Auf Englisch lesen

Freigeben über


Erstellen eines benutzerdefinierten IPv4-Adresspräfixes in Azure

In diesem Artikel erfahren Sie, wie Sie ein benutzerdefiniertes IPv4-Adresspräfix über das Azure-Portal erstellen. Sie bereiten einen Bereich für die Bereitstellung vor, stellen den Bereich für die IP-Zuweisung bereit und aktivieren die Bereichsankündigung von Microsoft.

Mit einem benutzerdefinierten IPv4-Adresspräfix können Sie Ihre eigenen IPv4-Bereiche auf Microsoft-Ressourcen verwenden und Ihrem Azure-Abonnement zuordnen. Sie sind weiterhin im Besitz des Bereichs, aber Microsoft ist es gestattet, ihn im Internet anzukündigen. Ein benutzerdefiniertes IP-Adresspräfix fungiert als regionale Ressource, die einen zusammenhängenden Block kundeneigener IP-Adressen darstellt.

Wählen Sie für diesen Artikel zwischen dem Azure-Portal, der Azure CLI oder PowerShell aus, um ein benutzerdefiniertes IPv4-Adresspräfix zu erstellen.

Globales/Regionales Modell im Vergleich zum einheitlichen Modell

Bevor Sie Ihren Bereich in Azure einrichten, müssen Sie sich für das Modell entscheiden, das für Ihre Architektur am besten geeignet wäre. Für BYOIPv4 bietet Azure zwei Bereitstellungsmodelle: „global/regional“ und „einheitlich“.

  • Das globale/regionale Modell verwendet ein übergeordnetes/untergeordnetes Paradigma. In diesem Paradigma kündigt das Microsoft Wide Area Network (WAN) den globalen (übergeordneten) Bereich an, und die jeweiligen Azure-Regionen kündigen die regionalen (untergeordneten) Bereiche an. Standardmäßig können globale Bereiche zwischen /21 und /24 sein, und regionale Bereiche können zwischen /22 und /26 sein. Regionale Bereiche hängen von der Größe ihres jeweiligen übergeordneten Bereichs ab und müssen mindestens eine Ebene kleiner sein. Beispielsweise würde ein globaler Bereich mit /23 einen regionalen Bereich zwischen /24 und /26 zulassen. Nur der globale Bereich muss als Teil der Bereitstellung überprüft werden. Die regionalen Bereiche werden aus dem globalen Bereich abgeleitet, ähnlich wie öffentliche IP-Präfixe aus benutzerdefinierten IP-Präfixen abgeleitet werden.

  • Das einheitliche Modell ist ein vereinfachtes System, bei dem sowohl das Microsoft Wide Area Network (WAN) als auch die Azure-Region denselben Bereich ankündigen. Standardmäßig kann ein einheitlicher Bereich zwischen /21 und /24 sein.

  • Die Auswahl des Modells hängt vom Umfang des gewünschten Onboardings ab. Wenn Ihr Plan beispielsweise nur das Onboarding eines Bereichs in eine einzelne Azure-Region umfasst, ist das einheitliche Modell die logischere Wahl und vermeidet Verwaltungsaufwand. Wenn Ihre Organisation stattdessen BYOIPv4-Bereiche in mehreren Regionen bereitstellen möchte – potenziell über verschiedene Teams innerhalb der Organisation verteilt und über einen längeren Zeitraum hinweg –, dann kann ein globales/regionales Modell mehr Flexibilität bieten.

Hinweis

Bereiche können nach dem Onboarding nicht zwischen den beiden Modellen „migriert“ werden; deren Bereitstellung muss vollständig aufgehoben werden, und es muss ein erneutes Onboarding durchgeführt werden, um das andere Modell zu nutzen.

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

  • Ein IPv4-Adressbereich im Besitz der Kund*innen, die in Azure bereitgestellt werden sollen.

    • Für dieses Beispiel wird ein Beispielkundenbereich (1.2.3.0/24) verwendet. Dieser Bereich wird in Azure nicht überprüft, daher ersetzen Sie den Beispielbereich durch Ihren.

Hinweis

Hilfe bei Problemen während des Bereitstellungsprozesses finden Sie unter Problembehandlung für benutzerdefinierte IP-Präfixe.

Vor der Bereitstellung auszuführende Schritte

Um das BYOIP-Feature von Azure zu nutzen, müssen Sie folgende Schritte ausführen, bevor Sie Ihren IPv4-Adressbereich bereitstellen.

Anforderungen und Präfixbereitschaft

  • Der Adressbereich muss Ihnen gehören und unter Ihrem Namen mit dem eines der fünf wichtigsten regionalen Internetregister registriert sein:

  • Der Adressbereich darf nicht kleiner als /24 sein, damit er von Internetdienstanbietern akzeptiert wird.

  • Ein ROA-Dokument (Route Origin Authorization), das Microsoft autorisiert, den Adressbereich anzukündigen, muss vom Kunden auf der entsprechenden RIR-Webseite (Routing Internet Registry) oder über deren API ausgefüllt werden. Die RIR erfordert, dass die ROA digital mit der Resource Public Key Infrastructure (RPKI) Ihrer RIR signiert wird.

    Für diese ROA gelten folgende Anforderungen:

    • Der Origin AS muss für die öffentliche Cloud als 8075 aufgeführt werden. (Wenn der Bereich in die US Gov Cloud integriert wird, muss der Origin AS als 8070 aufgeführt werden.)

    • Das Gültigkeitsenddatum (Ablaufdatum) muss den Zeitraum berücksichtigen, für den das Präfix von Microsoft angekündigt werden soll. Einige RIRs bieten keine Auswahl des Gültigkeitsenddatums und/oder wählen das Datum für Sie aus.

    • Die Präfixlänge sollte genau mit den Präfixen übereinstimmen, die von Microsoft angekündigt werden. Wenn Sie beispielsweise 1.2.3.0/24 und 2.3.4.0/23 mit Microsoft verwenden möchten, sollten beide benannt werden.

    • Nachdem die ROA abgeschlossen und übermittelt wurde, müssen Sie mindestens 24 Stunden warten, damit sie Microsoft zur Verfügung steht, wo sie überprüft wird, um ihre Echtheit und Richtigkeit im Rahmen des Bereitstellungsprozesses zu ermitteln.

Hinweis

Es wird auch empfohlen, eine ROA für alle vorhandenen ASN zu erstellen, die den Bereich ankündigt, um Probleme während der Migration zu vermeiden.

Wichtig

Obwohl Microsoft die Werbung für den Bereich nach dem angegebenen Datum nicht einstellt, wird dringend empfohlen, unabhängig davon einen Folge-ROA zu erstellen, wenn das ursprüngliche Ablaufdatum überschritten ist, um zu vermeiden, dass externe Anbieter die Werbung ablehnen.

Zertifikatbereitschaft

Um Microsoft zu autorisieren, ein Präfix einem Kundenabonnement zuzuordnen, muss ein öffentliches Zertifikat mit einer signierten Nachricht verglichen werden.

Mit den folgenden Schritten bereiten Sie die Bereitstellung des Kundenbereichs (im Beispiel 1.2.3.0/24) für die öffentliche Cloud vor. Sie können diese Befehle mit Windows PowerShell oder in einer Linux-Konsole ausführen. Beide erfordern die Installation von OpenSSL.

  1. Ein selbstsigniertes X509-Zertifikat muss erstellt werden, um es dem Whois/RDAP-Datensatz für das Präfix hinzuzufügen. Weitere Informationen zu RDAP finden Sie auf den Websites von ARIN, RIPE, APNIC und AFRINIC.

    Mithilfe des OpenSSL-Toolkits generieren die folgenden Befehle ein RSA-Schlüsselpaar. Außerdem erstellen Sie ein X509-Zertifikat mithilfe des Schlüsselpaars, das in sechs Monaten abläuft.

    ./openssl genrsa -out byoipprivate.key 2048
    Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
    
  2. Nachdem das Zertifikat erstellt wurde, tragen Sie es in den Bereich für öffentliche Kommentare des Whois/RDAP-Datensatzes für das Präfix ein. Verwenden Sie den Befehl cat byoippublickey.cer, um das Zertifikat zum Kopieren anzuzeigen – einschließlich BEGIN-Kopfzeile und END-Fußzeile mit Strichen. Sie sollten diesen Befehl über die IRR (Internet Routing Registry) ausführen können.

    Nachstehend finden Sie Anweisungen für die jeweilige Registrierung:

    • ARIN: Bearbeiten Sie die Kommentare in Comments des Präfixeintrags.

    • RIPE– Bearbeiten der Remarks (Bemerkungen) des inetnum-Eintrags.

    • APNIC– Bearbeiten der Remarks (Bemerkungen) des inetnum-Eintrags mit MyAPNIC.

    • AFRINIC – Bearbeiten der Remarks (Bemerkungen) des inetnum-Eintrags mit MyAFRINIC.

    • Bei Bereichen der Registrierungsstelle LACNIC erstellen Sie ein Supportticket bei Microsoft.

    Nachdem die öffentlichen Kommentare ausgefüllt wurden, sollte der Whois/RDAP-Eintrag wie das folgende Beispiel aussehen. Stellen Sie beim Kopieren sicher, dass keine Leerzeichen vorhanden sind, oder Wagenrückläufe, und schließen Sie alle Gedankenstriche ein:

    Screenshot des Kommentars zum Zertifikatsbeispiel.

  3. Um die Nachricht zu erstellen, die an Microsoft übergeben wird, erstellen Sie eine Zeichenfolge, die relevante Informationen zu Ihrem Präfix und Abonnement enthält. Signieren Sie diese Nachricht mit dem Schlüsselpaar, das zuvor generiert wurde. Verwenden Sie das folgende Format, und ersetzen Sie Ihre Abonnement-ID, das bereitzustellende Präfix sowie das mit dem Gültigkeitsdatum der ROA übereinstimmende Ablaufdatum. Stellen Sie sicher, dass das Format diese Reihenfolge aufweist.

    Verwenden Sie den folgenden Befehl, um eine signierte Nachricht zu erstellen, die zur Überprüfung an Microsoft übermittelt werden soll.

    Hinweis

    Wenn das Gültigkeitsenddatum nicht in die ursprüngliche ROA eingetragen wurde, wählen Sie das Datum aus, zu dem Sie das Präfix von Azure ankündigen lassen möchten.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
    Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
    ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
    $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
    
  4. Um den Inhalt der signierten Nachricht anzuzeigen, geben Sie die Variable ein, die aus der zuvor erstellten signierten Nachricht erstellt wurde, und wählen Sie in der Eingabeaufforderung die EINGABETASTE aus:

    $byoipauthsigned
    
    # Output
    ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==
    

Bereitstellen und Kommissionieren eines benutzerdefinierten IPv4-Adresspräfixes

In den folgenden Schritten wird das Verfahren für die Bereitstellung und Kommissionierung eines benutzerdefinierten IPv4-Adresspräfixes mit einer Auswahl von zwei Modellen angezeigt: Einheitlich und Global/Regional. Die Schritte können über das Azure-Portal, mit der Azure CLI oder mit Azure PowerShell ausgeführt werden.

Verwenden Sie das Azure-Portal, um ein benutzerdefiniertes IPv4-Adresspräfix bereitzustellen und zu kommissionieren.

Mit den folgenden Schritte stellen Sie den Kunden-IP-Adressbereich (im Beispiel 1.2.3.0/24) in der Region „USA, Westen 2“ bereit.

Hinweis

Die Schritte zum Bereinigungen und Löschen werden auf dieser Seite aufgrund der Art der Ressource nicht beschrieben. Informationen zum Entfernen eines bereitgestellten benutzerdefinierten IP-Präfixes finden Sie unter Verwalten des benutzerdefinierten IP-Präfixes.

Anmelden bei Azure

Melden Sie sich beim Azure-Portal an.

Erstellen und Bereitstellen eines einheitlichen, benutzerdefinierten IP-Adresspräfixes

  1. Geben Sie am oberen Rand des Portals den Suchbegriff benutzerdefinierte IP-Adresse in das Suchfeld ein.

  2. Wählen Sie in den Suchergebnissen Benutzerdefinierte IP-Präfixe aus.

  3. Wählen Sie + Erstellen aus.

  4. Geben Sie unter Benutzerdefinierten IP-Präfix erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie Neu erstellen.
    Geben Sie myResourceGroup ein.
    Wählen Sie OK aus.
    Instanzendetails
    Name Geben Sie myCustomIPPrefix ein.
    Region Wählen Sie USA, Westen 2 aus.
    IP-Version Wählen Sie IPv4 aus.
    IPv4-Prefix (CIDR) Geben Sie 1.2.3.0/24 ein.
    Das Ablaufdatum der ROA Geben Sie ihr ROA-Ablaufdatum im Format jjjjmmtt ein.
    Signierte Nachricht Fügen Sie die Ausgabe von $byoipauthsigned aus dem Abschnitt vor der Bereitstellung ein.
    Verfügbarkeitszonen Wählen Sie Zonenredundant aus.

    Der Screenshot der Seite Benutzerdefiniertes IP-Präfix erstellen im Azure-Portal.

  5. Wählen Sie die Registerkarte Überprüfen + erstellen oder unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus.

  6. Wählen Sie Erstellen aus.

Der Bereich wird an die Azure-IP-Bereitstellungspipeline gepusht. Der Bereitstellungsprozess ist asynchron. Sie können den Status überprüfen, indem Sie das Feld Kommissionierungsstatus für das benutzerdefinierte IP-Präfix überprüfen.

Hinweis

Der Bereitstellungsvorgang dauert etwa 30 Minuten.

Wichtig

Nachdem sich das benutzerdefinierte IP-Präfix im Zustand „Bereitgestellt“ befindet, kann ein untergeordnetes Präfix für öffentliche IP-Adressen erstellt werden. Diese öffentlichen IP-Präfixe und alle öffentlichen IP-Adressen können Netzwerkressourcen zugewiesen werden. z. B. VM-Netzwerkschnittstellen oder Front-Ends für den Lastenausgleich. Die IP-Adressen werden nicht angekündigt und sind daher nicht erreichbar. Informationen zur Migration eines aktiven Präfixes finden Sie unter Verwalten eines benutzerdefinierten IP-Präfixes.

Erstellen eines öffentlichen IP-Adresspräfixes aus einem einheitlichen, benutzerdefinierten IP-Adresspräfix

Sobald Sie ein Präfix erstellt haben, müssen Sie statische IP-Adressen aus dem Präfix erstellen. In diesem Abschnitt erstellen Sie eine statische IP-Adresse aus dem Präfix, das Sie zuvor erstellt haben.

  1. Geben Sie am oberen Rand des Portals den Suchbegriff benutzerdefinierte IP-Adresse in das Suchfeld ein.

  2. Wählen Sie in den Suchergebnissen Benutzerdefinierte IP-Präfixe aus.

  3. Wählen Sie myCustomIPPrefix unter Benutzerdefinierte IP-Präfixe aus.

  4. Wählen Sie unter Übersicht über myCustomIPPrefix die Option + Präfix für öffentliche IP-Adressen hinzufügen aus.

  5. Geben Sie auf der Registerkarte Grundlagen unter Präfix für öffentliche IP-Adressen erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie myResourceGroup aus.
    Instanzendetails
    Name Geben Sie myPublicIPprefix ein.
    Region Wählen Sie USA, Westen 2 aus. Die Region des Präfixes für öffentliche IP-Adressen muss mit der Region des benutzerdefinierten IP-Präfixes übereinstimmen.
    IP-Version Wählen Sie IPv4 aus.
    Präfixbesitz Wählen Sie Benutzerdefiniertes Präfix aus.
    Benutzerdefiniertes IP-Präfix Wählen Sie myCustomIPPrefix aus.
    Präfixgröße Geben Sie die Präfixgröße ein. Diese darf so groß wie das benutzerdefinierte IP-Präfix sein.
  6. Wählen Sie Überprüfen und erstellen und dann auf der folgenden Seite Erstellen aus.

  7. Wiederholen Sie die Schritte 1 bis 3, um zur Seite Übersicht für myCustomIPPrefix zurückzukehren. Wie Sie sehen, wird myPublicIPPrefix im Abschnitt Zugeordnete Präfixe für öffentliche IP-Adressen aufgeführt. Sie können jetzt öffentliche IP-Adressen für Standard-SKUs aus diesem Präfix zuweisen. Siehe dazu Erstellen einer statischen öffentlichen IP-Adresse aus einem Präfix.

Kommissionieren des einheitlichen, benutzerdefinierten IP-Adresspräfixes

Wenn sich das benutzerdefinierte IP-Präfix im Zustand Bereitgestellt befindet, aktualisieren Sie das Präfix, um mit der Ankündigung des Bereichs aus Azure zu beginnen.

  1. Geben Sie im Suchfeld oben im Portal Benutzerdefinierte IP-Adresse ein, und wählen Sie Benutzerdefinierte IP-Präfixe aus.

  2. Überprüfen Sie, ob myCustomIPPrefix im Zustand Bereitgestellt aufgeführt wird, und warten Sie, falls erforderlich, bis dies der Fall ist.

  3. Wählen Sie myCustomIPPrefix unter Benutzerdefinierte IP-Präfixe aus.

  4. Wählen Sie unter Übersicht von myCustomIPPrefix das Dropdownmenü Kommission und dann Global aus.

Der Vorgang ist asynchron. Sie können den Status überprüfen, indem Sie das Feld Kommissionierungsstatus für das benutzerdefinierte IP-Präfix überprüfen. Anfangs wird der Status des Präfix als Kommissionieren und dann als Kommissioniert angezeigt. Der Ankündigungsrollout wird nicht auf einmal abgeschlossen. Der Bereich wird teilweise angekündigt, während der Status noch Kommissionierung wird ausgeführt lautet.

Hinweis

Die geschätzte Zeit, um den Inbetriebnahmeprozess vollständig abzuschließen, beträgt 3-4 Stunden.

Wichtig

Sobald das benutzerdefinierte IP-Präfix zum Zustand Kommissioniert übergeht, wird der Bereich von Microsoft aus der lokalen Azure-Region und global für das Internet durch das WAN von Microsoft unter der Autonomous System Number (ASN) 8075 angekündigt. Denselben Bereich im Internet von einem anderen Standort als Microsoft aus gleichzeitig anzukündigen könnte instabiles BGP-Routing-Instabilität oder verlorenen Traffic zur Folge haben. Etwa von einem Kundenstandort aus. Planen Sie eine Migration eines aktiven Bereichs während eines Wartungszeitraums, um Beeinträchtigungen zu vermeiden. Um diese Probleme während der ersten Bereitstellung zu vermeiden, können Sie die Option „Nur regionale Kommissionierung“ auswählen, bei der Ihr benutzerdefiniertes IP-Präfix nur in der Azure-Region angekündigt wird, in der es bereitgestellt wird. Weitere Informationen finden Sie unter Verwalten eines benutzerdefinierten IP-Adresspräfixes (BYOIP).

Nächste Schritte