM地址池允许创建的共享资源数量 | 100个 |
shared_ipam_pool_quota_per_user | 每个用户允许拥有的共享地址池的数量 | 100个 |