Erstellen eines benutzerdefinierten IP-Adresspräfixes mithilfe des Azure-Portals

Mit einem benutzerdefinierten IP-Adresspräfix können Sie Ihre eigenen IP-Bereiche auf Microsoft-Ressourcen verwenden und Ihrem Azure-Abonnement zuordnen. Der Bereich gehört dann weiterhin Ihnen, obwohl Microsoft ihn im Internet ankündigen darf. Ein benutzerdefiniertes IP-Adresspräfix fungiert als regionale Ressource, die einen zusammenhängenden Block kundeneigener IP-Adressen darstellt.

Dieser Artikel bietet ausführliche Anleitungen für folgende Aufgaben:

  • Vorbereiten eines Bereichs für die Bereitstellung

  • Bereitstellen des Bereichs für die IP-Zuweisung

  • Aktivieren des Bereichs für die Ankündigung durch Microsoft

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.

  • Ein IP-Adressbereich im Besitz des Kunden, der in Azure bereitgestellt werden soll.

    • Für dieses Beispiel wird ein Beispielkundenbereich (1.2.3.0/24) verwendet. Dieser Bereich wird von Azure nicht validiert. Ersetzen Sie den Beispielbereich durch Ihren eigenen.

Hinweis

Hilfe bei Problemen während des Bereitstellungsprozesses finden Sie unter Problembehandlung für benutzerdefinierte IP-Präfixe.

Vor der Bereitstellung auszuführende Schritte

Um das BYOIP-Feature von Azure zu nutzen, müssen Sie vor der Bereitstellung Ihres IP-Adressbereichs folgende Schritte ausführen.

Anforderungen und Präfixbereitschaft

  • Der Adressbereich muss Ihnen gehören und unter Ihrem Namen bei der American Registry for Internet Numbers (ARIN), dem Réseaux IP Européens Network Coordination Centre (RIPE NCC) oder dem Asia Pacific Network Information Center Regional Internet Registries (APNIC) registriert sein. Wenn der Bereich beim Latin America and Caribbean Network Information Centre (LACNIC) oder dem African Network Information Centre (AFRINIC) registriert ist, wenden Sie sich an das Microsoft Azure BYOIP-Team.

  • Der Adressbereich darf nicht kleiner als ein /24 sein, damit er von Internetdienstanbietern akzeptiert wird.

  • Ein ROA-Dokument (Route Origin Authorization), das Microsoft autorisiert, den Adressbereich anzukündigen, muss vom Kunden auf der Webseite der entsprechenden Routing Internet Registry (RIR) oder über deren API ausgefüllt werden. Die RIR erfordert, dass die ROA digital mit der Resource Public Key Infrastructure (RPKI) Ihrer RIR signiert wird.

    Für diese ROA gelten folgende Anforderungen:

    • Die Origin AS muss als 8075 aufgeführt werden.

    • Das Gültigkeitsenddatum (Ablaufdatum) muss den Zeitraum berücksichtigen, für den das Präfix von Microsoft angekündigt werden soll. Einige RIRs bieten keine Auswahl des Gültigkeitsenddatums und/oder wählen das Datum für Sie aus.

    • Die Präfixlänge sollte genau mit den Präfixen übereinstimmen, die von Microsoft angekündigt werden können. Wenn Sie beispielsweise 1.2.3.0/24 und 2.3.4.0/23 mit Microsoft verwenden möchten, sollten beide benannt werden.

    • Nachdem die ROA abgeschlossen und übermittelt wurde, müssen Sie mindestens 24 Stunden warten, damit sie Microsoft zur Verfügung steht, wo sie überprüft wird, um ihre Echtheit und Richtigkeit im Rahmen des Bereitstellungsprozesses zu ermitteln.

Hinweis

Es wird auch empfohlen, eine ROA für alle vorhandenen ASN zu erstellen, die den Bereich ankündigt, um Probleme während der Migration zu vermeiden.

Zertifikatbereitschaft

Um Microsoft zu autorisieren, ein Präfix einem Kundenabonnement zuzuordnen, muss ein öffentliches Zertifikat mit einer signierten Nachricht verglichen werden.

Mit den folgenden Schritten bereiten Sie die Bereitstellung des Kunden-IP-Bereichs (im Beispiel 1.2.3.0/24) vor.

Hinweis

Führen Sie die folgenden Befehle in PowerShell aus. OpenSSL muss installiert sein.

  1. Ein selbstsigniertes X509-Zertifikat muss erstellt werden, um es dem Whois/RDAP-Datensatz für das Präfix hinzuzufügen. Informationen zu RDAP finden Sie auf den Websites von ARIN, RIPE und APNIC.

    Unten sehen Sie ein Beispiel, in dem das OpenSSL-Toolkit verwendet wird. Die folgenden Befehle generieren ein RSA-Schlüsselpaar und erstellen ein X509-Zertifikat mit dem Schlüsselpaar, das in sechs Monaten abläuft:

    ./openssl genrsa -out byoipprivate.key 2048
    Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
    
  2. Nachdem das Zertifikat erstellt wurde, tragen Sie es in den Bereich für öffentliche Kommentare des Whois/RDAP-Datensatzes für das Präfix ein. Verwenden Sie den Befehl cat byoippublickey.cer, um das Zertifikat zum Kopieren anzuzeigen – einschließlich BEGIN-Kopfzeile und END-Fußzeile mit Strichen. Sie sollten diesen Befehl über die IRR (Internet Routing Registry) ausführen können.

    Nachstehend finden Sie Anleitungen für die jeweiligen Registrierungsstellen:

    • ARIN: Bearbeiten Sie die „Comments“ (Kommentare) des Präfixeintrags

    • RIPE: Bearbeiten Sie die „Remarks“ (Bemerkungen) des inetnum-Eintrags

    • APNIC: Bearbeiten Sie die „Remarks“ (Bemerkungen) des inetnum-Eintrags mit MyAPNIC.

    • Bei Bereichen der Registrierungsstellen LACNIC oder AFRINIC wenden Sie sich an den Microsoft-Support.

    Nachdem die öffentlichen Kommentare ausgefüllt wurden, sollte der Whois/RDAP-Datensatz wie das folgende Beispiel aussehen. Stellen Sie sicher, dass keine Leerzeichen oder Zeilenumbrüche enthalten sind. Schließen Sie alle Striche ein:

    Screenshot des Kommentars zum Zertifikatsbeispiel

  3. Um die Nachricht zu erstellen, die an Microsoft übergeben wird, erstellen Sie eine Zeichenfolge, die relevante Informationen zu Ihrem Präfix und Abonnement enthält. Signieren Sie diese Nachricht mit dem Schlüsselpaar, das in den Schritten oben generiert wurde. Verwenden Sie das unten dargestellte Format mit Ihrer eignen Abonnement-ID, Ihrem eigenen bereitzustellenden Präfix sowie dem mit der ROA übereinstimmenden Gültigkeitsdatum. Stellen Sie sicher, dass das Format diese Reihenfolge aufweist.

    Verwenden Sie den folgenden Befehl, um eine signierte Nachricht zu erstellen, die zur Überprüfung an Microsoft übermittelt wird.

    Hinweis

    Wenn das Gültigkeitsenddatum nicht in die ursprüngliche ROA eingetragen wurde, wählen Sie das Datum aus, zu dem Sie das Präfix von Azure ankündigen lassen möchten.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
    Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
    ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
    $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
    
  4. Um den Inhalt der signierten Nachricht anzuzeigen, geben Sie die Variable ein, die aus der zuvor erstellten signierten Nachricht erstellt wurde, und drücken Sie an der PowerShell-Eingabeaufforderung die EINGABETASTE:

    $byoipauthsigned
    dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
    

Bereitstellungsschritte

Mit den folgenden Schritte stellen Sie den Kunden-IP-Adressbereich (im Beispiel 1.2.3.0/24) in der Region „USA, Westen 2“ bereit.

Hinweis

Die Schritte zum Bereinigungen und Löschen werden auf dieser Seite aufgrund der Art der Ressource nicht beschrieben. Informationen zum Entfernen eines bereitgestellten benutzerdefinierten IP-Präfixes finden Sie unter Verwalten des benutzerdefinierten IP-Präfixes.

Anmelden bei Azure

Melden Sie sich beim Azure-Portal an.

Erstellen und Bereitstellen eines benutzerdefinierten IP-Adresspräfixes

  1. Geben Sie am oberen Rand des Portals den Suchbegriff benutzerdefinierte IP-Adresse in das Suchfeld ein.

  2. Wählen Sie in den Suchergebnissen Benutzerdefinierte IP-Präfixe aus.

  3. Wählen Sie + Erstellen aus.

  4. Geben Sie auf der Registerkarte Grundlagen unter Benutzerdefinierten IP-Präfix erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie Neu erstellen.
    Geben Sie myResourceGroup ein.
    Wählen Sie OK aus.
    Instanzendetails
    Name Geben Sie myCustomIPPrefix ein.
    Region Wählen Sie USA, Westen 2 aus.
    Verfügbarkeitszonen Wählen Sie Zonenredundant aus.
    IPv4-Prefix (CIDR) Geben Sie 1.2.3.0/24 ein.
    Das Ablaufdatum der ROA Geben Sie ihr ROA-Ablaufdatum im Format jjjjmmtt ein.
    Signierte Nachricht Fügen Sie die Ausgabe von $byoipauthsigned aus dem vorherigen Abschnitt ein.

    Der Screenshot der Seite Benutzerdefiniertes IP-Präfix erstellen im Azure-Portal.

  5. Wählen Sie die Registerkarte Überprüfen + erstellen oder unten auf der Seite die blaue Schaltfläche Überprüfen + erstellen aus.

  6. Klicken Sie auf Erstellen.

Der Bereich wird an die Azure IP-Bereitstellungspipeline übermittelt. Der Bereitstellungsprozess ist asynchron. Sie können den Status überprüfen, indem Sie das Feld Kommissionierungsstatus für das benutzerdefinierte IP-Präfix überprüfen.

Hinweis

Der Bereitstellungsvorgang dauert etwa 30 Minuten.

Wichtig

Nachdem sich das benutzerdefinierte IP-Präfix im Zustand „Bereitgestellt“ befindet, kann ein untergeordnetes Präfix für öffentliche IP-Adressen erstellt werden. Diese öffentlichen IP-Präfixe und alle öffentlichen IP-Adressen können Netzwerkressourcen zugewiesen werden. z. B. VM-Netzwerkschnittstellen oder Front-Ends für den Lastenausgleich. Die IP-Adressen werden nicht angekündigt und sind daher nicht erreichbar. Informationen zur Migration eines aktiven Präfixes finden Sie unter Verwalten eines benutzerdefinierten IP-Präfixes.

Erstellen eines Präfixes für öffentliche IP-Adressen aus einem benutzerdefinierten IP-Präfix

Sobald Sie ein Präfix erstellt haben, müssen Sie statische IP-Adressen aus dem Präfix erstellen. In diesem Abschnitt erstellen Sie eine statische IP-Adresse aus dem Präfix, das Sie zuvor erstellt haben.

  1. Geben Sie am oberen Rand des Portals den Suchbegriff benutzerdefinierte IP-Adresse in das Suchfeld ein.

  2. Wählen Sie in den Suchergebnissen Benutzerdefinierte IP-Präfixe aus.

  3. Wählen Sie myCustomIPPrefix unter Benutzerdefinierte IP-Präfixe aus.

  4. Wählen Sie unter Übersicht über myCustomIPPrefix die Option + Präfix für öffentliche IP-Adressen hinzufügen aus.

  5. Geben Sie auf der Registerkarte Grundlagen unter Präfix für öffentliche IP-Adressen erstellen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Projektdetails
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie myResourceGroup aus.
    Instanzendetails
    Name Geben Sie myPublicIPprefix ein.
    Region Wählen Sie USA, Westen 2 aus. Die Region des Präfixes für öffentliche IP-Adressen muss mit der Region des benutzerdefinierten IP-Präfixes übereinstimmen.
    IP-Version Wählen Sie IPv4 aus.
    Präfixbesitz Wählen Sie Benutzerdefiniertes Präfix aus.
    Benutzerdefiniertes IP-Präfix Wählen Sie myCustomIPPrefix aus.
    Präfixgröße Geben Sie die Präfixgröße ein. Diese darf so groß wie das benutzerdefinierte IP-Präfix sein.
  6. Wählen Sie Überprüfen und erstellen und dann auf der folgenden Seite Erstellen aus.

  7. Wiederholen Sie die Schritte 1 bis 5, um zur Seite Übersicht für myCustomIPPrefix zurückzukehren. MyPublicIPPrefix wird im Abschnitt Zugeordnete Präfixe für öffentliche IP-Adressen aufgeführt. Sie können jetzt öffentliche IP-Adressen für Standard-SKUs aus diesem Präfix zuweisen. Siehe dazu Erstellen einer statischen öffentlichen IP-Adresse aus einem Präfix.

Kommissionieren des benutzerdefinierten IP-Adresspräfixes

Wenn sich das benutzerdefinierte IP-Präfix im Zustand Bereitgestellt befindet, aktualisieren Sie das Präfix, um mit der Ankündigung des Bereichs aus Azure zu beginnen.

  1. Geben Sie am oberen Rand des Portals den Suchbegriff benutzerdefinierte IP-Adresse in das Suchfeld ein.

  2. Wählen Sie in den Suchergebnissen Benutzerdefinierte IP-Präfixe aus.

  3. Wählen Sie myCustomIPPrefix unter Benutzerdefinierte IP-Präfixe aus.

  4. Wählen Sie in der Übersicht von myCustomIPPrefix die Option Kommissionieren aus.

Der Vorgang ist asynchron. Sie können den Status überprüfen, indem Sie das Feld Kommissionierungsstatus für das benutzerdefinierte IP-Präfix überprüfen. Der Status des Präfix wird zunächst als Kommissionieren und dann als Kommissioniert angezeigt. Der Rollout der Ankündigung erfolgt inkrementell, und der Bereich wird teilweise angekündigt, während der Status noch Kommissionieren lautet.

Hinweis

Die geschätzte Zeit, um den Inbetriebnahmeprozess vollständig abzuschließen, beträgt 3-4 Stunden.

Wichtig

Sobald das benutzerdefinierte IP-Präfix zum Zustand Kommissioniert übergeht, wird der Bereich von Microsoft aus der lokalen Azure-Region und global für das Internet durch das WAN von Microsoft unter der Autonomous System Number (ASN) 8075 angekündigt. Denselben Bereich im Internet von einem anderen Standort als Microsoft aus gleichzeitig anzukündigen könnte instabiles BGP-Routing-Instabilität oder verlorenen Traffic zur Folge haben. Etwa von einem Kundenstandort aus. Planen Sie eine Migration eines aktiven Bereichs während eines Wartungszeitraums, um Beeinträchtigungen zu vermeiden.

Nächste Schritte