Partager via

Créer et gérer des préfixes d’IP

  • Article

Cet article détaille les principales opérations de gestion des préfixes d’IP et les règles associées dans Azure Operator Nexus.

Opérations relatives aux préfixes d’IP

Créer un préfixe d’IP

Pour créer une ressource de préfixe d’IP, procédez comme suit :

  1. Spécifiez les propriétés et les règles de la ressource de préfixe d’IP. Vous pouvez vous référer à la commande azcli suivante : 

    az networkfabric ipprefix create--resource-group myResourceGroup \
  --name myIpPrefix \
  --location eastus \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20

    Les propriétés et les règles de la ressource de préfixe d’IP sont les suivantes :

    • resource-group : nom du groupe de ressources Azure où vous souhaitez créer la ressource de préfixe d’IP. 

    • name : nom de la ressource de préfixe d’IP. 

    • location : région Azure dans laquelle vous souhaitez créer la ressource de préfixe d’IP. 

    • ip-prefix-rules : liste de règles qui définissent les critères de correspondance et l’action pour la ressource de préfixe d’IP. Chaque règle présente les propriétés suivantes :

      • action : action à exécuter quand la condition est remplie. Il peut être Permit ou Deny. Permit signifie autoriser l’itinéraire et Deny signifie rejeter l’itinéraire. 

      • condition : condition permettant de comparer le préfixe réseau de l’itinéraire avec le préfixe réseau de la règle. Ce peut être l’une des valeurs suivantes :

        • EqualTo : la condition a la valeur « true » lorsque le préfixe réseau de l’itinéraire est égal au préfixe réseau de la règle. 

        • NotEqualTo : la condition a la valeur « true » lorsque le préfixe réseau de l’itinéraire n’est pas égal au préfixe réseau de la règle. 

        • GreaterThanOrEqualTo : la condition a la valeur « true » lorsque le préfixe réseau de l’itinéraire est supérieur ou égal au préfixe réseau de la règle.

      • networkPrefix : segment réseau à faire correspondre. Il s’agit d’une adresse IP et d’une longueur de préfixe, comme 10.10.10.0/28 ou 2001:db8::/64. Pour IPv4, la longueur du préfixe doit être comprise entre 1 et 32. Pour IPv6, la longueur du préfixe doit être comprise entre 1 et 128.

      • sequenceNumber : ordre d’évaluation de la règle, de la valeur la plus basse à la valeur la plus élevée. La règle portant le numéro de séquence le plus bas est évaluée en premier, tandis que celle avec le numéro de séquence le plus élevé est évaluée en dernier. Si une règle correspond à l’itinéraire, l’évaluation est interrompue et l’action de cette règle est exécutée. Si aucune règle ne correspond à l’itinéraire, l’action par défaut est le refus. 

  2. Créez la ressource de préfixe d’IP à l’aide de la commande azcli. Vous pouvez réutiliser la commande de l’étape précédente ou la modifier selon vos besoins.

  3. Vérifiez que la ressource de préfixe d’IP a été correctement créée. Vous pouvez utiliser la commande az networkfabric ipprefix show pour afficher les détails de la ressource de préfixe d’IP. Vous pouvez vous référer à l’exemple suivant : 

    az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix 

Dans cet exemple, myResourceGroup est le nom du groupe de ressources dans lequel vous avez créé la ressource de préfixe d’IP, et myIpPrefix est le nom de la ressource de préfixe d’IP. 

La réponse doit contenir les propriétés et les règles de la ressource de préfixe d’IP : identifiant, type, ipPrefixRules, emplacement, nom, provisioningState, resourceGroup, balises, etc. 

Afficher une ressource de préfixe d’IP

Pour obtenir les détails d’une ressource de préfixe d’IP existante par son ID ou son nom, utilisez la commande suivante : 

# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix

Le corps de la réponse de l’API REST présente le format suivant : 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
  "location": "eastus",
  "name": "myIpPrefix",
  "properties": {
    "ipPrefixRules": [
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "10.10.10.0/28",
        "sequenceNumber": 10
      },
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "20.20.20.0/24",
        "sequenceNumber": 20
      }
    ]
  }
}

Mettre à jour une ressource de préfixe d’IP

Pour mettre à jour une ressource de préfixe d’IP, procédez comme suit :

  1. Spécifiez les propriétés et les règles de la ressource de préfixe d’IP que vous souhaitez mettre à jour. Vous pouvez réutiliser le modèle JSON de la section précédente ou le modifier selon vos besoins. 

  2. Mettez à jour la ressource de préfixe d’IP à l’aide de la commande Azure CLI ou de la méthode de l’API REST. Vous pouvez vous référer aux exemples suivants : 

    az networkfabric ipprefix update  \
  -g "example-rg" \
  --resource-name "example-ipprefix" \
  --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"

Dans cet exemple, resourceGroupName est le nom du groupe de ressources dans lequel vous avez créé la ressource de préfixe d’IP, ipPrefixName est le nom de la ressource de préfixe d’IP, et l’option --add ajoute la nouvelle règle à la propriété ipPrefixRules. La nouvelle règle rejette les itinéraires avec le préfixe réseau 30.30.30.0/24 et a un numéro de séquence de 30. 

Supprimer une ressource de préfixe d’IP

Pour supprimer les détails d’une ressource de préfixe d’IP existante par son ID ou son nom, utilisez la commande suivante : 

# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
  --resource-group myResourceGroup \
  --name myIpPrefix

Voici le corps de la requête de l’API REST pour supprimer une ressource de préfixe d’IP par son ID : 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}

Ressource d’exemple de préfixe d’IP

ipprefixv4-externalnetwork1-export

Cette ressource est utilisée pour gérer les règles de trafic d’un réseau externe spécifique dans un groupe de ressources. Elle contient des règles qui autorisent le trafic vers les préfixes réseau 20.20.20.0/24 et 50.50.50.0/24, mais rejettent le trafic vers le préfixe réseau 10.10.10.0/28. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
  "ipPrefixRules": [
    {
      "action": "Deny",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "50.50.50.0/24",
      "sequenceNumber": 13
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-externalnetwork1-export",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Cette ressource rejette le trafic vers le préfixe réseau 10.10.10.0/28 et autorise le trafic vers les préfixes réseau 20.20.20.0/24 et 50.50.50.0/24.

ipprefixv4-1204-cn1

Cette ressource est utilisée pour gérer les règles de trafic d’un réseau spécifique dans un groupe de ressources. Elle contient des règles qui autorisent le trafic vers les préfixes réseau 10.10.10.0/28 et 20.20.20.0/24. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-1204-cn1",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Cette ressource autorise le trafic vers les préfixes réseau 10.10.10.0/28 et 20.20.20.0/24.

ipprefix-v6-ingress

Cette ressource se trouve dans la région eastus et fait partie d’un groupe de ressources. Elle est configurée, mais actuellement désactivée. La ressource est de type microsoft.managednetworkfabric/ipprefixes.

La ressource a deux règles de préfixe d’IP :

  1. Autorise le trafic à partir de préfixes réseau supérieurs ou égaux à fda0:d59c:db12::/59, avec une longueur de masque de sous-réseau de 59. 

  2. Autorise le trafic à partir de préfixes réseau supérieurs ou égaux à fc00:f853:ccd:e793::/64, avec une longueur de masque de sous-réseau de 64. 

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fda0:d59c:db12::/59",
      "sequenceNumber": 10,
      "subnetMaskLength": "59"
    },
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fc00:f853:ccd:e793::/64",
      "sequenceNumber": 20,
      "subnetMaskLength": "64"
    }
  ],
  "location": "eastus",
  "name": "ipprefix-v6-ingress",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Cette ressource est configurée pour autoriser le trafic IPv6 à partir des préfixes réseau spécifiés.