在地址统一规划的基础上,IPAM 支持地址资源管理与资源监控:
从地址池分配资源:基于已划分的地址池,为 VPC 分配符合业务规则的 IP 地址,实现企业内部地址的统一分配。
发现全局地址资源:使用资源发现统一发现生效地域内的资源,查看地址利用率和重叠情况。
资源监控:使用 IP 地址监控功能,实现更有效的资源规划与分配,保障网络的稳定性与安全性。
从规划的地址池中分配地址
地址规划时,支持将顶级池已规划的CIDR分配给子地址池。还支持:
VPC 网段分配:为 VPC 分配主网段或附加网段时,IPAM 确保分配的网段不重叠,避免VPC互连时出现地址冲突。
混合云/多云地址预留:创建自定义分配预留本地数据中心/其他云厂商的业务地址段,确保不会分配给云上资源,避免连接时发生冲突。
网络管理员将规划的IPAM地址池共享给业务账号(地址池使用者)后,业务账号可以使用共享地址池,为VPC分配地址或创建自定义分配。
控制台
请确保已创建IPAM和IPAM地址池。
为 VPC 分配网段
结合 IPAM 创建 VPC:
前往专有网络控制台的创建专有网络页面。
使用IPAM分配的IPv4地址段,选择IPv4地址池并配置掩码,系统会默认分配指定掩码范围内第一个可用的CIDR,可以在地址池预置CIDR内调整分配的IPv4网段。
需开启IPv6时,可以使用IPAM分配的IPv6地址段,选择IPv6地址池并配置地址掩码或指定CIDR。
为已有 VPC 添加附加网段:
添加IPv4网段:在目标VPC详情页的网段管理页签,单击添加IPv4网段,使用IPAM分配的IPv4地址段,选择IPv4地址池并配置掩码。系统会默认分配指定掩码范围内第一个可用的CIDR。
添加IPv6网段:VPC未开启IPv6时,单击开通IPv6;已开启时,单击添加IPv6网段。使用IPAM分配的IPv6地址段,选择IPv6地址池并配置地址掩码或指定CIDR。
创建自定义分配
创建自定义分配前,需确保目标地址池已预置CIDR。
前往IPAM控制台 - IPAM地址池,在页面上方选择目标地址池所在的地域。
单击目标地址池实例ID或操作列的管理,在分配页签,单击创建自定义分配,预留的地址段不会分配给云上资源。
输入CIDR或单击已预置CIDR的可分配区域,支持添加多个CIDR。
释放地址分配
前往目标地址池详情页的分配页签,在目标分配的操作列单击释放。
支持释放专有网络、自定义分配类型的分配。
释放专有网络类型的分配时,仅解除VPC与地址池的分配关系,不会删除VPC。
API
结合 IPAM 创建 VPC
分配IPv4网段:调用CreateVpc时传入
Ipv4IpamPoolId来指定IPAM地址池,同时传入Ipv4CidrMask来指定掩码从IPAM地址池中分配地址作为新建VPC的IPv4网段。也可以传入CidrBlock来指定VPC使用的网段,而不是通过指定掩码自动分配网段。分配IPv6网段:在分配IPv4网段的同时,传入
Ipv6IpamPoolId和Ipv6CidrMask,将从指定的IPv6地址池中为VPC分配IPv6网段。
为已有 VPC 添加附加网段
添加IPv4网段:调用AssociateVpcCidrBlock,传入
IpamPoolId指定IPAM地址池,同时传入SecondaryCidrMask或SecondaryCidrBlock。添加IPv6网段:调用AssociateVpcCidrBlock,传入
IpamPoolId指定IPAM地址池,同时传入Ipv6CidrMask或IPv6CidrBlock。
创建自定义分配
调用CreateIpamPoolAllocation从IPAM地址池创建自定义分配,预留指定地址段。
释放分配
调用DeleteIpamPoolAllocation释放IPAM地址池的地址分配。
Terraform
Terraform当前暂不支持结合IPAM为VPC分配IPv6网段。
Resources:alicloud_vpc、alicloud_vpc_ipv4_cidr_block、alicloud_vpc_ipam_ipam_pool_allocation
# 指定IPAM地址池所在的地域
provider "alicloud" {
region = "cn-hangzhou"
}
# 指定IPAM地址池的ID
variable "ipam_pool_id" {
default = "ipam-pool-bp10******" # 修改为IPAM地址池的实际ID
}
# 创建VPC,为VPC分配主网段
resource "alicloud_vpc" "example_ipam_vpc" {
vpc_name = "example_ipam_vpc_name"
ipv4_ipam_pool_id = var.ipam_pool_id # 指定IPAM地址池的ID
ipv4_cidr_mask = 24 # IPv4网络掩码
}
# 为 VPC 分配附加网段
resource "alicloud_vpc_ipv4_cidr_block" "example_secondary_cidr_block" {
vpc_id = alicloud_vpc.example_ipam_vpc.id #指定VPC的ID
ipv4_ipam_pool_id = var.ipam_pool_id # 指定IPAM地址池的ID
secondary_cidr_mask = 20 # IPv4网络掩码
}
# 创建自定义分配
resource "alicloud_vpc_ipam_ipam_pool_allocation" "example_ipam_pool_allocation" {
ipam_pool_allocation_name = "example_ipam_pool_allocation_name"
ipam_pool_id = var.ipam_pool_id # 指定IPAM地址池的ID
cidr = "10.0.160.0/22" #预留指定的CIDR
}限制从IPAM地址池为VPC分配网段
多账号企业中,各业务账号独立创建 VPC 时若随意分配私网网段,VPC互连时易因网段冲突无法连通。使用管理账号创建管控策略,与资源夹或成员绑定,限制业务账号只能从共享的IPAM地址池中为 VPC 分配网段。IPAM 确保分配的网段不重叠,避免VPC互连时出现地址冲突。
管控策略对所有资源目录成员中的RAM用户和RAM角色生效,但对成员的根用户不生效。同时,资源目录的管理账号位于资源目录外部,不归属于资源目录,所以管控策略对管理账号内的所有身份也不生效。
使用资源发现查看地址使用情况
使用规划的IPAM地址池分配地址,可以确保为VPC分配符合业务规则的网段。针对存量VPC和交换机资源,以及独立于 IPAM 新建的VPC,可以使用资源发现查看全量VPC和交换机地址段信息。
结合IPAM创建的VPC管理状态为托管,而存量资源和未结合IPAM新建资源管理状态为未托管。符合规则、被导入到地址池的资源,管理状态会转化为托管。
使用资源发现纳管地址
资源发现会持续查找并跟踪生效地域内VPC和交换机网段的IP利用率。关联 IPAM 后,IPAM 统一管理被发现的地址段。
1、默认资源发现的生效地域与IPAM保持一致,无法修改。
2、资源发现更新频率为5分钟。
创建 IPAM 时,系统创建默认资源发现并与 IPAM 关联。符合以下规则的 VPC 网段会被自动导入到对应地址池进行统一管理。规则如下:
仅导入在地址池预置 CIDR 范围内且未分配的地址段。
仅导入到默认作用范围下开启自动导入发现的资源的地址池。
发现的多个 CIDR 存在重叠关系时,IPAM 仅导入范围最大的 CIDR。
发现多个相同的 CIDR 时,IPAM 将随机导入其中一个。
未创建IPAM时,可创建自定义资源发现,跟踪VPC和交换机网段的IP使用率。在托管地域创建IPAM后,将自动转换为默认资源发现。
控制台
创建资源发现
创建 IPAM 时,系统会创建默认资源发现并与IPAM关联。
未创建 IPAM 时,创建自定义资源发现。
前往IPAM 控制台 - 资源发现,在页面上方选择创建资源发现的地域(即资源发现的托管地域),单击创建资源发现。
可以在托管地域的基础上增加其他生效地域,资源发现会持续查找生效地域内的VPC和交换机网段。
创建完成后,也可以添加/删除生效地域,但包含的托管地域无法删除。
创建完成后,可以在资源发现详情页的已发现资源页签下查看生效地域内VPC和交换机网段的IP使用情况。
删除资源发现
默认资源发现:只能通过删除 IPAM,来删除默认创建的资源发现。
自定义资源发现:单击自定义资源发现操作列的删除。
API
未创建 IPAM 时:
调用CreateIpamResourceDiscovery创建自定义资源发现。
调用DeleteIpamResourceDiscovery删除自定义资源发现。
Terraform
未创建 IPAM 时,可以创建自定义资源发现。
Resources:alicloud_vpc_ipam_ipam_resource_discovery
# 指定未创建IPAM、可创建自定义资源发现的地域
provider "alicloud" {
region = "cn-shanghai"
}
resource "alicloud_vpc_ipam_ipam_resource_discovery" "example_ipam_resource_discovery" {
operating_region_list = ["cn-shanghai"] # 指定IPAM资源发现的生效地域
ipam_resource_discovery_name = "example_ipam_resource_discovery_name"
}共享资源发现统一管理地址使用
业务账号使用非规划网段创建资源容易引发地址冲突。网络管理员可以关联IPAM和业务账号共享的资源发现,统一管理多账号下的资源,解决地址冲突。
默认资源发现和自定义资源发现均支持共享。
共享资源发现的生效地域和网络管理员的IPAM生效地域允许存在不一致,但托管地域(即创建地域)必须保持一致。生效地域存在不一致时:
资源所有者(即本例中的业务账号)和网络管理员可以管理和查看资源发现的生效地域内的全部资源。
网络管理员将资源发现与IPAM关联后,只能管理IPAM生效地域内的资源。
控制台
此处仅介绍将交换机共享给任意账户的方式。针对资源目录方式,请参考仅在资源目录内共享资源。
共享资源发现
业务账号将创建的资源发现共享给网络管理员:
前往IPAM 控制台 - 资源发现,在页面上方选择目标资源发现所在地域。单击目标资源发现实例ID或操作列的管理,在共享管理页签,单击创建资源共享。
在创建共享单元页面,按照步骤指引完成资源共享配置。
将资源修改为IPAM资源发现,并选择要共享的IPAM资源发现。
对于IPAM资源发现,关联权限为AliyunRSDefaultPermissionIpamResourceDiscovery。
资源使用者范围选择允许共享给任意账号,添加方式选择手动添加,使用者ID输入地址池使用者的阿里云账号ID,并点击添加。
检查无误后,在页面底部单击确定。
登录网络管理员账号,接受共享邀请:
前往资源管理控制台的资源共享-共享给我页面。
在顶部菜单栏左上处,选择共享资源所在的地域,再单击目标共享单元状态列的接受。
共享成功后,网络管理员可分别查看各业务账号下的资源与地址利用率等信息。
网络管理员将共享的资源发现与托管地域一致的IPAM关联:
前往IPAM 控制台 - IPAM,在页面上方选择目标IPAM所在地域。单击目标IPAM实例ID或操作列的管理,在关联资源发现页签,单击关联资源发现,选择业务账号共享的资源发现。
关联完成后,网络管理员可统一管理IPAM生效地域内的资源,在IPAM作用范围的资源管理页签查看地址重叠与利用率等信息。
取消关联 IPAM 与资源发现
只有主动建立的关联关系可以被取消。创建IPAM时默认创建并关联的资源发现,无法取消关联。
单击目标IPAM的关联资源发现页签下,单击目标资源发现的操作列的解除关联。取消关联后,IPAM将无法管理资源发现查找到的地址资源。
取消共享资源发现
使用业务账号,在资源发现详情页的共享管理页签下,单击目标共享单元进入详情页,选择删除共享单元。
即使网络管理员已经将资源发现与IPAM关联,业务账号也可以取消共享。取消后,关联关系将被自动删除。
API
共享资源发现
将资源发现共享给任意账户
使用业务账号的身份凭证,调用CreateResourceShare创建共享单元,并确保将
AllowExternalTargets参数设为True。使用网络管理员的身份凭证,先调用ListResourceShareInvitations查询收到的资源共享邀请,再调用AcceptResourceShareInvitation接受共享。
仅在资源目录内共享资源发现
使用资源目录管理账号的身份凭证,调用EnableSharingWithResourceDirectory启用资源目录组织共享。
使用业务账号的身份凭证,调用CreateResourceShare创建共享单元,并确保将
AllowExternalTargets参数设为True。
使用业务账号的身份凭证,调用DeleteResourceShare删除共享单元,取消共享资源发现。
关联资源发现与IPAM
调用AssociateIpamResourceDiscovery关联资源发现和IPAM。
调用DissociateIpamResourceDiscovery解除资源发现和IPAM的关联。
Terraform
Terraform暂不支持共享资源发现。
资源监控
监控地址利用率
监控地址利用率,便于对高利用率资源及时进行扩容。
监控地址池的地址利用率:前往IPAM控制台 - IPAM地址池,单击目标地址池ID。
详细信息页签下,可查看地址池的可用 IP 数与分配给资源和子地址池的 IP 数。若目标地址池为子地址池,可同时查看本池与源地址池的地址利用率。
IP空间可视化和分配页签下,可查看地址池的具体分配情况。
监控 VPC 和交换机的地址利用率:
前往IPAM 控制台 - 资源发现,单击目标资源发现ID,可查看生效地域下全部 VPC 和交换机的 CIDR 和 IP 使用情况。
前往IPAM 控制台 - IPAM作用范围,单击目标作用范围ID。
资源管理页签下,可查看该作用范围内 VPC 和交换机的 CIDR 和地址利用率。单击目标 VPC 或交换机 ID,可查看 IP 使用情况。
监控图表页签下,可以从时间维度以折线图形式监控该作用范围内 VPC 和交换机的地址利用率。
监控地址重叠情况
监控地址重叠,可以主动发现并解决网络连接中的地址冲突,确保实现网络互连时不会引起访问冲突。
前往IPAM 控制台 - IPAM作用范围,单击目标作用范围ID。
资源管理页签下,可查看该作用范围内 VPC 和交换机网段的重叠情况。存在网段重叠时,可以单击重叠状态>查看,查看与当前资源存在冲突的具体实例。
监控图表页签下,可以从时间维度以折线图形式监控该作用范围内 CIDR 的重叠数量。
监控地址段管理状态和合规性
前往IPAM 控制台 - IPAM作用范围,单击目标作用范围ID,可以在概览、资源管理、监控图表页签,查看资源的 CIDR 是否通过 IPAM 地址池分配(即是否托管)以及是否符合 IPAM 地址池的分配规则(即是否合规)。
更多信息
计费说明
IP地址管理(IPAM)功能正在进行公测,公测期间免费使用。
配额限制
配额名称 | 描述 | 默认限制 | 提升配额 |
ustom_ipam_resource_discovery_quota_per_region | 单地域单账号允许创建的自定义资源发现数量 | 1 个 | 无法提升 |
resource_share_quota_per_ipam_resource_discovery | 每个资源发现支持创建的共享资源数量 | 100 个 | |
shared_ipam_resource_discovery_quota_per_user | 每个用户允许拥有的共享资源发现的数量 | 100 个 |