Freigeben über


Erstellen und Verwalten von IP-Präfixen

In diesem Artikel werden die wichtigsten Verwaltungsvorgänge für IP-Präfixe und IP-Präfixregeln in Azure Operator Nexus erläutert.

IP-Präfixvorgänge

Erstellen eines IP-Präfix

Führen Sie die folgenden Schritte aus, um eine IP-Präfixressource zu erstellen:

  1. Geben Sie die Eigenschaften und Regeln der IP-Präfixressource an. Sie können den folgenden azcli-Befehl als Referenz verwenden:

    az networkfabric ipprefix create--resource-group myResourceGroup \
      --name myIpPrefix \
      --location eastus \
      --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \
      --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20
    

    Die Eigenschaften und Regeln der IP-Präfixressource sind:

    • resource-group: Der Name der Azure-Ressourcengruppe, in der Sie die IP-Präfixressource erstellen möchten. 

    • name: Der Name der IP-Präfixressource. 

    • location: Die Azure-Region, in der Sie die IP-Präfixressource erstellen möchten. 

    • ip-prefix-rules: Die Liste der Regeln, die die Übereinstimmungskriterien und die Aktion für die IP-Präfixressource definieren. Jede Regel verfügt über folgende Eigenschaften:

      • action: Die durchzuführende Aktion, wenn die Bedingung erfüllt ist. Es kann entweder Permit oder Deny sein. Permit bedeutet, die Route zuzulassen, und Deny bedeutet, die Route abzulehnen. 

      • condition: Die Bedingung zum Vergleichen des Netzwerkpräfixes der Route mit dem Netzwerkpräfix der Regel. Es kann sich um einen der folgenden Werte handeln:

        • EqualTo: Die Bedingung ist wahr, wenn der Netzwerkpräfix der Route mit dem Netzwerkpräfix der Regel übereinstimmt. 

        • NotEqualTo: Die Bedingung ist wahr, wenn der Netzwerkpräfix der Route nicht mit dem Netzwerkpräfix der Regel übereinstimmt. 

        • GreaterThanOrEqualTo: Die Bedingung ist wahr, wenn der Netzwerkpräfix der Route größer als oder gleich dem Netzwerkpräfix der Regel ist.

      • networkPrefix: Das zuzuordnende Netzwerksegment. Es handelt sich um eine IP-Adresse und eine Präfixlänge, z. B. 10.10.10.0/28 oder 2001:db8::/64. Für IPv4 muss die Präfixlänge 1-32 sein. Für IPv6 muss die Präfixlänge 1-128 sein.

      • sequenceNumber: Die Reihenfolge der Auswertung der Regel, von der niedrigsten bis zur höchsten. Die Regel mit der niedrigsten Sequenznummer wird zuerst ausgewertet, und die Regel mit der höchsten Sequenznummer wird zuletzt ausgewertet. Wenn eine Regel mit der Route übereinstimmt, wird die Auswertung beendet, und die Aktion der Regel wird ausgeführt. Wenn keine Regel mit der Route übereinstimmt, lautet die Standardaktion „Verweigern“. 

  2. Erstellen Sie die IP-Präfixressource mithilfe des azcli-Befehls. Sie können denselben Befehl wie im vorherigen Schritt verwenden oder ihn entsprechend Ihren Anforderungen ändern.

  3. Überprüfen Sie, ob die IP-Präfixressource erfolgreich erstellt wurde. Sie können den az networkfabric ipprefix show-Befehl verwenden, um die Details der IP-Präfixressource anzuzeigen. Sie können das folgende Beispiel als Referenz verwenden:

    az networkfabric ipprefix show \
      --resource-group myResourceGroup \
      --name myIpPrefix 
    

In diesem Beispiel ist myResourceGroup der Name der Ressourcengruppe, in der Sie die IP-Präfixressource erstellt haben, und myIpPrefix der Name der IP-Präfixressource. 

Die Antwort sollte die Eigenschaften und Regeln der IP-Präfixressource enthalten, z. B. ID, Typ, ipPrefixRules, Speicherort, Name, provisioningState, resourceGroup und Tags. 

Anzeigen einer IP-Präfixressource

Verwenden Sie den folgenden Befehl, um die Details einer vorhandenen IP-Präfixressource anhand der ID oder des Namens abzurufen:

# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix

Der REST-API-Antworttext sieht wie folgt aus:

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
  "location": "eastus",
  "name": "myIpPrefix",
  "properties": {
    "ipPrefixRules": [
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "10.10.10.0/28",
        "sequenceNumber": 10
      },
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "20.20.20.0/24",
        "sequenceNumber": 20
      }
    ]
  }
}

Aktualisieren einer IP-Präfixressource

Führen Sie die folgenden Schritte aus, um eine IP-Präfixressource zu aktualisieren:

  1. Geben Sie die Eigenschaften und Regeln der IP-Präfixressource an, die Sie aktualisieren möchten. Sie können dieselbe JSON-Vorlage wie im vorherigen Schritt verwenden oder sie entsprechend Ihren Anforderungen ändern. 

  2. Aktualisieren Sie die IP-Präfixressource mithilfe des Azure CLI-Befehls oder der REST-API-Methode. Sie können die folgenden Beispiele als Referenz verwenden:

    az networkfabric ipprefix update  \
      -g "example-rg" \
      --resource-name "example-ipprefix" \
      --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"
    

In diesem Beispiel ist resourceGroupName der Name der Ressourcengruppe, in der Sie die IP-Präfixressource erstellt haben, ipPrefixName ist der Name der IP-Präfixressource und die --add-Option fügt eine neue Regel zur ipPrefixRules-Eigenschaft hinzu. Die neue Regel verweigert Routen mit dem Netzwerkpräfix 30.30.30.0/24 und weist eine Sequenznummer von 30 auf. 

Löschen einer IP-Präfixressource

Verwenden Sie den folgenden Befehl, um eine vorhandene IP-Präfixressource anhand der ID oder des Namens zu löschen:

# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
  --resource-group myResourceGroup \
  --name myIpPrefix

Der REST-API-Anforderungstext zum Löschen einer IP-Präfixressource anhand ihrer ID lautet wie folgt:

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}

Beispiel für IP-Präfixressourcen

ipprefixv4-externalnetwork1-export

Diese Ressource wird verwendet, um Netzwerkdatenverkehrsregeln für ein bestimmtes externes Netzwerk in einer Ressourcengruppe zu verwalten. Sie enthält Regeln, die Datenverkehr zu den Präfixen 20.20.20.0/24 und 50.50.50.0/24 zulassen, jedoch den Datenverkehr an das Netzwerkpräfix 10.10.10.10.0/28 verweigern. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
  "ipPrefixRules": [
    {
      "action": "Deny",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "50.50.50.0/24",
      "sequenceNumber": 13
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-externalnetwork1-export",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Diese Ressource verweigert den Datenverkehr an das Netzwerkpräfix 10.10.10.0/28 und erlaubt Datenverkehr an die Präfixe 20.20.20.0/24 und 50.50.50.0/24.

ipprefixv4-1204-cn1

Diese Ressource wird verwendet, um Netzwerkdatenverkehrsregeln für ein bestimmtes Netzwerk in einer Ressourcengruppe zu verwalten. Sie enthält Regeln, mit denen Datenverkehr zu den Präfixen 10.10.10.0/28 und 20.20.20.20.0/24 zugelassen wird. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-1204-cn1",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Diese Ressource ermöglicht den Datenverkehr an die Präfixe 10.10.10.0/28 und 20.20.20.20.0/24.

ipprefix-v6-ingress

Diese Ressource befindet sich in der Region eastus und ist Teil einer Ressourcengruppe. Sie ist konfiguriert, aber derzeit deaktiviert. Die Ressource ist vom Typ microsoft.managednetworkfabric/ipprefixes.

Die Ressource verfügt über zwei IP-Präfixregeln:

  1. Ermöglicht Datenverkehr von Netzwerkpräfixen, die größer oder gleich fda0:d59c:db12::/59 mit einer Subnetzmaskenlänge von 59 sind. 

  2. Ermöglicht Datenverkehr von Netzwerkpräfixen, die größer oder gleich fc00:f853:ccd:e793::/64 mit einer Subnetzmaskenlänge von 64 sind. 

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fda0:d59c:db12::/59",
      "sequenceNumber": 10,
      "subnetMaskLength": "59"
    },
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fc00:f853:ccd:e793::/64",
      "sequenceNumber": 20,
      "subnetMaskLength": "64"
    }
  ],
  "location": "eastus",
  "name": "ipprefix-v6-ingress",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Diese Ressource ist so konfiguriert, dass IPv6-Datenverkehr von den angegebenen Netzwerkpräfixen zugelassen wird.