Creación de un prefijo de dirección IPv4 personalizado mediante la CLI de Azure

Un prefijo de dirección IPv4 personalizado le permitirá traer sus propios intervalos IPv4 a Microsoft y asociarlos con su suscripción de Azure. Aunque el intervalo seguirá siendo de su propiedad, Microsoft tendrá permiso para anunciarlo en Internet. Un prefijo de dirección IP personalizada funciona como un recurso regional que representa un bloque contiguo de direcciones IP propiedad del cliente.

En este artículo se detallan los pasos a seguir para realizar las siguientes acciones:

• Preparación de un intervalo que se va a aprovisionar.

• Aprovisionamiento del intervalo para la asignación de IP.

• Habilitación de los permisos para que Microsoft pueda anunciar el intervalo.

Si no tiene una suscripción a Azure, cree una cuenta gratuita de Azure antes de empezar.

Requisitos previos

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Inicio rápido para Bash en Azure Cloud Shell.

  

• Si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure. Si utiliza Windows o macOS, considere la posibilidad de ejecutar la CLI de Azure en un contenedor Docker. Para más información, vea Ejecución de la CLI de Azure en un contenedor de Docker.

  • Si usa una instalación local, inicie sesión en la CLI de Azure mediante el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Inicio de sesión con la CLI de Azure.

  • En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para más información sobre las extensiones, consulte Uso de extensiones con la CLI de Azure.

  • Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
• Este tutorial requiere la versión 2.28 o versiones superiores de la CLI de Azure (para determinar cuál tiene, puede ejecutar el comando "az version"). Si usa Azure Cloud Shell, ya está instalada la versión más reciente.
• Inicie sesión en la CLI de Azure y utilice el comando az account para asegurarse de que ha seleccionado la suscripción con la que quiere usar esta característica.
• Obtenga un intervalo IPv4 propiedad del cliente para aprovisionarlo en Azure.
  • En este ejemplo, se usará el intervalo de cliente de ejemplo (1.2.3.0/24). Azure no validará este intervalo en un caso real. Reemplace el intervalo de ejemplo por el suyo.

Nota

Para solucionar los problemas que se detecten durante el proceso de aprovisionamiento, consulte la siguiente sección en el artículo Solución de problemas con los prefijos de IP personalizada.

Pasos previos al aprovisionamiento

Para usar la característica BYOIP de Azure, deberá realizar los siguientes pasos antes del aprovisionamiento del intervalo de direcciones IPv4.

Requisitos y preparación del prefijo

• El intervalo de direcciones debe ser de su propiedad y registrado bajo su nombre con uno de los cinco registros principales de Internet regional:

  • Registro americano para números de Internet (ARIN)
  • Centro de Coordinación de Redes IP Europeas (RIPE NCC)
  • Registros regionales de Internet del Centro de Información de Red de Asia Pacífico (APNIC)
  • Centro de información de red de América Latina y el Caribe (LACNIC)
  • Centro de información de red de África (AFRINIC)

• El intervalo de direcciones no debe ser menor que /24 para que lo acepten los proveedores de servicios de Internet.

• El cliente debe rellenar un documento de autorización de origen de ruta (ROA) que autorice a Microsoft a anunciar el intervalo de direcciones en el sitio web del registro de Internet de enrutamiento (RIR) adecuado o mediante su API. El RIR requerirá que la ROA se firme digitalmente con la infraestructura de clave pública de recursos (RPKI) de la instancia de RIR.

  Para este documento ROA:

  • Origin AS debe aparecer como 8075 para la nube pública. (Si el intervalo se va a incorporar a la nube de US Gov, Origin AS debe aparecer como 8070).

  • La fecha de finalización de la validez (fecha de expiración) deberá tener en cuenta el tiempo durante el que tiene previsto que Microsoft anuncie el prefijo. Algunos RIR no presentan la fecha de finalización de la validez como una opción o eligen la fecha por usted.

  • La longitud del prefijo deberá coincidir exactamente con los prefijos que Microsoft pueda anunciar. Por ejemplo, si planea traer 1.2.3.0/24 y 2.3.4.0/23 a Microsoft, será necesario asignarles un nombre.

  • Una vez completada y enviada la ROA, espere a que transcurran al menos 24 horas para que esté disponible para Microsoft, donde se comprobará su autenticidad y corrección como parte del proceso de aprovisionamiento.

Nota

También se recomienda crear una ROA para cualquier ASN existente que esté anunciando el intervalo a fin de evitar problemas durante la migración.

Importante

Microsoft no dejará de anunciar el rango después de la fecha especificada. Sin embargo, para evitar que los operadores externos no acepten el anuncio, se recomienda encarecidamente crear de forma independiente una ROA de seguimiento si la fecha de expiración original ha pasado.

Preparación del certificado

Para autorizar que Microsoft asocie un prefijo con una suscripción de cliente, deberá comparar un certificado público con un mensaje firmado.

A continuación, se muestran los pasos necesarios para preparar el intervalo de cliente de ejemplo (1.2.3.0/24) para el aprovisionamiento a la nube pública.

Nota

Ejecute los siguientes comandos en PowerShell con OpenSSL instalado.

1. Deberá crear un certificado X509 autofirmado y agregarlo al registro Whois o RDAP del prefijo. Para obtener información sobre RDAP, consulte los sitios de ARIN, RIPE, APNIC y AFRINIC.

   A continuación, se muestra un ejemplo que usa el kit de herramientas de OpenSSL. Los siguientes comandos generan un par de claves RSA y, a partir de ellas, crean un certificado X509 que expira en seis meses:

   ./openssl genrsa -out byoipprivate.key 2048
   Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
   

2. Cuando haya creado el certificado, actualice la sección de comentarios públicos del registro Whois o RDAP del prefijo. A fin de obtener una visualización para su copia, incluido el encabezado o pie de página BEGIN o END con guiones, use el comando cat byoippublickey.cer. Este proceso debería ser posible mediante el Registro de enrutamiento de Internet.

   A continuación, se proporcionan instrucciones para cada registro:

   • ARIN: edite el campo "Comments" (Comentarios) del registro del prefijo.

   • RIPE: edite el campo "Remarks" (Comentarios) del registro del objeto inetnum.

   • APNIC: edite los "Comentarios" del registro inetnum mediante MyAPNIC.

   • AFRINIC: edite los "Comentarios" del registro de inetnum mediante MyAFRINIC.

   • En el caso de los intervalos del registro de LACNIC, cree una incidencia de soporte técnico de Microsoft.

   Cuando se hayan rellenado los comentarios públicos, el registro Whois o RDAP debe parecerse al siguiente ejemplo. Asegúrese de que no haya espacios ni retornos de carro. Incluya todos los guiones:

   

3. Para crear el mensaje que se enviará a Microsoft, cree una cadena que contenga información pertinente sobre el prefijo y la suscripción. Firme este mensaje con el par de claves generado en los pasos anteriores. Use el formato que se muestra a continuación y sustituya el id. de suscripción, el prefijo que se va a aprovisionar y la fecha de expiración correspondiente a la fecha de validez del documento ROA. Asegúrese de que el formato siga ese orden.

   Use el siguiente comando para crear un mensaje firmado que se enviará a Microsoft para su comprobación.

   Nota

   Si no se incluyó la fecha de finalización de la validez en el documento ROA original, elija una fecha que se corresponda con el tiempo durante el que pretende que Azure anuncie el prefijo. Tenga en cuenta también que Microsoft no dejará de anunciar el rango después de la fecha especificada, pero se recomienda crear de forma independiente una ROA de seguimiento si la fecha de expiración original ha pasado.

   $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
   Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
   ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
   $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
   

4. Para ver el contenido del mensaje firmado, introduzca la variable creada a partir de este y seleccione Entrar en el símbolo del sistema de PowerShell:

   $byoipauthsigned
   dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
   

Pasos de aprovisionamiento

En los pasos siguientes se muestra el procedimiento para aprovisionar un intervalo de cliente de ejemplo (1.2.3.0/24) en la región Oeste de EE. UU. 2.

Nota

Los pasos de limpieza o eliminación no se muestran en esta página debido a la naturaleza del recurso. Para obtener información sobre cómo quitar un prefijo aprovisionado de IP personalizada, consulte el artículo Administración de prefijos de IP personalizada.

Creación de un grupo de recursos y especificación del prefijo y los mensajes de autorización

Cree un grupo de recursos en la ubicación deseada para aprovisionar el intervalo BYOIP.

  az group create \
    --name myResourceGroup \
    --location westus2

Aprovisionamiento de un prefijo de dirección IP personalizada

El siguiente comando creará un prefijo de IP personalizada en la región y el grupo de recursos especificados. Especifique el prefijo exacto mediante una cadena en la notación CIDR para asegurarse de que no haya errores de sintaxis. En el parámetro --authorization-message, utilice la variable $byoipauth. Esta contiene el identificador de suscripción, el prefijo que se va a aprovisionar y la fecha de expiración correspondiente a la fecha de validez del documento ROA. Asegúrese de que el formato siga ese orden. Use la variable $byoipauthsigned en el parámetro --signed-message creado en la sección de preparación del certificado.

  byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
  
  az network custom-ip prefix create \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --location westus2 \
    --cidr ‘1.2.3.0/24’ \
    --zone 1 2 3
    --authorization-message $byoipauth \
    --signed-message $byoipauthsigned

El intervalo se insertará en la canalización de implementación de IP de Azure. El proceso de implementación es asincrónico. Para determinar el estado del proceso, ejecute el siguiente comando:

 az network custom-ip prefix show \
   --name myCustomIpPrefix \
   --resource-group myResourceGroup

A continuación, se muestra una salida de ejemplo con algunos campos eliminados para mayor claridad:

{
  "cidr": "1.2.3.0/24",
  "commissionedState": "Provisioning",
  "id": "/subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/myCustomIpPrefix",
  "location": "westus2",
  "name": myCustomIpPrefix,
  "resourceGroup": "myResourceGroup",
}

Inicialmente, el campo CommissionedState deberá mostrar el intervalo como Aprovisionándose, mientras que en el futuro deberá mostrarlo como Aprovisionado.

Nota

El tiempo estimado para completar el proceso de aprovisionamiento es de 30 minutos.

Importante

Una vez que el prefijo de IP personalizada se encuentre en un estado Aprovisionado, podrá crear un prefijo de IP pública secundario. Tanto estos prefijos de IP pública como cualquier dirección IP pública pueden asociarse con los recursos de red. Por ejemplo, con interfaces de red de máquinas virtuales o con front-ends de equilibradores de carga. Estas direcciones IP no se anunciarán y, por tanto, no serán accesibles. Para obtener más información sobre la migración de un prefijo activo, consulte el artículo Administración de prefijos de IP personalizada.

Puesta en marcha de un prefijo de dirección IP personalizada

Cuando el prefijo de IP personalizada se encuentre en estado Aprovisionado, el siguiente comando le permitirá actualizar el prefijo para que comience el proceso de anuncio del intervalo desde Azure.

az network custom-ip prefix update \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --state commission 

Como antes, la operación es asincrónica. Use el comando az network custom-ip prefix show para recuperar el estado del prefijo. Inicialmente, el campo CommissionedState deberá mostrar el intervalo como Puesta en marcha, mientras que en el futuro deberá mostrarlo como En marcha. El lanzamiento de anuncios no es binario, así que el intervalo se anunciará parcialmente mientras se encuentre en estado Puesta en marcha.

Nota

El tiempo estimado para completar el proceso de puesta en marcha es de 3 a 4 horas.

Importante

A medida que el prefijo de IP personalizada pase a un estado En marcha, Microsoft anunciará el intervalo desde la región local de Azure y la red de área extensa de Microsoft en el número de sistema autónomo (ASN) 8075 lo anunciará globalmente en Internet. El anuncio simultáneo del mismo intervalo en Internet desde otra ubicación que no sea Microsoft podría crear, potencialmente, inestabilidad de enrutamiento BGP o pérdidas de tráfico. Por ejemplo, un edificio local del cliente. Para evitar el impacto de cualquier migración de un intervalo activo, puede planificarla durante un período de mantenimiento. Además, puede aprovechar la característica de comisión regional para colocar un prefijo IP personalizado en un estado en el que solo se anuncia dentro de la región de Azure en la que se implementa. Consulte Administración de un prefijo de dirección IP personalizado (BYOIP) para obtener más información.

Pasos siguientes

• Para obtener más información sobre los escenarios y las ventajas de usar un prefijo de IP personalizada, consulte el artículo Prefijos de dirección IP personalizada (BYOIP).

• Para obtener más información sobre cómo administrar un prefijo de IP personalizada, consulte el artículo Administración de prefijos de IP personalizada (BYOIP).

• Para crear un prefijo de dirección IP personalizada mediante la CLI de Azure, consulte el artículo Creación de un prefijo de dirección IP personalizada mediante la CLI de Azure.

• Para crear un prefijo de dirección IP personalizada mediante Azure Portal, consulte el artículo Creación de un prefijo de dirección IP personalizada mediante Azure Portal.