Egyéni IPv4-címelőtag létrehozása az Azure CLI használatával

Az egyéni IPv4-címelőtagokkal saját IPv4-tartományokat hozhat a Microsofthoz, és hozzárendelheti azt az Azure-előfizetéséhez. A tartomány továbbra is Az Ön tulajdona lesz, bár a Microsoft számára engedélyezett lenne, hogy meghirdetje az interneten. Az egyéni IP-címelőtag regionális erőforrásként működik, amely az ügyfél tulajdonában lévő IP-címek egybefüggő blokkját jelöli.

A cikk lépései részletesen ismertetik a következő folyamatokat:

• Tartomány előkészítése a kiépítéshez

• Az IP-kiosztás tartományának kiépítése

• A Microsoft által meghirdetett tartomány engedélyezése

If you don't have an Azure subscription, create an Azure free account before you begin.

Előfeltételek

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

• Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
• Ehhez az oktatóanyaghoz az Azure CLI 2.28-es vagy újabb verziójára van szükség (az verzió futtatásával meghatározhatja, hogy melyikével rendelkezik). Az Azure Cloud Shell használata esetén a legújabb verzió már telepítve van.
• Jelentkezzen be az Azure CLI-be, és győződjön meg arról, hogy kiválasztotta azt az előfizetést, amellyel ezt a funkciót az accounthasználni szeretné.
• Egy ügyfél tulajdonában lévő IPv4-tartomány, amelyet kiépíteni szeretne az Azure-ban.
  • Ebben a példában egy minta ügyféltartományt (1.2.3.0/24) használunk. Ezt a tartományt az Azure nem érvényesíti. Cserélje le a példatartományt a sajátjaira.

Megjegyzés:

A kiépítési folyamat során felmerülő problémákért tekintse meg az egyéni IP-előtag hibaelhárítását.

Az üzembe helyezés előtti lépések

Az Azure BYOIP szolgáltatás használatához az alábbi lépéseket kell végrehajtania az IPv4-címtartomány kiépítése előtt.

Követelmények és előtagok felkészültsége

• A címtartománynak az Ön tulajdonában kell lennie, és az Ön neve alatt kell regisztrálnia az öt fő regionális internetes nyilvántartás egyikével:

  • American Registry for Internet Numbers (ARIN)
  • Réseaux IP Européens Hálózati Koordinációs Központ (RIPE NCC)
  • Asia Pacific Network Information Center Regional Internet Registries (APNIC)
  • Latin-Amerika és Karib-térség Hálózati Információs Központ (LACNIC)
  • Afrikai hálózati információs központ (AFRINIC)

• A címtartomány nem lehet kisebb, mint a /24, ezért az internetszolgáltatók elfogadják.

• Az útvonal-eredet-engedélyezési (ROA) dokumentumot, amely engedélyezi a Microsoftnak a címtartomány hirdetését, az ügyfélnek ki kell töltenie a megfelelő Útválasztási internetes beállításjegyzék (RIR) webhelyén vagy az API-n keresztül. A RIR megköveteli, hogy a ROA digitálisan alá legyen írva a RIR erőforrás-nyilvános kulcsú infrastruktúrájával (RPKI).

  Ehhez a ROA-hoz:

  • A forrás AS-nek 8075-ként kell szerepelnie a nyilvános felhőben. (Ha a tartomány az USA gov felhőjéhez lesz előkészítve, az Origin AS-nek 8070-ként kell szerepelnie.)

  • Az érvényességi záró dátumnak (lejárati dátumnak) azt az időpontot kell figyelembe vennie, amikor a Microsoft meghirdeti az előtagot. Egyes RIR-ek nem mutatják be az érvényességi befejezési dátumot beállításként, és nem választják ki a dátumot.

  • Az előtag hosszának pontosan meg kell egyeznie a Microsoft által meghirdethető előtagokkal. Ha például az 1.2.3.0/24-et és a 2.3.4.0/23-at szeretné a Microsofthoz vinni, mindkettőt el kell nevezni.

  • A ROA befejezése és elküldése után legalább 24 órát kell hagynia, hogy elérhetővé váljon a Microsoft számára, ahol a kiépítési folyamat részeként ellenőrizni fogja annak hitelességét és helyességét.

Megjegyzés:

Javasoljuk továbbá, hogy hozzon létre egy ROA-t minden olyan meglévő ASN-hez, amely a tartományt reklámozza, hogy elkerülje a migrálás során felmerülő problémákat.

Fontos

Bár a Microsoft nem állítja le a tartomány hirdetését a megadott dátum után, határozottan ajánlott külön létrehozni egy követő ROA-t, ha az eredeti lejárati dátum lejárt, hogy a külső szolgáltatók ne fogadják el a hirdetést.

Tanúsítványkészség

Ahhoz, hogy a Microsoft hozzárendeljen egy előtagot egy ügyfél-előfizetéshez, egy nyilvános tanúsítványt össze kell hasonlítani egy aláírt üzenettel.

Az alábbi lépések a nyilvános felhőbe történő üzembe helyezéshez szükséges minta-ügyféltartomány (1.2.3.0/24) előkészítéséhez szükségesek.

Megjegyzés:

Hajtsa végre a következő parancsokat a PowerShellben az OpenSSL telepítésével.

1. Létre kell hozni egy önaláírt X509-tanúsítványt az előtag Whois/RDAP rekordjának hozzáadásához. Az RDAP-ról további információt az ARIN, a RIPE, az APNIC és az AFRINIC helyeken talál.

   Az OpenSSL eszközkészletet használó példa alább látható. A következő parancsok létrehoznak egy RSA-kulcspárt, és létrehoznak egy X509-tanúsítványt a hat hónap alatt lejáró kulcspár használatával:

   ./openssl genrsa -out byoipprivate.key 2048
   Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
   

2. A tanúsítvány létrehozása után frissítse az előtag Whois/RDAP rekordjának nyilvános megjegyzések szakaszát. Ha meg szeretné jeleníteni a másolást, beleértve a BEGIN/END fejlécet/élőlábat kötőjelekkel, használja a következő parancsot cat byoippublickey.cer : Ezt az eljárást az útválasztási internetes beállításjegyzéken keresztül kell elvégeznie.

   Az egyes beállításjegyzékekre vonatkozó utasítások a következők:

   • ARIN – szerkessze az előtagrekord "Megjegyzések" elemét.

   • RIPE – szerkessze az inetnum rekord "Megjegyzések" elemét.

   • APNIC – szerkessze az inetnum rekord "Megjegyzéseit" a MyAPNIC használatával.

   • AFRINIC – szerkessze az inetnum rekord "Megjegyzések" elemét a MyAFRINIC használatával.

   • A LACNIC-beállításjegyzék tartományaihoz hozzon létre egy támogatási jegyet a Microsofttal.

   A nyilvános megjegyzések kitöltése után a Whois/RDAP rekordnak az alábbi példához hasonlóan kell kinéznie. Győződjön meg arról, hogy nincsenek szóközök vagy kocsivissza. Az összes kötőjel belefoglalása:

   

3. A Microsoftnak átadott üzenet létrehozásához hozzon létre egy sztringet, amely releváns információkat tartalmaz az előtagról és az előfizetésről. Írja alá ezt az üzenetet a fenti lépésekben létrehozott kulcspárral. Használja az alábbi formátumot, helyettesítse az előfizetés azonosítóját, a kiépíteni kívánt előtagot és a lejárati dátumot a ROA érvényességi dátumával. Győződjön meg arról, hogy a formátum ebben a sorrendben van.

   Az alábbi paranccsal hozzon létre egy aláírt üzenetet, amelyet a rendszer továbbít a Microsoftnak ellenőrzés céljából.

   Megjegyzés:

   Ha az érvényesség záró dátuma nem szerepel az eredeti ROA-ban, válasszon egy dátumot, amely megfelel annak az időpontnak, amikor az Előtagot az Azure meghirdeti. Azt is vegye figyelembe, hogy a Microsoft nem állítja le a tartomány hirdetését a megadott dátum után, de javasoljuk, hogy függetlenül hozzon létre egy követő ROA-t, ha az eredeti lejárati dátum lejárt.

   $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
   Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
   ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
   $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
   

4. Az aláírt üzenet tartalmának megtekintéséhez írja be a korábban létrehozott aláírt üzenetből létrehozott változót, és válassza az Enter lehetőséget a PowerShell-parancssorban:

   $byoipauthsigned
   dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
   

Üzembe helyezési lépések

Az alábbi lépések egy minta ügyféltartomány (1.2.3.0/24) üzembe helyezésének eljárását mutatják be az USA 2. nyugati régiójában.

Megjegyzés:

A törlési vagy törlési lépések nem jelennek meg ezen a lapon az erőforrás jellegéből adódóan. A kiépített egyéni IP-előtag eltávolításáról további információt az egyéni IP-előtag kezelése című témakörben talál.

Erőforráscsoport létrehozása és az előtag és az engedélyezési üzenetek megadása

Hozzon létre egy erőforráscsoportot a kívánt helyen a BYOIP-tartomány kiépítéséhez.

  az group create \
    --name myResourceGroup \
    --location westus2

Egyéni IP-címelőtag kiépítése

A következő parancs létrehoz egy egyéni IP-előtagot a megadott régióban és erőforráscsoportban. Adja meg a CIDR-jelölés pontos előtagját sztringként, hogy ne legyen szintaxishiba. --authorization-message A paraméterhez használja a $byoipauth változót, amely tartalmazza az előfizetés azonosítóját, a kiépíteni kívánt előtagot és a lejárati dátumot, amely megfelel az ROA érvényességi dátumának. Győződjön meg arról, hogy a formátum ebben a sorrendben van. Használja a tanúsítványkészség szakaszban létrehozott paraméter $byoipauthsigned --signed-message változót.

  byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
  
  az network custom-ip prefix create \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --location westus2 \
    --cidr ‘1.2.3.0/24’ \
    --zone 1 2 3
    --authorization-message $byoipauth \
    --signed-message $byoipauthsigned

A tartomány le lesz küldve az Azure IP Deployment Pipeline-ba. Az üzembe helyezési folyamat aszinkron. Az állapot meghatározásához hajtsa végre a következő parancsot:

 az network custom-ip prefix show \
   --name myCustomIpPrefix \
   --resource-group myResourceGroup

A mintakimenet alább látható, és néhány mező el lett távolítva az egyértelműség kedvéért:

{
  "cidr": "1.2.3.0/24",
  "commissionedState": "Provisioning",
  "id": "/subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/myCustomIpPrefix",
  "location": "westus2",
  "name": myCustomIpPrefix,
  "resourceGroup": "myResourceGroup",
}

A CommissionedState mezőnek kezdetben kiépítésként kell megjelenítenie a tartományt, amelyet a jövőben a Kiépítésnek kell követnie.

Megjegyzés:

A kiépítési folyamat becsült időtartama 30 perc.

Fontos

Miután az egyéni IP-előtag kiépített állapotban van, létre lehet hozni egy gyermek nyilvános IP-előtagot. Ezek a nyilvános IP-előtagok és bármely nyilvános IP-cím csatolható a hálózati erőforrásokhoz. Például a virtuálisgép-hálózati adapterek vagy a terheléselosztó előtérvégei. Az IP-címek nem lesznek meghirdetve, ezért nem lesznek elérhetők. Az aktív előtag áttelepítésével kapcsolatos további információkért lásd : Egyéni IP-előtag kezelése.

Rendelje meg az egyéni IP-címelőtagot

Ha az egyéni IP-előtag kiépített állapotban van, az alábbi parancs frissíti az előtagot, hogy megkezdje a tartomány Azure-ból való meghirdetésének folyamatát.

az network custom-ip prefix update \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --state commission 

Mint korábban, a művelet aszinkron. Az állapot lekéréséhez használja az az network custom-ip előtagot . A CommissionedState mező kezdetben üzembe helyezésként jeleníti meg az előtagot, majd a jövőben a Jutalékot. A hirdetés bevezetése nem bináris, és a tartomány részben lesz meghirdetve, miközben még üzembe helyezés alatt van.

Megjegyzés:

Az üzembe helyezési folyamat teljes befejezésének becsült ideje 3-4 óra.

Fontos

Mivel az egyéni IP-előtag jutalékos állapotra vált, a tartományt a Microsoft hirdeti a helyi Azure-régióból és globálisan az internetre a Microsoft 8075 autonóm rendszerszám (ASN) alatti széles körű hálózata által. Ha ugyanazt a tartományt az internetre reklámozza a Microsofttól eltérő helyről, az akár BGP-útválasztási instabilitást vagy forgalomvesztést is okozhat. Például egy helyszíni ügyfél épülete. Tervezze meg egy aktív tartomány áttelepítését egy karbantartási időszak alatt, hogy elkerülje a hatást. Emellett kihasználhatja a regionális üzembehelyezési funkció előnyeit, hogy egy egyéni IP-előtagot olyan állapotba helyezzen, amelyben csak abban az Azure-régióban hirdetik meg, amelyben üzembe helyezve van – további információt az egyéni IP-címelőtag (BYOIP) kezelése című témakörben talál.

Következő lépések

• Az egyéni IP-előtagok használatának forgatókönyveiről és előnyeiről az Egyéni IP-címelőtag (BYOIP) című témakörben olvashat.

• Az egyéni IP-előtagok kezelésével kapcsolatos további információkért lásd : Egyéni IP-címelőtag (BYOIP) kezelése.

• Ha egyéni IP-címelőtagot szeretne létrehozni az Azure CLI használatával, olvassa el az Egyéni IP-címelőtag létrehozása az Azure CLI használatával című témakört.

• Ha egyéni IP-címelőtagot szeretne létrehozni az Azure Portal használatával, olvassa el az Egyéni IP-címelőtag létrehozása az Azure Portal használatával című témakört.