Vytvoření vlastní předpony adresy IPv4 pomocí Azure CLI

Vlastní předpona adresy IPv4 umožňuje přenést do Microsoftu vlastní rozsahy IPv4 a přidružit je k vašemu předplatnému Azure. Rozsah bude nadále vlastněný vámi, i když by microsoft mohl inzerovat ho na internetu. Předpona vlastní IP adresy funguje jako místní prostředek, který představuje souvislý blok IP adres vlastněných zákazníkem.

Postup v tomto článku podrobně popisuje následující postup:

• Příprava rozsahu pro zřízení

• Zřízení rozsahu pro přidělování IP adres

• Povolení inzerování rozsahu microsoftem

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.

Předpoklady

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Tento kurz vyžaduje verzi 2.28 nebo novější azure CLI (ke zjištění, kterou verzi máte, můžete spustit az version). Pokud používáte Azure Cloud Shell, je už nainstalovaná nejnovější verze.
• Přihlaste se k Azure CLI a ujistěte se, že jste vybrali předplatné, se kterým chcete tuto funkci používat.az account
• Rozsah IPv4 vlastněný zákazníkem, který se má zřídit v Azure.
  • V tomto příkladu se používá ukázkový rozsah zákazníků (1.2.3.0/24). Azure tento rozsah neověří. Nahraďte ukázkovou oblast vašimi.

Poznámka:

Informace o problémech, ke kterým došlo během procesu zřizování, najdete v tématu Řešení potíží s předponou vlastní IP adresy.

Kroky předběžného zřizování

Pokud chcete využít funkci Azure BYOIP, musíte před zřízením rozsahu adres IPv4 provést následující kroky.

Požadavky a připravenost předpon

• Rozsah adres musí být vlastněný vámi a zaregistrovaný pod vaším jménem s jedním z pěti hlavních regionálních internetových registrů:

  • Americký registr pro internetová čísla (ARIN)
  • Réseaux IP Européens Network Coordination Centre (RIPE NCC)
  • Asia Pacific Network Information Centre Regional Internet Registry (APNIC)
  • Latin America and Caribbean Network Information Centre (LACNIC)
  • AFRINIC (African Network Information Centre)

• Rozsah adres nesmí být menší než /24, takže bude přijat poskytovateli internetových služeb.

• Dokument o autorizaci původu trasy (ROA), který autorizuje microsoftu k inzerování rozsahu adres, musí vyplnit zákazník na příslušném webu SLUŽBY RIR (Routing Internet Registry) nebo prostřednictvím svého rozhraní API. RiR bude vyžadovat digitální podepsání ROA pomocí infrastruktury veřejných klíčů prostředků (RPKI) vašeho RIR.

  Pro tuto roa:

  • Zdroj AS musí být uvedený jako 8075 pro veřejný cloud. (Pokud se rozsah nasadí do cloudu US Gov, musí být jako 8070 uvedený zdroj AS.)

  • Koncové datum platnosti (datum vypršení platnosti) musí odpovídat času, kdy máte v úmyslu inzerovat předponu od Microsoftu. Některá rezervovaná instance nezobrazují koncové datum platnosti jako možnost a nebo si vyberte datum.

  • Délka předpony by se měla přesně shodovat s předponami, které může inzerovat Microsoft. Pokud například plánujete do Microsoftu přenést verzi 1.2.3.0/24 a 2.3.4.0/23, měly by mít oba názvy.

  • Po dokončení a odeslání žádosti o přijetí žádosti o přijetí této žádosti je možné společnosti Microsoft zpřístupnit alespoň 24 hodin, kde bude ověřena, aby v rámci procesu zřizování určila jeho pravost a správnost.

Poznámka:

Doporučuje se také vytvořit ROA pro všechny stávající ASN, které inzeruje rozsah, aby se během migrace zabránilo jakýmkoli problémům.

Důležité

I když Společnost Microsoft nebude inzerovat rozsah po zadaném datu, důrazně doporučujeme nezávisle vytvořit návazné roa, pokud původní datum vypršení platnosti uplynulo, aby se zabránilo externím operátorům v přijetí reklamy.

Připravenost certifikátů

Pokud chcete autorizovat Microsoft, aby přidružil předponu k předplatnému zákazníka, musí se veřejný certifikát porovnat s podepsanou zprávou.

Následující kroky ukazují kroky potřebné k přípravě rozsahu ukázkových zákazníků (1.2.3.0/24) pro zřizování ve veřejném cloudu.

Poznámka:

V PowerShellu spusťte následující příkazy s nainstalovaným OpenSSL.

1. Certifikát X509 podepsaný svým držitelem musí být vytvořen pro přidání do záznamu Kdo is/RDAP pro předponu. Informace o RDAP naleznete na stránkách ARIN, RIPE, APNIC a AFRINIC .

   Příklad využití sady nástrojů OpenSSL je uvedený níže. Následující příkazy vygenerují pár klíčů RSA a vytvoří certifikát X509 pomocí dvojice klíčů, která vyprší za šest měsíců:

   ./openssl genrsa -out byoipprivate.key 2048
   Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
   

2. Po vytvoření certifikátu aktualizujte část veřejných komentářů záznamu Kdo is/RDAP pro předponu. Pokud chcete zobrazit kopírování, včetně záhlaví/zápatí BEGIN/END s pomlčkami, použijte příkaz cat byoippublickey.cer , který byste měli být schopni provést prostřednictvím svého registru Směrování internetu.

   Pokyny pro každý registr jsou následující:

   • ARIN – upravte komentář záznamu předpony.

   • RIPE - upravit "Poznámky" inetnum záznamu.

   • APNIC – upravte poznámky inetnum záznamu pomocí MyAPNIC.

   • AFRINIC - upravit "Poznámky" inetnum záznam pomocí MyAFRINIC.

   • Pro rozsahy z registru LACNIC vytvořte lístek podpory s Microsoftem.

   Po vyplnění veřejných komentářů by měl záznam Kdo is/RDAP vypadat jako v následujícím příkladu. Ujistěte se, že nejsou mezery nebo návraty na začátek řádku. Zahrnout všechny pomlčky:

   

3. Pokud chcete vytvořit zprávu, která se předá Microsoftu, vytvořte řetězec obsahující relevantní informace o vaší předponě a předplatném. Podepište tuto zprávu pomocí páru klíčů vygenerovaných v krocích výše. Použijte formát uvedený níže, nahraďte ID předplatného, předponu, která se má zřídit, a datum vypršení platnosti odpovídající datu platnosti v ROA. Ujistěte se, že formát je v daném pořadí.

   Pomocí následujícího příkazu vytvořte podepsanou zprávu, která se předá Microsoftu k ověření.

   Poznámka:

   Pokud datum ukončení platnosti nebylo zahrnuto v původní roa, vyberte datum, které odpovídá času, kdy máte v úmyslu inzerovat předponu v Azure. Mějte také na paměti, že Společnost Microsoft nezastaví inzerci rozsahu po zadaném datu, ale pokud uplynulo původní datum vypršení platnosti, doporučujeme ho nezávisle vytvořit.

   $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
   Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
   ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
   $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
   

4. Pokud chcete zobrazit obsah podepsané zprávy, zadejte proměnnou vytvořenou z dříve vytvořené zprávy a na příkazovém řádku PowerShellu vyberte Enter :

   $byoipauthsigned
   dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
   

Kroky zřizování

Následující kroky zobrazují postup zřízení ukázkového rozsahu zákazníků (1.2.3.0/24) do oblasti USA – západ 2.

Poznámka:

Kroky vyčištění nebo odstranění se na této stránce nezobrazují vzhledem k povaze prostředku. Informace o odebrání zřízené vlastní předpony IP adres najdete v tématu Správa vlastních předpon IP adres.

Vytvoření skupiny prostředků a zadání předpony a autorizačních zpráv

Vytvořte skupinu prostředků v požadovaném umístění pro zřízení rozsahu BYOIP.

  az group create \
    --name myResourceGroup \
    --location westus2

Zřízení vlastní předpony IP adresy

Následující příkaz vytvoří vlastní předponu IP adresy v zadané oblasti a skupině prostředků. Zadejte přesnou předponu v zápisu CIDR jako řetězec, abyste zajistili, že nedojde k žádné chybě syntaxe. --authorization-message Pro parametr použijte proměnnou $byoipauth, která obsahuje ID vašeho předplatného, předponu, která se má zřídit, a datum vypršení platnosti odpovídající datu platnosti v ROA. Ujistěte se, že formát je v daném pořadí. Použijte proměnnou $byoipauthsigned pro --signed-message parametr vytvořený v části připravenosti certifikátu.

  byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
  
  az network custom-ip prefix create \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --location westus2 \
    --cidr ‘1.2.3.0/24’ \
    --zone 1 2 3
    --authorization-message $byoipauth \
    --signed-message $byoipauthsigned

Rozsah se odešle do kanálu nasazení IP adres Azure. Proces nasazení je asynchronní. Pokud chcete zjistit stav, spusťte následující příkaz:

 az network custom-ip prefix show \
   --name myCustomIpPrefix \
   --resource-group myResourceGroup

Níže je zobrazený ukázkový výstup s odebráním některých polí pro přehlednost:

{
  "cidr": "1.2.3.0/24",
  "commissionedState": "Provisioning",
  "id": "/subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/myCustomIpPrefix",
  "location": "westus2",
  "name": myCustomIpPrefix,
  "resourceGroup": "myResourceGroup",
}

Pole CommissionedState by mělo zpočátku zobrazovat rozsah zřizování , po kterém následuje v budoucnu zřízeno.

Poznámka:

Odhadovaná doba dokončení procesu zřizování je 30 minut.

Důležité

Po vytvoření vlastní předpony IP adresy ve zřízeném stavu je možné vytvořit předponu podřízené veřejné IP adresy. Tyto veřejné IP adresy a všechny veřejné IP adresy je možné připojit k síťovým prostředkům. Například síťová rozhraní virtuálních počítačů nebo front-endy nástroje pro vyrovnávání zatížení. IP adresy se nebudou inzerovat, a proto nebudou dostupné. Další informace o migraci aktivní předpony najdete v tématu Správa vlastní předpony IP.

Zprovoznění vlastní předpony IP adres

Pokud je vlastní předpona IP adresy ve stavu Zřízeno , následující příkaz aktualizuje předponu, aby zahájil proces inzerování rozsahu z Azure.

az network custom-ip prefix update \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --state commission 

Stejně jako předtím je operace asynchronní. K načtení stavu použijte příkaz az network custom-ip prefix show . Pole KomiseedState zpočátku zobrazí předponu jako komisi, po níž bude následovat v budoucnu komise. Uvedení reklamy není binární a rozsah bude částečně inzerován, i když bude stále v Komisi.

Poznámka:

Odhadovaná doba k úplnému dokončení procesu zprovoznění je 3 až 4 hodiny.

Důležité

Vzhledem k tomu, že vlastní předpona IP adres přechází do stavu Komise , je rozsah inzerován s Microsoftem z místní oblasti Azure a globálně do internetu prostřednictvím sítě Microsoft wide area network v rámci čísla autonomního systému (ASN) 8075. Inzerování stejného rozsahu na internet z jiného umístění než Microsoftu může potenciálně způsobit nestabilitu směrování protokolu BGP nebo ztrátu provozu. Například místní budova zákazníka. Naplánujte jakoukoli migraci aktivního rozsahu během období údržby, abyste se vyhnuli dopadu. Kromě toho můžete využít funkci regionálního zprovoznění a umístit vlastní předponu IP adresy do stavu, ve kterém se inzeruje pouze v rámci oblasti Azure, ve které se nasazuje– další informace najdete v tématu Správa vlastní předpony IP adres (BYOIP).

Další kroky

• Další informace o scénářích a výhodách použití vlastní předpony IP adres najdete v tématu Vlastní předpona IP adres (BYOIP).

• Další informace o správě vlastní předpony IP adres najdete v tématu Správa vlastní předpony IP adres (BYOIP).

• Pokud chcete vytvořit vlastní předponu IP adresy pomocí Azure CLI, přečtěte si téma Vytvoření vlastní předpony IP adres pomocí Azure CLI.

• Pokud chcete vytvořit vlastní předponu IP adresy pomocí webu Azure Portal, přečtěte si téma Vytvoření vlastní předpony IP adresy pomocí webu Azure Portal.