Amazon Web Services ブログ

Amazon VPC IP Address Manager による大規模なネットワークアドレス管理と監査

クラウドワークロードとコネクテッドデバイスが急速に増加し続ける中、大規模ネットワークの IP アドレス割り当ての管理、モニタリング、監査は、複雑で時間がかかり、エラーが発生しやすい作業です。従来、ネットワーク管理者は、複数のアカウント、Virtual Private Cloud (VPC)、およびリージョンにまたがるアドレス割り当てを追跡するために、スプレッドシート、自社開発ツール、スクリプトを組み合わせて使用していました。アプリケーション開発チームによって IP アドレスの割り当てが要求された際には、スプレッドシートを手動で更新する必要があり、エラーを回避するために時間と注意が必要です。エラーに気付かないと、アドレスの競合やそれに伴うダウンタイムが発生し、運用上およびビジネス上の深刻な問題を引き起こす恐れがあります。また、これらの更新にかかった時間 (場合によっては数日) によって、新しいアプリケーションのオンボーディングや既存のアプリケーションの拡張が遅れ、開発チームのスピードが低下します。自社開発のツールやスクリプトを最新かつエラーのない状態に保つというニーズにスタッフの時間が費やされ、より戦略的でビジネスに影響を与えるプロジェクトに時間を割けなくなります。

2021 年 12 月 1 日(米国時間)、Amazon VPC IP Address Manager を発表しました。これは、ネットワーク管理者に IP の自動管理ワークフローを提供する新機能です。IPAM を使用すると、ネットワーク管理者は、大規模なネットワークで簡単に IP アドレスの整理、割り当て、モニタリング、監査を行うことができ、管理とモニタリングの負担が軽減され、遅延や意図しないエラーの原因となる手動プロセスが排除されます。

Amazon VPC IP Address Manager ダッシュボードのホームページ

Amazon VPC IP Address Manager の紹介
IPAM を使用すると、単一の運用ダッシュボードを使用して、組織のアカウント、Amazon Virtual Private Cloud (VPC)、および AWS リージョンにまたがって IP アドレスの割り当てを管理および監査できます。この一元化されたビューから、AWS 全体の IP アドレスを管理できます。

IP アドレスを必要とするリソースがあるリージョンごとに、リージョナルプールを作成します。プールは CIDR の集合で、IP 空間を整理するのに役立ちます。最上位プールの未使用のアドレス空間をリージョナルプールを埋めるために使用できます。さらに、セキュリティニーズが異なるアプリケーションや環境がある場合は、追加のプールを作成できます。例えば、開発環境と本番環境において異なる接続要件に従っている場合は、異なるプールを作成できます。以下のスクリーンショットは、グローバルプールを作成し、そこから 3 つのリージョナルプールを作成するプロセスを示しています。この例ではリージョナルプールの構成までを示していますが、本番環境では、必要に応じてリージョナルプールをさらに細分化します。

グローバル IPAM プールの作成

次に、一連のリージョナルプールを構成します。以下では、米国東部 (バージニア北部) リージョンのリソース用のリージョナルプールを、グローバルプール内をスコープとして作成しています。

リージョナルプールの作成、ステップ 1

リージョナルプールの構成の一環として、グローバルプールからプロビジョンする CIDR を指定する必要があります。オプションで、割り当て用のリソースとルールの自動検出を有効にすることもできます。

リージョナルプールの構成

この例では、残りの 2 つのリージョン (米国東部 (オハイオ) と欧州 (アイルランド)) のリージョナルプールを作成して構成するプロセスを繰り返した後、こちらが最終的なプール階層になります。上で述べたように、この階層は一連のリージョナルプールで終了しますが、さらに細分化することもできます。

IPAM のプール階層

IPAM プールを構成すると、新しい IP アドレスの割り当てを必要とする開発チームやリソースは、自動化されたセルフサービスプロセスを利用できるようになり、デベロッパーは作業を中断せずにすみ、接続の問題を引き起こす恐れのある手動プロセスによるエラーも排除できます。IP アドレスの割り当てを管理するために、自動化されたシンプルなビジネスルールを使用できます。IPAM のセルフサービスモデルにより、デベロッパーはビジネスルールに基づいて数秒でリソースを直接作成し、IP アドレスを受け取ることができ、アプリケーションのオンボーディングの遅延が解消され、開発チームのスピードが向上します。下のスクリーンショットでは、プールを参照して、新しい VPC の作成時に使用するアドレス範囲を設定しています。

IPAM プールからの新しい VPC へのアドレス範囲の割り当て

また、IPAM (AWS Organizations で作成)、および AWS Resource Access Manager (RAM) を組織で共有できます。IPAM を共有すると、組織およびリージョンのメンバーアカウント全体で、Amazon VPC への CIDR 割り当てが完全に自動化されます。

IPAM には、ネットワーク管理者向けの監視機能と監査機能が備わっており、トラブルシューティングの迅速化に役立ちます。また、単一のダッシュボードを使用して、組織のグローバルネットワークアドレスプール全体の使用済みアドレスと未使用アドレスを把握してモニタリングできます。IPAM では、割り当てられたアドレスごとに、AWS アカウント、VPC、ルーティング、セキュリティードメインなどの重要な情報が追跡されるため、管理者の負担となる記録作業は不要になります。IPAM を使用して IP 割り当てのエラーをなくしたお客様は、IPAM を使用して割り当てられたアドレスをモニタリングできるほか、潜在的な問題 (ネットワークの成長を妨げる IP アドレスの枯渇や、ルーティングの誤りを招く恐れのある IP アドレスの重複など) が検出された場合にアラートを受け取ることができます。これらのアラートに積極的に対応し、重大なサービス停止を招く前に問題を修正できます。

以下のスクリーンショットは、一連の VPC 全体でのプール使用率のモニタリングを示しています。

IPAM プールのモニタリング

プール内のアドレス空間の使用率もモニタリングできます。選択した使用率の値でトリガーするように設定できる Amazon CloudWatch アラームを追加して、アドレス空間が枯渇する前に先を見越したアクションを実行できるようにします。

アラームによるプール使用率のモニタリング

アドレス空間の重複は、ネットワーク管理者が管理する必要のある、もう 1 つの頭痛の種です。通常、システム停止時に事後に発見されます。この場合も、IPAM を使用すると、アドレス範囲の重複を警告するリソースのビューが提供されるため負担を軽減できます。

重複するアドレス空間の検出

ネットワークの問題のトラブルシューティングや、ネットワークセキュリティとルーティングポリシーの監査をさらに支援するために、ネットワーク管理者は IPAM によって提供される現在および過去のデータを活用して、使用状況に関するインサイトを得ることができます。

IPAM による履歴へのインサイト

IPAM は、IP アドレス (パブリックアドレス、プライベートアドレス、elastic IP アドレス (EIP) など) を割り当てる必要のあるすべての VPC リソースと連携し、IPv4 アドレスと IPv6 アドレスの両方で BYOIP (自分の IP アドレスの使用) もサポートしています。

IP アドレスの大規模な管理と監査を今すぐ始める
Amazon VPC IP Address Manager は、現在、すべての商用 AWS リージョンでご利用いただけます。すぐに利用を開始しましょう。まず、すべてのリージョンとアカウント用の IPAM を作成し、次にプールを作成し、最後にアプリケーションポリシーを設定します。その後、IP アドレス割り当ての自動化、ネットワークアドレスの割り当てのモニタリング、トラブルシューティング、および監査に IPAM を活用できます。

既存の VPC がある場合、IPAM を作成すると、ユーザー側でのアクションなしでモニタリングが開始され、すべての VPC と EIP のインベントリが作成されます。プールを作成すると、IPAM は VPC をプールにバックフィルします。つまり、既存のワークフローを使用して VPC を今すぐ作成し、IPAM をモニタリングと監査にのみ使用できます。後で、ワークフローを IPAM ベースの自動 VPC 割り当てに切り替えることができます。

– Steve

原文はこちらです。