Bagikan melalui

Membuat prefiks alamat IPv4 kustom menggunakan Azure PowerShell

  • Artikel

Awalan alamat IPv4 kustom memungkinkan Anda membawa rentang IPv4 Anda sendiri ke Microsoft dan mengaitkannya ke langganan Azure Anda. Anda melanjutkan kepemilikan rentang sementara Microsoft akan diizinkan untuk mengiklankannya ke Internet. Prefiks alamat IP kustom berfungsi sebagai sumber daya regional yang mewakili blok alamat IP milik pelanggan yang berdekatan.

Langkah-langkah dalam artikel ini merinci proses untuk:

  • Menyiapkan rentang untuk provisi

  • Memprovisikan rentang alokasi IP

  • Mengaktifkan rentang yang akan diiklankan oleh Microsoft

Prasyarat

  • Akun Azure dengan langganan aktif. Buat akun secara gratis.
  • Azure PowerShell dipasang secara lokal atau Azure Cloud Shell.
  • Masuk ke Azure PowerShell dan pastikan Anda telah memilih langganan yang ingin Anda gunakan fitur ini. Untuk informasi selengkapnya, lihat Masuk dengan Azure PowerShell.
  • Pastikan modul Anda Az.Network adalah 5.1.1 atau yang lebih baru. Untuk memverifikasi modul yang diinstal, gunakan perintah Get-InstalledModule -Name "Az.Network". Jika modul memerlukan pembaruan, gunakan perintah Update-Module -Name "Az.Network" jika diperlukan.
  • Rentang IPv4 milik pelanggan untuk disediakan di Azure.
    • Rentang pelanggan sampel (1.2.3.0/24) digunakan untuk contoh ini. Rentang ini tidak akan divalidasi oleh Azure. Ganti rentang contoh dengan milik Anda.

Jika Anda memilih untuk memasang dan menggunakan PowerShell secara lokal, artikel ini memerlukan modul Azure PowerShell versi 5.4.1 atau versi yang lebih baru. Jalankan Get-Module -ListAvailable Az untuk menemukan versi terinstal. Jika Anda perlu peningkatan, lihat Instal modul Azure PowerShell. Jika Anda menjalankan PowerShell secara lokal, Anda juga harus menjalankan Connect-AzAccount untuk membuat koneksi dengan Azure.

Catatan

Untuk masalah yang dihadapi selama proses penyediaan, lihat Pemecahan masalah untuk prefiks IP kustom.

Langkah-langkah pra-provisi

Untuk menggunakan fitur Azure BYOIP, Anda harus melakukan langkah-langkah berikut sebelum provisi rentang alamat IPv4 Anda.

Persyaratan dan kesiapan prefiks

  • Rentang alamat harus dimiliki oleh Anda dan terdaftar di bawah nama Anda dengan salah satu dari lima Registri Internet Regional utama:

  • Rentang alamat tidak boleh lebih kecil dari /24 agar dapat diterima oleh Penyedia Layanan Internet.

  • Dokumen Otorisasi Asal Rute (ROA) yang mengotorisasi Microsoft untuk menyatakan rentang alamat harus diisi oleh pelanggan di situs web Registri Internet Perutean (RIR) yang sesuai atau melalui API mereka. RIR akan mewajibkan ROA ditandatangani secara digital dengan Infrastruktur Kunci Umum Sumber Daya (RPKI) RIR Anda.

    Untuk ROA ini:

    • Asal AS harus terdaftar sebagai 8075 untuk Cloud Publik. (Jika rentang akan di-onboard ke US Gov Cloud, Asal AS harus terdaftar sebagai 8070.)

    • Tanggal selesai validitas (kedaluwarsa) harus memperhitungkan waktu yang Anda inginkan agar prefiks diiklankan oleh Microsoft. Beberapa RIR tidak menampilkan tanggal selesai validitas sebagai opsi dan atau memilih tanggal untuk Anda.

    • Panjang prefiks harus sama persis dengan prefiks yang dapat diiklankan oleh Microsoft. Misalnya, jika Anda berencana untuk membawa 1.2.3.0/24 dan 2.3.4.0/23 ke Microsoft, keduanya harus diberi nama.

    • Setelah ROA selesai dan dikirimkan, alokasikan waktu 24 jam agar tersedia untuk Microsoft, tempat ROA akan diverifikasi untuk menentukan keaslian dan kebenarannya sebagai bagian dari proses provisi.

Catatan

Disarankan juga untuk membuat ROA untuk ASN yang ada yang mengiklankan rentang untuk menghindari masalah selama migrasi.

Penting

Meskipun Microsoft tidak akan berhenti mengiklankan rentang setelah tanggal yang ditentukan, sangat disarankan untuk membuat ROA tindak lanjut secara independen jika tanggal kedaluwarsa asli telah diteruskan untuk menghindari operator eksternal tidak menerima iklan.

Kesiapan sertifikat

Untuk mengotorisasi Microsoft agar mengaitkan prefiks dengan langganan pelanggan, sertifikat publik harus dibandingkan dengan pesan yang ditandatangani.

Langkah-langkah berikut menunjukkan langkah-langkah yang diperlukan untuk menyiapkan rentang pelanggan sampel (1.2.3.0/24) untuk provisi ke cloud Publik.

Catatan

Jalankan perintah berikut di PowerShell dengan OpenSSL yang terinstal.

  1. Sertifikat X509 yang ditandatangani sendiri harus dibuat untuk ditambahkan ke rekaman Whois/RDAP untuk prefiks. Untuk informasi tentang RDAP, lihat situs ARIN, RIPE, APNIC, dan AFRINIC .

    Contoh penggunaan toolkit OpenSSL ditunjukkan di bawah ini. Perintah berikut menghasilkan pasangan kunci RSA dan membuat sertifikat X509 menggunakan pasangan kunci yang kedaluwarsa dalam enam bulan:

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Setelah sertifikat dibuat, perbarui bagian komentar publik dari rekaman Whois/RDAP untuk prefiks. Untuk menampilkan penyalinan, termasuk header/catatan kaki BEGIN/END dengan tanda hubung, gunakan perintah cat byoippublickey.cer Anda harus dapat melakukan prosedur ini melalui Registri Internet Perutean Anda.

    Petunjuk untuk setiap registri di bawah ini:

    • ARIN - edit "Komentar" dari catatan prefiks.

    • RIPE - edit "Keterangan" dari catatan inetnum.

    • APNIC - edit “Keterangan” catatan inetnum menggunakan MyAPNIC.

    • AFRINIC - edit "Remarks" rekaman inetnum menggunakan MyAFRINIC.

    • Untuk rentang dari registri LACNIC, buat tiket dukungan dengan Microsoft.

    Setelah komentar publik diisi, rekaman Whois/RDAP akan terlihat seperti contoh di bawah ini. Pastikan tidak ada spasi atau pengembalian ke awal. Sertakan semua tanda hubung:

    Screenshot of example certificate comment

  3. Untuk membuat pesan yang akan diteruskan ke Microsoft, buat string yang berisi informasi relevan tentang prefiks dan langganan Anda. Tanda tangani pesan ini dengan pasangan kunci yang dihasilkan pada langkah-langkah di atas. Gunakan format yang ditunjukkan di bawah ini, ganti ID langganan Anda, prefiks yang akan tersedia, dan kedaluwarsa yang cocok dengan Tanggal Validitas pada ROA. Pastikan formatnya dalam urutan tersebut.

    Gunakan perintah berikut untuk membuat pesan yang ditandatangani yang akan diteruskan ke Microsoft untuk verifikasi.

    Catatan

    Jika Tanggal selesai Validitas tidak disertakan dalam ROA asli, pilih tanggal yang sesuai dengan waktu yang Anda inginkan agar prefiks diiklankan oleh Azure.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Untuk melihat konten pesan bertanda tangan, masukkan variabel yang dibuat dari pesan bertanda tangan yang dibuat sebelumnya dan pilih Masukkan pada perintah PowerShell:

    $byoipauthsigned
dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==

Langkah-langkah provisi

Langkah-langkah berikut menampilkan prosedur untuk memprovisikan rentang pelanggan sampel (1.2.3.0/24) ke wilayah US Barat 2.

Catatan

Langkah-langkah pembersihan atau penghapusan tidak ditampilkan di halaman ini karena sifat sumber dayanya. Untuk informasi tentang menghapus prefiks IP kustom yang tersedia, lihat Mengelola prefiks IP kustom.

Membuat grup sumber daya dan menentukan pesan prefiks dan otorisasi

Buat grup sumber daya di lokasi yang diinginkan untuk memprovisikan rentang BYOIP.

$rg =@{
    Name = 'myResourceGroup'
    Location = 'WestUS2'
}
New-AzResourceGroup @rg

Memprovisikan prefiks alamat IP kustom

Perintah berikut membuat prefiks IP kustom di wilayah dan grup sumber daya yang ditentukan. Tentukan prefiks yang tepat dalam notasi CIDR sebagai string untuk memastikan tidak ada galat sintaksis. Untuk parameter -AuthorizationMessage, ganti ID langganan Anda, prefiks yang akan tersedia, dan kedaluwarsa yang cocok dengan Tanggal Validitas pada ROA. Pastikan formatnya dalam urutan tersebut. Gunakan variabel $byoipautsigned untuk parameter -SignedMessage yang dibuat di bagian kesiapan sertifikat.

$prefix =@{
    Name = 'myCustomIPPrefix'
    ResourceGroupName = 'myResourceGroup'
    Location = 'WestUS2'
    CIDR = '1.2.3.0/24'
    AuthorizationMessage = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd'
    SignedMessage = $byoipauthsigned
}
$myCustomIpPrefix = New-AzCustomIPPrefix @prefix -Zone 1,2,3

Rentang didorong ke Alur Penyebaran IP Azure. Proses penyebaran asinkron. Untuk menentukan status, jalankan perintah berikut:

Get-AzCustomIpPrefix -ResourceId $myCustomIpPrefix.Id

Output sampel ditunjukkan di bawah ini, dengan beberapa bidang dihapus untuk kejelasan:

Name              : myCustomIpPrefix
ResourceGroupName : myResourceGroup
Location          : westus2
Id                : /subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/MyCustomIPPrefix
Cidr              : 1.2.3.0/24
Zones             : {1, 2, 3}
CommissionedState : Provisioning

Bidang CommissionedState harus menunjukkan rentang sebagai Provisi awalnya, diikuti di masa mendatang oleh Tersedia.

Catatan

Perkiraan waktu untuk menyelesaikan proses provisi adalah 30 menit.

Penting

Setelah prefiks IP kustom dalam status Tersedia, perfiks IP publik turunan dapat dibuat. Prefiks IP publik ini dan alamat IP publik apa pun dapat dilampirkan ke sumber daya jaringan. Misalnya, antarmuka jaringan mesin virtual atau front end load balancer. IP tidak akan diiklankan dan oleh karena itu IP tidak dapat dijangkau. Untuk informasi selengkapnya tentang migrasi prefiks aktif, lihat Mengelola prefiks IP kustom.

Menyiapkan prefiks alamat IP kustom

Saat prefiks IP kustom dalam status Tersedia, perintah berikut akan memperbarui prefiks untuk memulai proses mengiklankan rentang dari Azure.

Update-AzCustomIpPrefix -ResourceId $myCustomIPPrefix.Id -Commission

Seperti sebelumnya, operasinya asinkron. Gunakan Get-AzCustomIpPrefix untuk mengambil status. Bidang CommissionedState awalnya akan menampilkan prefiks sebagai Penyiapan, diikuti oleh Disiapkan di masa mendatang. Peluncuran iklan bukanlah biner dan rentangnya akan diiklankan sebagian saat masih dalam tahap Penugasan.

Catatan

Perkiraan waktu untuk menyelesaikan proses penugasan sepenuhnya adalah 3-4 jam.

Penting

Saat prefiks IP kustom bertransisi ke status Ditugaskan, rentang tersebut diiklankan dengan Microsoft dari wilayah Azure lokal dan secara global ke Internet oleh jaringan area luas Microsoft di bawah Autonomous System Number (ASN) 8075. Mengiklankan rentang yang sama ini ke Internet dari lokasi selain Microsoft pada saat yang sama berpotensi menciptakan ketidakstabilan perutean BGP atau kehilangan lalu lintas. Misalnya, pembangunan pelanggan lokal. Rencanakan semua migrasi dari rentang aktif selama periode pemeliharaan untuk menghindari dampak. Selain itu, Anda dapat memanfaatkan fitur komisioning regional untuk menempatkan awalan IP kustom ke dalam status di mana hanya diiklankan dalam wilayah Azure yang disebarkan di --lihat Mengelola awalan alamat IP kustom (BYOIP) untuk informasi selengkapnya.

Langkah berikutnya