Dans un projet récent, j’ai travaillé avec un client qui gérait plus de 100 comptes et qui a récemment adopté AWS Control Tower. Malgré cela, j’ai remarqué que la gestion des plages CIDR était toujours un processus manuel et que toutes les plages IP étaient suivies via une feuille Excel dans un emplacement centralisé. Cette approche s’est avérée être un défi de taille, car elle nécessitait des efforts considérables pour maintenir, calculer et récupérer les adresses IP à chaque fois. Cela a été particulièrement difficile pour les nouveaux membres de l’équipe informatique qui ont rejoint l’équipe des opérations informatiques.
AWS fournit une solution puissante pour gérer les adresses IP dans votre environnement cloud via son service IPAM (Internet Protocol Address Management). AWS IPAM vous permet d’automatiser l’attribution et la gestion des adresses IP, de suivre l’utilisation des adresses IP et de détecter les conflits d’adresses IP potentiels. En plus de ces fonctionnalités, AWS IPAM peut être utilisé conjointement avec AWS Control Tower pour gérer les adresses IP sur plusieurs comptes et VPC de manière centralisée et standardisée. Dans cet article, nous allons explorer les fonctionnalités et les avantages d’AWS IPAM avec Control Tower et discuter de certaines bonnes pratiques pour une utilisation efficace de ces services.
Avantages d’AWS IPAM avec tour de contrôle
AWS IPAM avec Control Tower offre les avantages suivants :
- Gestion centralisée des adresses IP : AWS IPAM vous permet de gérer les adresses IP sur plusieurs comptes AWS et VPC de manière centralisée, ce qui réduit la complexité et améliore la visibilité sur l’utilisation des adresses IP.
- Attribution d’adresse IP standardisée : AWS IPAM fournit une approche standardisée de l’attribution et de la gestion des adresses IP, vous permettant d’appliquer des politiques et des bonnes pratiques dans toute votre organisation.
- Attribution automatique d’adresse IP : AWS IPAM peut attribuer automatiquement des adresses IP aux ressources en fonction de vos politiques d’allocation prédéfinies, réduisant ainsi le risque d’erreur humaine et améliorant l’efficacité.
- Contrôles d’accès granulaires : AWS IPAM fournit des contrôles d’accès précis, vous permettant de contrôler qui peut allouer et gérer des adresses IP dans votre environnement AWS.
- Suivi d’adresse IP : AWS IPAM peut suivre l’utilisation des adresses IP dans vos ressources et vos VPC, vous donnant une visibilité sur l’utilisation des adresses IP et vous permettant d’optimiser l’allocation des adresses IP.
- Détection des conflits d’adresse IP : AWS IPAM peut détecter les conflits d’adresses IP potentiels sur plusieurs comptes et VPC, en fournissant des alertes et en vous permettant de prendre des mesures pour éviter les temps d’arrêt du réseau.
Comment ça fonctionne
Lorsque vous utilisez AWS IPAM, vous créez des pools d’adresses IP qui contiennent des plages d’adresses IP. Ces pools peuvent être attribués à des VPC, des sous-réseaux et des interfaces réseau. Vous pouvez également créer des étendues IPAM pour regrouper vos pools d’adresses IP et appliquer des règles d’allocation sur plusieurs comptes AWS et leurs VPC.
Le schéma suivant illustre la vue d’ensemble de la solution IPAM :
Meilleures pratiques IPAM
Mise à l’échelle de la gestion des adresses IP avec VPC IPAM et AWS Organizations
Amazon VPC IPAM peut être intégré à la structure de votre organisation. Pour l’attribution d’adresses IP, il est recommandé d’appliquer la séparation des tâches et des autorisations en créant un compte administrateur IPAM pour votre organisation.
Vous pouvez utiliser AWS Control Tower pour configurer et gérer en toute sécurité la structure de votre organisation et la vente des comptes. Avec Control Tower, vous devez fournir au compte administrateur réseau central les autorisations AWS IAM appropriées pour créer une infrastructure réseau pour votre déploiement multicompte.
Meilleures pratiques en matière d’adressage IP et de conception de pools IPAM
Un schéma d’adressage IP hiérarchique vous permet de suivre une politique d’allocation IP qui correspond le mieux à vos besoins. Par exemple, créer des CIDR IP régionaux, puis diviser chaque CIDR régional en CIDR spécifiques à un département. Par conséquent, vous pouvez facilement résumer vos CIDR par région, ce qui simplifie la gestion du réseau et gère mieux les quotas de vos services. De plus, un schéma d’adressage IP hiérarchique et contigu vous permet de configurer facilement les structures de segmentation du réseau. Par exemple, les groupes de sécurité (SG), les listes de contrôle d’accès au réseau (NACL) et les règles de pare-feu.
Le schéma suivant illustre l’exemple des pools d’adresses IP :
Intégration de VPC IPAM à votre environnement AWS existant
Lorsque vous créez vos pools, il est recommandé d’autoriser IPAM à importer automatiquement toutes les ressources préexistantes dans les pools IPAM respectifs. Les ressources découvertes par IPAM sont marquées comme gérées si elles sont contenues dans un CIDR d’un pool IPAM, et sont surveillées par IPAM pour un chevauchement CIDR potentiel et la conformité avec les règles d’allocation de pool. Sinon, ils sont par défaut non gérés et toujours surveillés et IPAM pour le chevauchement des adresses IP.
Le schéma suivant illustre la vue de la gestion des ressources IP :
Utilisation d’IPAM avec plusieurs réseaux AWS non connectés
Il est recommandé de créer des étendues privées distinctes pour chacun de vos environnements non connectés. Cela vous permettra de surveiller le plan d’adressage IP pour les différents environnements non connectés à partir de VPC IPAM, sans générer de conflits de chevauchement ni d’alarmes dans IPAM. Lorsqu’IPAM découvre des ressources avec des CIDR IPv4 privés, elles sont importées dans l’étendue privée par défaut et n’apparaissent pas dans les étendues privées supplémentaires que vous créez. Vous pouvez déplacer des CIDR de l’étendue privée par défaut vers une autre étendue privée pour mapper votre environnement à la conception d’étendue ciblée.
Amazon VPC IPAM et conception de réseau hybride
Pour gérer les allocations IPv4 privées de votre réseau hybride, il est recommandé de créer des allocations IPAM personnalisées pouvant représenter les CIDR présents dans vos centres de données sur site. Cela garantit que les CIDR réservés à vos charges de travail non AWS ne sont pas accidentellement affectés à des ressources AWS et évite le risque de rencontrer des problèmes d’IP qui se chevauchent.
Conclusion
AWS IPAM fournit une solution puissante pour gérer les adresses IP dans votre environnement AWS. Ses avantages avancés, tels que les plages d’adresses IP personnalisées, l’attribution automatique d’adresses IP et les contrôles d’accès granulaires, peuvent vous aider à optimiser l’utilisation des adresses IP, à améliorer la sécurité et à réduire le risque d’indisponibilité du réseau. En suivant les bonnes pratiques décrites dans cet article, vous pouvez utiliser efficacement AWS IPAM et profiter de ses avantages.