[解决方案] 使用 AWS NAT gateway 区域可用性模式、Amazon VPC IPAM 策略及前缀列表构建可扩展的 IPv4 地址方案

**发布时间:** 2025-11-19 **厂商:** AWS **类型:** BLOG **原始链接:** https://aws.amazon.com/blogs/networking-and-content-delivery/build-scalable-ipv4-addressing-with-aws-nat-gateway-in-regional-availability-mode-amazon-vpc-ipam-policies-and-prefix-lists/ ---  [解决方案] 使用 AWS NAT gateway 区域可用性模式、Amazon VPC IPAM 策略及前缀列表构建可扩展的 IPv4 地址方案   # 解决方案分析 ## 解决方案概述该解决方案旨在解决在 **AWS** 上大规模管理 **公有IPv4地址** 的运维复杂性。核心是通过三项新功能的协同工作：**区域可用性模式下的NAT网关 (NAT gateway in regional availability mode)**、**Amazon VPC IPAM策略 (IPAM policies)** 以及 **IPAM与AWS前缀列表 (Prefix Lists) 的集成**。传统模式下，企业需要为每个可用区（AZ）单独部署和管理NAT网关、更新路由表，并手动追踪和通告IP地址变更以维护合作伙伴的IP白名单，过程繁琐且易出错。此方案通过引入一个跨可用区的 **区域NAT网关**，使其能根据工作负载的分布自动扩展和收缩，从而消除了多可用区NAT基础设施的管理开销。同时，**IPAM策略** 允许网络管理员在组织层面集中定义和强制执行公有IP地址的分配规则，确保所有资源（如新的NAT网关）都从指定的IP池（无论是AWS提供的连续地址块还是自带的BYOIPv4）中获取地址。最后，**IPAM与前缀列表的自动化集成** 会自动将分配出的连续IP地址块更新到一个托管的前缀列表中。该列表可通过 **AWS RAM** 与合作伙伴共享，合作伙伴只需在其安全组或WAF规则中引用此列表，即可实现白名单的动态、自动化更新，无需任何人工协调。 ## 实施步骤 1. **创建IPAM地址池** - 在VPC控制台中，选择或创建一个**高级版IPAM**。 - 创建一个新的 **公有范围 (Public Scope)** 的IPAM池，地址族选择IPv4。 - 为该池分配一个连续的IPv4 CIDR块，可以是 **AWS提供的CIDR** (如 /29) 或使用 **BYOIPv4**。 2. **创建并配置IPAM策略** - 在IPAM中创建一个新策略，用于定义公有IPv4地址的分配行为。 - 在策略中添加一条分配规则： - **资源类型 (Resource type)**: 选择 `RNAT` (Regional Network Address Translation)。 - **规则 (Rule)**: 指定IP分配必须使用在第1步中创建的IPAM池。 - 将此策略附加到AWS Organization的根、特定OU或账户上以强制执行。 3. **配置IPAM前缀列表自动化** - **3.1. 创建AWS前缀列表**: 在VPC控制台创建一个空的托管前缀列表，用于后续自动填充。 - **3.2. 创建IPAM前缀列表解析器**: 在IPAM中创建一个解析器，定义规则以识别需要添加到前缀列表的IP。规则条件应设为“IPAM池ID等于第1步中创建的池ID”。 - **3.3. 关联解析器与前缀列表**: 将创建的解析器与前缀列表进行关联，设置版本追踪方式为“始终追踪最新版本”。 4. **创建区域可用性模式的NAT网关** - 在VPC控制台创建NAT网关时： - **可用性模式 (Availability mode)**: 选择 **区域 (Regional)**。 - **IP地址分配 (IP address allocation)**: 选择 **自动 (Automatic)**。NAT网关将遵循IPAM策略自动从指定池中获取EIP。 - 更新私有子网的路由表，将目标为 `0.0.0.0/0` 的流量指向新创建的区域NAT网关。 5. **验证与共享** - 验证IPAM前缀列表解析器是否成功将IPAM池中的CIDR同步到了托管前缀列表中。 - 使用 **AWS Resource Access Manager (RAM)** 将该托管前缀列表共享给合作伙伴的AWS账户。合作伙伴接受共享后，即可在其安全配置中引用此列表。 ## 方案客户价值 - **端到端自动化合作伙伴IPv4白名单** - 实现了从基础设施扩展（NAT网关跨AZ部署）到安全策略更新（合作伙伴白名单自动同步）的全流程自动化。当工作负载扩展导致NAT网关使用新的IP地址时，IPAM会自动更新前缀列表，合作伙伴的安全规则无需任何手动干预即可生效。 - **动态基础设施下的一致性寻址** - 无论NAT网关在哪个可用区运行或如何伸缩，IPAM策略都强制其从指定的连续IP地址池中分配地址。这为需要稳定源IP的外部服务提供了极大的便利，简化了安全管理。 - **简化的运维模型** - 无需再为每个可用区单独管理NAT网关、公有子网和路由表。单个区域NAT网关的模式极大地简化了网络架构和日常运维，降低了管理复杂度和潜在的人为错误。 - **通过强制执行BYOIPv4实现成本优化** - 对于使用 **BYOIPv4** 的企业，IPAM策略确保所有NAT网关都优先使用这些无额外费用的IP地址，从而最大化成本效益。策略中还可配置“Amazon地址溢出”选项，作为IP池耗尽时的备用方案，保障业务连续性。 - **降低安全管理复杂性** - 合作伙伴不再需要管理一个包含大量离散IP地址的白名单。他们只需在其安全组或WAF中引用一个由AWS RAM共享的、动态更新的前缀列表ID，即可轻松管理访问控制。 ## 涉及的相关产品 - **AWS NAT gateway**: 核心组件，新增了 **区域可用性模式**。 - **Amazon VPC IP Address Manager (IPAM)**: 提供IP地址的集中管理、策略强制执行和自动化能力。 - **AWS Prefix Lists**: 用于聚合IP地址，简化安全组和路由表规则。 - **AWS Resource Access Manager (RAM)**: 用于在AWS账户间安全地共享资源，如前缀列表。 - **Elastic IP addresses (EIP)**: 区域NAT网关使用的公有IPv4地址。 - **AWS Organizations**: 用于跨多账户部署和强制执行IPAM策略。 - **Amazon CloudWatch**: 用于监控IPAM池的使用率和NAT网关的性能指标。 - **AWS CloudTrail**: 用于审计和追踪前缀列表的变更历史。 ## 技术评估该解决方案在技术上具有显著的先进性，它将多个独立的AWS网络服务（NAT网关、IPAM、Prefix List、RAM）深度集成，形成了一个高度自动化的工作流，有效解决了大规模云网络管理中的一个核心痛点。 - **优势**: - **高度自动化**: 显著减少了在多可用区环境中管理NAT基础设施和IP白名单所需的人工操作，降低了运维成本和风险。 - **集中化治理**: IPAM策略为公有IPv4地址的分配提供了强大的集中控制能力，确保了地址使用的一致性和合规性，尤其对BYOIPv4场景价值巨大。 - **架构简化与可扩展性**: 区域NAT网关的设计简化了VPC网络架构，使其能更好地适应工作负载的动态伸缩，而无需预先规划和配置所有可用区的网络资源。 - **潜在限制与考量**: - **扩展延迟**: 区域NAT网关扩展到新的可用区需要 **15-20分钟**。对于需要即时网络覆盖的突发性或快速扩展的工作负载，可能需要提前规划或手动预置可用区内的资源来触发扩展。 - **服务集成范围**: 发布初期，IPAM策略主要支持弹性IP地址和区域NAT网关。未来对其他AWS服务的集成支持将是该功能价值能否进一步扩大的关键。 - **存量资源迁移**: 将已分配公有IP的现有资源迁移至由IPAM池管理的地址，需要手动选择性加入（opt-in）。这是一个安全的设计，避免了对现有业务的冲击，但也意味着存量环境的改造需要额外的规划和操作。   # 使用 AWS NAT gateway 区域可用性模式、Amazon VPC IPAM 策略和前缀列表构建可扩展的 IPv4 地址方案 **原始链接:** [https://aws.amazon.com/blogs/networking-and-content-delivery/build-scalable-ipv4-addressing-with-aws-nat-gateway-in-regional-availability-mode-amazon-vpc-ipam-policies-and-prefix-lists/](https://aws.amazon.com/blogs/networking-and-content-delivery/build-scalable-ipv4-addressing-with-aws-nat-gateway-in-regional-availability-mode-amazon-vpc-ipam-policies-and-prefix-lists/) **发布时间:** 2025-11-19 **厂商:** AWS **类型:** BLOG --- 今天，AWS 发布了两项协同工作的新功能，旨在简化您大规模管理公有 IPv4 地址的方式：[AWS NAT gateway 区域可用性模式 (regional availability mode)](https://aws.amazon.com/about-aws/whats-new/2025/11/aws-nat-gateway-regional-availability/) 和用于定义公有 IPv4 分配策略的 [Amazon VPC IP 地址管理器 (IPAM) 策略](https://aws.amazon.com/about-aws/whats-new/2025/11/amazon-vpc-ipam-policies-ip-allocation-strategy/) 。NAT gateway 区域可用性模式能够根据您的工作负载足迹在多个可用区 (availability zones) 之间自动扩展和收缩，而 IPAM 策略则允许您在整个组织内跨 AWS 区域集中定义和强制执行公有 IPv4 地址的分配规则。此外，通过利用最近发布的 [IPAM 与 AWS prefix lists 的集成](https://aws.amazon.com/about-aws/whats-new/2025/10/amazon-vpc-ipam-prefix-list-automation/) ，您可以简化客户端和合作伙伴的 IPv4 白名单工作流。在本文中，我们将展示 NAT gateway 区域可用性模式和集成了前缀列表的 IPAM 策略如何简化大规模公有 IPv4 地址管理。这些功能消除了跨多个可用区管理 NAT 基础设施的运维开销，提供了对 IP 分配策略的集中控制，并通过 IPAM 前缀列表集成实现了合作伙伴白名单的自动化。无论您是希望通过 Amazon 提供的连续 IPv4 块或自带 IPv4 (Bring Your Own IPv4, BYOIPv4) 来简化大规模部署的运维，还是希望简化与客户和第三方提供商的安全管理，本文都将演示这些功能如何简化操作、简化配置并减少人工协调。 ## 前提条件我们假设您熟悉 AWS 上的网络结构，包括 [Amazon VPC](https://aws.amazon.com/vpc/) 、[NAT gateway](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) 、[弹性 IP 地址 (Elastic IP addresses)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) 、[AWS prefix lists](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) 和 [AWS Resource Access Manager (RAM)](https://aws.amazon.com/ram/) 。我们不会详细定义这些服务，但会概述它们的功能以及它们如何协同工作以实现可扩展的公有 IPv4 地址管理。我们还假设您对 [IPAM 概念](https://docs.aws.amazon.com/vpc/latest/ipam/how-it-works-ipam.html) 有基本了解，包括 IPAM 池和公有 IP 管理。有关 IPAM 的更多背景信息，我们建议您查阅 [IPAM 文档](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) 。如果您计划使用 [AWS Organizations](https://aws.amazon.com/organizations/) 在多个账户中强制执行 IPAM 策略，那么熟悉 [Organizations 策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies.html) 和 [组织单元 (organizational units)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) 将会很有帮助。 ## 工作原理在大型 AWS 部署中管理公有 IPv4 地址会带来一些运维挑战。随着工作负载扩展到新的可用区，您需要预置额外的 NAT gateway、创建公有子网并更新路由表。过去，当与需要 IP 白名单的客户或第三方提供商合作时，您必须手动跟踪和共享 IP 地址范围，并在地址发生变化时协调更新。对于使用 Amazon 分配的公有 IPv4 地址或 BYOIPv4 来实现连续 IP 分配的组织而言，确保所有资源始终使用来自正确池的地址需要与应用团队进行持续协调。 NAT gateway 区域可用性模式通过根据您的工作负载足迹变化自动跨可用区扩展，解决了基础设施管理的挑战。您只需为您的 VPC 创建一个区域可用性模式的 NAT gateway，它就能处理多可用区扩展的复杂性，无需公有子网或额外的路由表管理。用于公有 IPv4 分配的 IPAM 策略提供了对您资源所用 IP 地址的集中控制。您可以定义分配策略，确保资源始终从特定的 IPAM 池中获取地址，无论这些池包含的是 Amazon 提供的连续 IPv4 块还是 BYOIPv4 地址。这消除了依赖单个应用团队遵循最佳实践的需要。IPAM 前缀列表自动化会跟踪从您的 IPAM 池中分配的连续地址块，并自动维护一个包含这些 CIDR 的托管前缀列表 (managed prefix list)，您可以通过 AWS Resource Access Manager 与合作伙伴共享该列表。随着您的 NAT gateway 区域可用性模式扩展并使用更多地址，前缀列表会自动更新，合作伙伴的安全设置也会反映这些变化，无需人工协调。首先，您需要创建一个公有范围的 IPAM 池 (public-scoped IPAM pool)，其中包含 Amazon 提供的公有 IPv4 块或 BYOIPv4 CIDR。对于合作伙伴白名单场景，建议预置连续地址块以最小化前缀列表条目。接下来，创建一个 IPAM 策略，将区域模式 NAT gateway 的公有 IPv4 地址分配映射到您指定的池，并可选择启用 Amazon 地址溢出以确保容量安全。将此策略附加到您的 AWS organization、组织单元或特定账户，以在所需范围内强制执行。当您创建区域可用性模式的 NAT gateway 时，它会根据您的 IPAM 策略自动请求公有 IPv4 地址，并从指定的池中获取。随着 NAT gateway 根据您的工作负载足迹扩展到新的可用区，它会继续从同一个池中分配地址。您配置 IPAM 前缀列表自动化来跟踪池中使用的连续块，IPAM 会自动用这些 CIDR 更新托管前缀列表。然后，您可以通过 AWS RAM 与合作伙伴或最终客户共享该前缀列表。他们可以在其 [security group](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html) 规则或 [AWS Web Application Firewall (WAF)](https://aws.amazon.com/waf/) 配置中引用此列表，从而无需人工协调。 ## 应对集中式和分布式出口架构 ### 分布式出口每个应用 VPC 都有自己的区域可用性模式 NAT gateway。通过 IPAM 策略强制执行，所有 NAT gateway 都使用来自同一个连续 IPAM 池的地址。您创建一个 IPAM 策略，将弹性 IP 地址分配映射到您的连续 IPAM 池，并将其附加到您的 AWS Organization。当应用团队在其 VPC 中创建 NAT gateway 时，这些网关会自动使用指定池中的地址，无需与网络团队协调。IPAM 管理的前缀列表反映了整个组织使用的所有连续块，您可以与合作伙伴共享该列表，他们可以通过一个安全设置将您整个组织的出口流量加入白名单。这在提供分布式出口以实现规模和性能的同时，保持了对地址和客户或合作伙伴关系的集中控制。 ### 集中式出口您可以部署一个集中式出口 VPC，其中包含一个区域可用性模式的 NAT gateway，为多个应用 VPC 提供服务。应用 VPC 通过 AWS Transit Gateway 或 AWS Cloud WAN 连接到出口 VPC。出站流量通过 transit gateway 流向出口 VPC，NAT gateway 在此使用来自您 IPAM 池的弹性 IP 地址执行网络地址转换 (network address translation)。NAT gateway 使用来自连续 IPAM 池的地址，这些地址会自动反映在您与合作伙伴共享的托管前缀列表中。这种架构提供了对出口流量的集中控制，通过自动化简化了客户和合作伙伴的白名单流程，并在使用 BYOIPv4 地址时实现了成本优化。 ## 演练在本演练中，我们将创建一个使用来自连续 IPAM 池地址的区域可用性模式 NAT gateway，配置 IPAM 策略以强制执行此分配策略，并为合作伙伴白名单设置自动化的前缀列表更新。在开始之前，您需要： - 一个具有 VPC、IPAM 和 AWS RAM 相应 AWS Identity and Access Manager (IAM) 权限的 AWS 账户。 - 一个用于部署区域可用性模式 NAT gateway 的 VPC。 - 一个处于高级套餐模式 (Advanced Tier mode) 的 IPAM。 - (可选) 如果您想在多个账户中强制执行策略，需要配置好 AWS Organizations。 ### 步骤 1：创建包含连续地址的 IPAM 池首先，创建一个公有范围的 IPAM 池，它将为您的区域可用性模式 NAT gateway 提供地址。导航到 **VPC 控制台**，选择您现有的 **IPAM** 或创建一个新的 IPAM。使用以下设置创建一个新池： - **范围** (Scope) : Public - **地址族** (Address family) : IPv4 - **为池预置一个 IPv4 CIDR** (Provision an IPv4 CIDR to the pool) : 我们选择了一个网络掩码 (network mask) 为 /29 的 Amazon 提供的 CIDR。您也可以使用 BYOIPv4。如果您需要更大的连续 IPv4 块，可以申请提升服务配额。 ![IPAM public scope pool for NAT gateway in regional availability mode public IPv4 addresses](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-1-3.png) *图 1: 用于 NAT gateway 区域可用性模式公有 IPv4 地址的 IPAM 公有范围池* ### 步骤 2：创建 IPAM 策略接下来，创建一个 IPAM 策略，定义如何为您的区域可用性模式 NAT gateway 分配公有 IPv4 地址。该策略支持按顺序评估的多条规则。您可以为不同的资源类型或标签创建使用不同池的复杂分配策略。以下截图展示了 IPAM 策略的创建步骤。请配置： - **策略名称** (Policy name) (例如，RNAT-Policy) - **IPAM ID** : 您的 IPAM ID ![IPAM policy for Elastic IP addresses allocation to NAT gateways in regional availability](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-2-2.png) *图 2: 为区域可用性模式下的 NAT gateway 分配公有 IPv4 地址的 IPAM 策略* ### 步骤 3：向 IPAM 策略规则中添加 IPv4 分配规则在 IPAM 策略中，为区域可用性模式的 NAT gateway 创建一个 IP 分配规则 (IP allocation rule)。选择： - **区域** (Locale) : 策略应用的区域 - **资源类型** (Resource type) : RNAT (Regional Network Address Translation) - **规则** (Rule) : 选择 IPAM 用于 IP 分配的池 ![IPAM policy rule for public IPv4 address allocation to NAT gateways in regional availability mode](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-3-1.png) *图 3: 用于区域可用性模式 NAT gateway 的公有 IPv4 地址分配的 IPAM 策略规则* ### 步骤 4：配置 IPAM 前缀列表自动化配置 IPAM 以自动维护一个包含您池中连续块的前缀列表。在 IPAM 控制台中，为您的池启用前缀列表自动化，并指定要管理的前缀列表。当从连续块中分配地址时，IPAM 会自动向前缀列表添加条目。 #### **4.1. 创建一个 AWS prefix list** 导航到 **VPC 控制台**并选择 **托管前缀列表 (Managed prefix lists)**。选择 **创建前缀列表 (Create prefix list)** 并配置： - **名称** (Name) : 为您的前缀列表命名 (例如，Prefix-list-for-allowlisting-RNAT) - **最大条目数** (Max entries) : 前缀列表的最大条目数，取决于您 IPAM 池中已有或计划拥有的 Amazon 分配的连续 IPv4 块数量 - **地址族** (Address family) : IPv4 ![AWS prefix list creation](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-4.png) *图 4: 创建 AWS prefix list* 选择 **创建前缀列表 (Create prefix list)**。 #### **4.2. 创建前缀列表解析器** 在 **VPC IPAM 控制台**中导航到 **前缀列表解析器 (Prefix list resolvers)** 并选择 **创建前缀列表解析器 (Create prefix list resolver)**。配置： - **地址族** (Address family) : IPv4 - **名称** (Name) : 为您的 IPAM 托管前缀列表命名 (例如，RNAT-EIPs-prefix-list) - **(可选) 描述** (Description) : 添加相关描述 ![IPAM prefix list resolver](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-5-2.png) *图 5: IPAM 前缀列表解析器* 选择 **下一步 (Next)** 来配置 IPAM 填充前缀列表的规则。配置： - **规则类型** (Rule type) : IPAM pool CIDR - **IPAM 范围** (IPAM scope) : 您的 IPAM 公有范围 ID 然后选择 **添加新条件 (Add new condition)** 并配置： - **属性** (Property) : IPAM pool ID - **操作** (Operation) : Equals - **值** (Value) : 您在步骤 1 中为区域可用性模式 NAT 创建的 IPAM 池 ID ![: IPAM prefix list resolver rule configuration](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-6.png) *图 6: IPAM 前缀列表解析器规则配置* 审查并验证您的配置： ![IPAM prefix list resolver rule configuration validation](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-7-1.png) *图 7: IPAM 前缀列表解析器规则配置验证* 然后选择 **验证并创建 (Validate and create)**。 #### **4.3. 将 IPAM 前缀列表解析器与前缀列表关联** 检查前缀列表解析器的创建是否完成 (如下图所示)，并注意此时没有配置任何 **目标 (Targets)**： ![IPAM prefix list resolver rule details](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-8-1.png) *图 8: IPAM 前缀列表解析器规则详情* 选择 **创建目标 (Create target)** 并配置： - **区域** (Region) : 您的前缀列表和 IPAM 策略所在的区域 - **前缀列表** (Prefix list) : 选择您在 **步骤 4.1** 中创建的前缀列表 ID - **版本跟踪方法** (Version tracking method) : 保留默认的 **始终跟踪最新版本 (Always track latest version)** ![IPAM prefix list resolver rule target](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-9-1.png) *图 9: IPAM 前缀列表解析器规则目标* ### 步骤 5：创建区域可用性模式的 NAT gateway 导航到 VPC 控制台并使用以下设置创建一个 NAT gateway： - **可用性模式** (Availability mode) : Regional - **VPC** : 选择您的 VPC - **IP 地址分配** (IP address allocation) : Automatic (NAT gateway 将使用您的 IPAM 策略) 区域可用性模式的 NAT gateway 会自动扩展到您有活动工作负载的可用区，并根据您的 IPAM 策略从指定池中请求弹性 IP 地址。 ![Create NAT gateway in regional availability mode](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-10.jpg) *图 10: 创建区域可用性模式的 NAT gateway* 接下来，更新您的私有子网路由表，将发往互联网的流量指向区域可用性模式的 NAT gateway。在每个路由表中，创建一条目标为 0.0.0.0/0 的路由，并将其目标设置为区域可用性模式 NAT gateway 的 ID。 ### 步骤 6：验证配置创建目标后，验证前缀列表同步是否完成，如下图所示： ![Verify AWS prefix list automatic updates via the IPAM prefix list resolver](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-11-1.png) *图 11: 通过 IPAM 前缀列表解析器验证 AWS prefix list 自动更新* 选择前缀列表 ID 以查看自动填充到前缀列表中的 IPAM 池 CIDR： ![AWS prefix list automatic updates via the IPAM prefix list resolver](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2025/11/19/Figure-12-1.png) *图 12: 通过 IPAM 前缀列表解析器实现的 AWS prefix list 自动更新* ### 步骤 7：使用 AWS RAM 共享前缀列表使用 AWS Resource Access Manager 与您合作伙伴的 AWS 账户共享托管前缀列表。您的合作伙伴随后可以在其 security group 规则或 AWS WAF 配置中引用此前缀列表。随着您的区域可用性模式 NAT gateway 扩展并使用更多地址，前缀列表会自动更新。导航到 **AWS RAM 控制台**并选择 **创建资源共享 (Create resource share)**。选择要共享的前缀列表以及您希望与之共享的账户、AWS Organizations 或组织单元。如果 [AWS RAM 组织共享 (AWS RAM Organization Sharing)](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) 功能未自动接受，接收方账户需要接受该共享。 ## 监控与运维 - **监控 IPAM 池利用率** : IPAM 提供了 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 的 [池利用率指标](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam-ip-address-usage.html#cloudwatch-ipam-pool-metrics) ，包括显示池容量已使用百分比的 `PercentAssigned` 指标。设置 CloudWatch 告警，以便在池容量接近上限时通知您，让您可以在池耗尽前预置额外的 CIDR。当您在 IPAM 策略中启用 Amazon 地址溢出时，如果您的池已满，资源会自动回退到使用 Amazon 提供的地址，从而在您扩展容量时确保服务连续性 (service continuity)。 - **跟踪区域可用性模式 NAT gateway 的扩展** : 区域可用性模式的 NAT gateway 会为其运行的每个可用区发出 [CloudWatch 指标](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway-cloudwatch.html) 。您可以监控每个可用区的 `ActiveConnectionCount`、`BytesInFromDestination` 和 `BytesOutToDestination` 等指标，以了解您的流量模式。 - **使用公有 IP 洞察查看公有 IP 使用情况** : [IPAM 公有 IP 洞察 (Public IP Insights)](https://docs.aws.amazon.com/vpc/latest/ipam/view-public-ip-insights.html) 提供了对您在各 AWS 服务中公有 IPv4 地址使用情况的可见性。借助 IPAM 策略，您还可以查看使用特定 IPAM 池或池中特定 CIDR 地址的资源。 - **管理前缀列表更新** : 当地址从您池中的连续块分配或释放时，IPAM 会自动更新您的托管前缀列表。您可以在 VPC 控制台中查看前缀列表条目，并通过 AWS CloudTrail 跟踪变更。 ## 优势 - **端到端的客户与合作伙伴 IPv4 白名单自动化** : 当您将区域可用性模式的 NAT gateway 与 IPAM 策略和 IPAM 前缀列表自动化相结合时，就创建了一个完全自动化的白名单工作流。您的区域可用性模式 NAT gateway 会自动使用来自您指定 IPAM 池的连续 IP 块，这些块会反映在托管前缀列表中，合作伙伴可以在其安全设置中引用这些列表。随着您的基础设施跨可用区扩展，整个链条都会自动更新，无需人工干预。 - **在动态基础设施中实现一致的地址管理** : 区域可用性模式的 NAT gateway 会根据您的工作负载足迹自动在可用区之间扩展和收缩。通过强制执行 IPAM 策略，您可以确保 NAT gateway 使用的所有 IP 地址都来自您指定的连续 IPAM 池，无论哪个可用区处于活动状态。这种一致性简化了随着基础设施变化而产生的合作伙伴关系和安全管理。 - **简化的运维模型** : 这种集成消除了多层的人工协调。您不再需要为每个可用区预置 NAT gateway、跟踪正在使用的 IP 地址、手动更新前缀列表或在地址更改时通知合作伙伴。IPAM 策略确保使用正确的地址，区域可用性模式的 NAT gateway 处理基础设施扩展，而前缀列表自动化则保持安全设置的最新状态。 - **通过自动化的 BYOIPv4 强制执行实现成本优化** : 对于使用 BYOIPv4 以降低 AWS 公有 IPv4 费用的组织，IPAM 策略可确保区域可用性模式的 NAT gateway 在扩展时始终使用来自 BYOIPv4 池的地址。Amazon 提供的地址溢出选项提供了一个安全保障，如果您的池容量接近上限，它能让业务继续运行，同时您去预置更多地址。 - **降低安全管理复杂性** : 该集成允许您共享一个单一的托管前缀列表，该列表能自动反映您的连续地址块，而不是在合作伙伴白名单中管理单个 IP 地址或大型 CIDR 块。合作伙伴只需配置一次他们的 security group 或 AWS WAF 规则，使用您共享的前缀列表，之后随着您的区域可用性模式 NAT gateway 扩展，更新会自动传播。 ## 清理为避免产生持续费用，请从 VPC 控制台删除区域 NAT Gateway，从您的 AWS Organizations 策略中移除 IPAM 策略附件，删除不再需要的 IPAM 池、测试 IPAM 以及与托管前缀列表关联的任何 AWS RAM 共享。 ## 最佳实践与注意事项 - **规划扩展时间** : 区域可用性模式的 NAT gateway 平均需要 15-20 分钟才能扩展到新的可用区。请相应地规划您的工作负载部署，或者如果您需要即时覆盖，可以提前手动预置可用区。 - **服务集成** : 发布时，IPAM 策略支持弹性 IP 地址和区域可用性模式的 NAT gateway。我们未来会逐步增加更多的服务集成。 - **现有资源迁移** : 已拥有 Amazon 提供的公有 IPv4 地址的资源可以迁移到使用 IPAM 池中的地址。对于弹性 IP 地址和大多数提供静态地址的服务，这是一个可选操作，以避免中断现有的白名单配置。 ## 结论 NAT gateway 区域可用性模式和用于公有 IPv4 分配的 IPAM 策略协同工作，简化了您大规模管理公有地址的方式。NAT gateway 区域可用性模式通过根据您的工作负载足迹自动扩展和收缩，消除了多可用区 NAT 基础设施的运维复杂性。IPAM 策略提供了对 IP 分配策略的集中控制，确保资源始终使用来自指定池的地址，无需与应用团队协调。与 IPAM 前缀列表自动化的集成创建了一个端到端的合作伙伴白名单解决方案。您的区域可用性模式 NAT gateway 会自动使用来自 IPAM 池的连续块，这些块会反映在托管前缀列表中，合作伙伴可以在其安全设置中引用这些列表。随着您的基础设施扩展，整个链条会自动更新。要开始使用，请访问 Amazon VPC 关于 [NAT gateway 区域可用性模式](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateways-regional.html) 和 [IPAM 策略](https://docs.aws.amazon.com/vpc/latest/ipam/define-public-ipv4-allocation-strategy-with-ipam-policies.html) 的文档。如果您对本文有任何疑问，请在 [AWS re:Post](https://repost.aws/) 上发起一个新帖子或联系 [AWS Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html) 。 ## 关于作者 ![Alex Huides.jpg](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2024/08/08/alex-blog-bio-resized.png) ### Alexandra Huides Alexandra Huides 是 Amazon Web Services 的 AWS 网络服务产品团队的一名首席网络专家解决方案架构师。她专注于帮助客户为高度可扩展和弹性的 AWS 环境构建和开发网络架构。Alex 也是 AWS 的公开演讲者，并帮助客户采用 IPv6。工作之余，她热爱帆船 (特别是双体船)、旅行、探索新文化、跑步和阅读。 ![Aditya Santhanam](https://d2908q01vomqb2.cloudfront.net/5b384ce32d8cdef02bc3a139d4cac0a22bb029e8/2021/11/19/adisanta.jpg) ### Adi Santhanam Aditya Santhanam 是 AWS 网络服务产品团队的首席产品经理。他热衷于改善 AWS 云网络体验，并加速各行业客户对 IPv6 的采用。在加入 AWS 之前，他在电信云、内容分发网络和网络安全领域工作了十多年。在业余时间，他喜欢与家人共度时光并享受户外活动。