Membuat prefiks alamat IPv4 kustom menggunakan Azure PowerShell
Awalan alamat IPv4 kustom memungkinkan Anda membawa rentang IPv4 Anda sendiri ke Microsoft dan mengaitkannya ke langganan Azure Anda. Anda melanjutkan kepemilikan rentang sementara Microsoft akan diizinkan untuk mengiklankannya ke Internet. Prefiks alamat IP kustom berfungsi sebagai sumber daya regional yang mewakili blok alamat IP milik pelanggan yang berdekatan.
Langkah-langkah dalam artikel ini merinci proses untuk:
Menyiapkan rentang untuk provisi
Memprovisikan rentang alokasi IP
Mengaktifkan rentang yang akan diiklankan oleh Microsoft
Prasyarat
- Akun Azure dengan langganan aktif. Buat akun secara gratis.
- Azure PowerShell dipasang secara lokal atau Azure Cloud Shell.
- Masuk ke Azure PowerShell dan pastikan Anda telah memilih langganan yang ingin Anda gunakan fitur ini. Untuk informasi selengkapnya, lihat Masuk dengan Azure PowerShell.
- Pastikan modul Anda
Az.Network
adalah 5.1.1 atau yang lebih baru. Untuk memverifikasi modul yang diinstal, gunakan perintahGet-InstalledModule -Name "Az.Network"
. Jika modul memerlukan pembaruan, gunakan perintahUpdate-Module -Name "Az.Network"
jika diperlukan. - Rentang IPv4 milik pelanggan untuk disediakan di Azure.
- Rentang pelanggan sampel (1.2.3.0/24) digunakan untuk contoh ini. Rentang ini tidak akan divalidasi oleh Azure. Ganti rentang contoh dengan milik Anda.
Jika Anda memilih untuk memasang dan menggunakan PowerShell secara lokal, artikel ini memerlukan modul Azure PowerShell versi 5.4.1 atau versi yang lebih baru. Jalankan Get-Module -ListAvailable Az
untuk menemukan versi terinstal. Jika Anda perlu peningkatan, lihat Instal modul Azure PowerShell. Jika Anda menjalankan PowerShell secara lokal, Anda juga harus menjalankan Connect-AzAccount
untuk membuat koneksi dengan Azure.
Catatan
Untuk masalah yang dihadapi selama proses penyediaan, lihat Pemecahan masalah untuk prefiks IP kustom.
Langkah-langkah pra-provisi
Untuk menggunakan fitur Azure BYOIP, Anda harus melakukan langkah-langkah berikut sebelum provisi rentang alamat IPv4 Anda.
Persyaratan dan kesiapan prefiks
Rentang alamat harus dimiliki oleh Anda dan terdaftar di bawah nama Anda dengan salah satu dari lima Registri Internet Regional utama:
Rentang alamat tidak boleh lebih kecil dari /24 agar dapat diterima oleh Penyedia Layanan Internet.
Dokumen Otorisasi Asal Rute (ROA) yang mengotorisasi Microsoft untuk menyatakan rentang alamat harus diisi oleh pelanggan di situs web Registri Internet Perutean (RIR) yang sesuai atau melalui API mereka. RIR akan mewajibkan ROA ditandatangani secara digital dengan Infrastruktur Kunci Umum Sumber Daya (RPKI) RIR Anda.
Untuk ROA ini:
Asal AS harus terdaftar sebagai 8075 untuk Cloud Publik. (Jika rentang akan di-onboard ke US Gov Cloud, Asal AS harus terdaftar sebagai 8070.)
Tanggal selesai validitas (kedaluwarsa) harus memperhitungkan waktu yang Anda inginkan agar prefiks diiklankan oleh Microsoft. Beberapa RIR tidak menampilkan tanggal selesai validitas sebagai opsi dan atau memilih tanggal untuk Anda.
Panjang prefiks harus sama persis dengan prefiks yang dapat diiklankan oleh Microsoft. Misalnya, jika Anda berencana untuk membawa 1.2.3.0/24 dan 2.3.4.0/23 ke Microsoft, keduanya harus diberi nama.
Setelah ROA selesai dan dikirimkan, alokasikan waktu 24 jam agar tersedia untuk Microsoft, tempat ROA akan diverifikasi untuk menentukan keaslian dan kebenarannya sebagai bagian dari proses provisi.
Catatan
Disarankan juga untuk membuat ROA untuk ASN yang ada yang mengiklankan rentang untuk menghindari masalah selama migrasi.
Penting
Meskipun Microsoft tidak akan berhenti mengiklankan rentang setelah tanggal yang ditentukan, sangat disarankan untuk membuat ROA tindak lanjut secara independen jika tanggal kedaluwarsa asli telah diteruskan untuk menghindari operator eksternal tidak menerima iklan.
Kesiapan sertifikat
Untuk mengotorisasi Microsoft agar mengaitkan prefiks dengan langganan pelanggan, sertifikat publik harus dibandingkan dengan pesan yang ditandatangani.
Langkah-langkah berikut menunjukkan langkah-langkah yang diperlukan untuk menyiapkan rentang pelanggan sampel (1.2.3.0/24) untuk provisi ke cloud Publik.
Catatan
Jalankan perintah berikut di PowerShell dengan OpenSSL yang terinstal.
Sertifikat X509 yang ditandatangani sendiri harus dibuat untuk ditambahkan ke rekaman Whois/RDAP untuk prefiks. Untuk informasi tentang RDAP, lihat situs ARIN, RIPE, APNIC, dan AFRINIC .
Contoh penggunaan toolkit OpenSSL ditunjukkan di bawah ini. Perintah berikut menghasilkan pasangan kunci RSA dan membuat sertifikat X509 menggunakan pasangan kunci yang kedaluwarsa dalam enam bulan:
./openssl genrsa -out byoipprivate.key 2048 Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
Setelah sertifikat dibuat, perbarui bagian komentar publik dari rekaman Whois/RDAP untuk prefiks. Untuk menampilkan penyalinan, termasuk header/catatan kaki BEGIN/END dengan tanda hubung, gunakan perintah
cat byoippublickey.cer
Anda harus dapat melakukan prosedur ini melalui Registri Internet Perutean Anda.Petunjuk untuk setiap registri di bawah ini:
ARIN - edit "Komentar" dari catatan prefiks.
RIPE - edit "Keterangan" dari catatan inetnum.
APNIC - edit “Keterangan” catatan inetnum menggunakan MyAPNIC.
AFRINIC - edit "Remarks" rekaman inetnum menggunakan MyAFRINIC.
Untuk rentang dari registri LACNIC, buat tiket dukungan dengan Microsoft.
Setelah komentar publik diisi, rekaman Whois/RDAP akan terlihat seperti contoh di bawah ini. Pastikan tidak ada spasi atau pengembalian ke awal. Sertakan semua tanda hubung:
Untuk membuat pesan yang akan diteruskan ke Microsoft, buat string yang berisi informasi relevan tentang prefiks dan langganan Anda. Tanda tangani pesan ini dengan pasangan kunci yang dihasilkan pada langkah-langkah di atas. Gunakan format yang ditunjukkan di bawah ini, ganti ID langganan Anda, prefiks yang akan tersedia, dan kedaluwarsa yang cocok dengan Tanggal Validitas pada ROA. Pastikan formatnya dalam urutan tersebut.
Gunakan perintah berikut untuk membuat pesan yang ditandatangani yang akan diteruskan ke Microsoft untuk verifikasi.
Catatan
Jika Tanggal selesai Validitas tidak disertakan dalam ROA asli, pilih tanggal yang sesuai dengan waktu yang Anda inginkan agar prefiks diiklankan oleh Azure.
$byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd" Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
Untuk melihat konten pesan bertanda tangan, masukkan variabel yang dibuat dari pesan bertanda tangan yang dibuat sebelumnya dan pilih Masukkan pada perintah PowerShell:
$byoipauthsigned dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
Langkah-langkah provisi
Langkah-langkah berikut menampilkan prosedur untuk memprovisikan rentang pelanggan sampel (1.2.3.0/24) ke wilayah US Barat 2.
Catatan
Langkah-langkah pembersihan atau penghapusan tidak ditampilkan di halaman ini karena sifat sumber dayanya. Untuk informasi tentang menghapus prefiks IP kustom yang tersedia, lihat Mengelola prefiks IP kustom.
Membuat grup sumber daya dan menentukan pesan prefiks dan otorisasi
Buat grup sumber daya di lokasi yang diinginkan untuk memprovisikan rentang BYOIP.
$rg =@{
Name = 'myResourceGroup'
Location = 'WestUS2'
}
New-AzResourceGroup @rg
Memprovisikan prefiks alamat IP kustom
Perintah berikut membuat prefiks IP kustom di wilayah dan grup sumber daya yang ditentukan. Tentukan prefiks yang tepat dalam notasi CIDR sebagai string untuk memastikan tidak ada galat sintaksis. Untuk parameter -AuthorizationMessage
, ganti ID langganan Anda, prefiks yang akan tersedia, dan kedaluwarsa yang cocok dengan Tanggal Validitas pada ROA. Pastikan formatnya dalam urutan tersebut. Gunakan variabel $byoipautsigned untuk parameter -SignedMessage
yang dibuat di bagian kesiapan sertifikat.
$prefix =@{
Name = 'myCustomIPPrefix'
ResourceGroupName = 'myResourceGroup'
Location = 'WestUS2'
CIDR = '1.2.3.0/24'
AuthorizationMessage = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd'
SignedMessage = $byoipauthsigned
}
$myCustomIpPrefix = New-AzCustomIPPrefix @prefix -Zone 1,2,3
Rentang didorong ke Alur Penyebaran IP Azure. Proses penyebaran asinkron. Untuk menentukan status, jalankan perintah berikut:
Get-AzCustomIpPrefix -ResourceId $myCustomIpPrefix.Id
Output sampel ditunjukkan di bawah ini, dengan beberapa bidang dihapus untuk kejelasan:
Name : myCustomIpPrefix
ResourceGroupName : myResourceGroup
Location : westus2
Id : /subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/MyCustomIPPrefix
Cidr : 1.2.3.0/24
Zones : {1, 2, 3}
CommissionedState : Provisioning
Bidang CommissionedState harus menunjukkan rentang sebagai Provisi awalnya, diikuti di masa mendatang oleh Tersedia.
Catatan
Perkiraan waktu untuk menyelesaikan proses provisi adalah 30 menit.
Penting
Setelah prefiks IP kustom dalam status Tersedia, perfiks IP publik turunan dapat dibuat. Prefiks IP publik ini dan alamat IP publik apa pun dapat dilampirkan ke sumber daya jaringan. Misalnya, antarmuka jaringan mesin virtual atau front end load balancer. IP tidak akan diiklankan dan oleh karena itu IP tidak dapat dijangkau. Untuk informasi selengkapnya tentang migrasi prefiks aktif, lihat Mengelola prefiks IP kustom.
Menyiapkan prefiks alamat IP kustom
Saat prefiks IP kustom dalam status Tersedia, perintah berikut akan memperbarui prefiks untuk memulai proses mengiklankan rentang dari Azure.
Update-AzCustomIpPrefix -ResourceId $myCustomIPPrefix.Id -Commission
Seperti sebelumnya, operasinya asinkron. Gunakan Get-AzCustomIpPrefix untuk mengambil status. Bidang CommissionedState awalnya akan menampilkan prefiks sebagai Penyiapan, diikuti oleh Disiapkan di masa mendatang. Peluncuran iklan bukanlah biner dan rentangnya akan diiklankan sebagian saat masih dalam tahap Penugasan.
Catatan
Perkiraan waktu untuk menyelesaikan proses penugasan sepenuhnya adalah 3-4 jam.
Penting
Saat prefiks IP kustom bertransisi ke status Ditugaskan, rentang tersebut diiklankan dengan Microsoft dari wilayah Azure lokal dan secara global ke Internet oleh jaringan area luas Microsoft di bawah Autonomous System Number (ASN) 8075. Mengiklankan rentang yang sama ini ke Internet dari lokasi selain Microsoft pada saat yang sama berpotensi menciptakan ketidakstabilan perutean BGP atau kehilangan lalu lintas. Misalnya, pembangunan pelanggan lokal. Rencanakan semua migrasi dari rentang aktif selama periode pemeliharaan untuk menghindari dampak. Selain itu, Anda dapat memanfaatkan fitur komisioning regional untuk menempatkan awalan IP kustom ke dalam status di mana hanya diiklankan dalam wilayah Azure yang disebarkan di --lihat Mengelola awalan alamat IP kustom (BYOIP) untuk informasi selengkapnya.
Langkah berikutnya
Untuk mempelajari tentang skenario dan keuntungan menggunakan prefiks IP kustom, lihat Prefiks alamat IP kustom (BYOIP).
Untuk informasi selengkapnya tentang mengelola prefiks IP kustom, lihat Mengelola prefiks alamat IP kustom (BYOIP).
Untuk membuat prefiks alamat IP kustom menggunakan Azure CLI, lihat Membuat prefiks alamat IP kustom menggunakan Azure CLI.
Untuk membuat prefiks alamat IP kustom menggunakan portal Microsoft Azure, lihat Membuat prefiks alamat IP kustom menggunakan portal Microsoft Azure.