Creare un prefisso di indirizzo IPv4 personalizzato con Azure PowerShell

Un prefisso di indirizzo IPv4 personalizzato consente di portare gli intervalli IPv4 personalizzati a Microsoft e associarlo alla sottoscrizione di Azure. Si continua la proprietà dell'intervallo, mentre Microsoft potrà pubblicizzarla su Internet. Un prefisso di indirizzo IP personalizzato funge da risorsa a livello di area che rappresenta un blocco contiguo di indirizzi IP di proprietà del cliente.

I passaggi descritti in questo articolo illustrano in dettaglio il processo per:

• Preparare un intervallo per il provisioning

• Effettuare il provisioning dell'intervallo per l'allocazione IP

• Abilitare l'intervallo da annunciare da Microsoft

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
• Azure PowerShell installato localmente o Azure Cloud Shell.
• Accedere ad Azure PowerShell e assicurarsi di aver selezionato la sottoscrizione con cui si vuole usare questa funzionalità. Per altre informazioni, vedere Accedere con Azure PowerShell.
• Verificare che il Az.Network modulo sia 5.1.1 o versione successiva. Per verificare il modulo installato, usare il comando Get-InstalledModule -Name "Az.Network". Se il modulo richiede un aggiornamento, usare il comando Update-Module -Name "Az.Network" , se necessario.
• Intervallo IPv4 di proprietà del cliente di cui effettuare il provisioning in Azure.
  • Per questo esempio viene usato un intervallo di clienti di esempio (1.2.3.0/24). Questo intervallo non verrà convalidato da Azure. Sostituire l'intervallo di esempio con il proprio.

Se si sceglie di installare e usare PowerShell in locale, per questo articolo è necessario il modulo Azure PowerShell 5.4.1 o versione successiva. Eseguire Get-Module -ListAvailable Az per trovare la versione installata. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.

Nota

Per problemi riscontrati durante il processo di provisioning, vedere Risoluzione dei problemi relativi al prefisso IP personalizzato.

Passaggi di pre-provisioning

Per usare la funzionalità BYOIP di Azure, è necessario eseguire i passaggi seguenti prima del provisioning dell'intervallo di indirizzi IPv4.

Requisiti e preparazione dei prefissi

• L'intervallo di indirizzi deve essere di proprietà dell'utente e registrato con il nome con uno dei cinque principali registri Internet regionali:

  • American Registry for Internet Numbers (ARIN)
  • Réseaux IP Européens Network Coordination Centre (RIPE NCC)
  • Asia Pacific Network Information Centre Regional Internet Registries (APNIC)
  • America Latina e Caraibi Network Information Centre (LACNIC)
  • African Network Information Centre (AFRINIC)

• L'intervallo di indirizzi non deve essere inferiore a /24, quindi verrà accettato dai provider di servizi Internet.

• Un documento ROA (Route Origin Authorization) che autorizza Microsoft a annunciare l'intervallo di indirizzi deve essere compilato dal cliente nel sito Web di Routing Internet Registry (RIR) appropriato o tramite l'API. The RIR will require the ROA to be digitally signed with the Resource Public Key Infrastructure (RPKI) of your RIR.

  Per questo ROA:

  • Origin AS deve essere elencato come 8075 per il cloud pubblico. Se l'intervallo verrà caricato nel cloud US Gov, l'origine AS deve essere elencata come 8070.

  • La data di fine della validità (data di scadenza) deve tenere conto dell'ora in cui si intende che il prefisso sia annunciato da Microsoft. Alcune richieste di ridondanza non presentano la data di fine della validità come opzione e o scelgono la data desiderata.

  • La lunghezza del prefisso deve corrispondere esattamente ai prefissi che possono essere annunciati da Microsoft. Ad esempio, se si prevede di portare 1.2.3.0/24 e 2.3.4.0/23 a Microsoft, entrambi devono essere denominati.

  • Al termine e all'invio dell'roA, attendere almeno 24 ore affinché diventi disponibile per Microsoft, in cui verrà verificata l'autenticità e la correttezza nell'ambito del processo di provisioning.

Nota

È anche consigliabile creare un ROA per qualsiasi ASN esistente che annunci l'intervallo per evitare eventuali problemi durante la migrazione.

Importante

Anche se Microsoft non interromperà la pubblicità dell'intervallo dopo la data specificata, è consigliabile creare in modo indipendente un ROA di completamento se la data di scadenza originale è passata per evitare che operatori esterni non accettino l'annuncio.

Idoneità per i certificati

Per autorizzare Microsoft a associare un prefisso a una sottoscrizione del cliente, è necessario confrontare un certificato pubblico rispetto a un messaggio firmato.

I passaggi seguenti illustrano i passaggi necessari per preparare l'intervallo di clienti di esempio (1.2.3.0/24) per il provisioning nel cloud pubblico.

Nota

Eseguire i comandi seguenti in PowerShell con OpenSSL installato.

1. È necessario creare un certificato X509 autofirmato per aggiungere al record Whois/RDAP per il prefisso. Per informazioni su RDAP, vedere i siti ARIN, RIPE, APNIC e AFRINIC .

   Di seguito è riportato un esempio di utilizzo del toolkit OpenSSL. I comandi seguenti generano una coppia di chiavi RSA e creano un certificato X509 usando la coppia di chiavi che scade in sei mesi:

   ./openssl genrsa -out byoipprivate.key 2048
   Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
   

2. Dopo aver creato il certificato, aggiornare la sezione dei commenti pubblici del record Whois/RDAP per il prefisso. Per visualizzare per la copia, inclusa l'intestazione BEGIN/END/piè di pagina con trattini, usare il comando You should be able to perform this procedure via your Routing Internet Registry.To display for copying, including the BEGIN/END header/footer with dashes, use the command cat byoippublickey.cer You should be able to perform this procedure via your Routing Internet Registry.

   Di seguito sono riportate le istruzioni per ogni registro:

   • ARIN : modificare i "Commenti" del record del prefisso.

   • RIPE : modificare le "Osservazioni" del record inetnum.

   • APNIC : modificare le "Osservazioni" del record inetnum usando MyAPNIC.

   • AFRINIC : modificare le "Osservazioni" del record inetnum usando MyAFRINIC.

   • Per gli intervalli dal Registro di sistema LACNIC, creare un ticket di supporto con Microsoft.

   Dopo aver compilato i commenti pubblici, il record Whois/RDAP dovrebbe essere simile all'esempio seguente. Assicurarsi che non ci siano spazi o ritorni a capo. Includere tutti i trattini:

   

3. Per creare il messaggio che verrà passato a Microsoft, creare una stringa contenente informazioni pertinenti sul prefisso e sulla sottoscrizione. Firmare questo messaggio con la coppia di chiavi generata nei passaggi precedenti. Usare il formato illustrato di seguito, sostituendo l'ID sottoscrizione, il prefisso di cui effettuare il provisioning e la data di scadenza corrispondente alla data di validità nell'elenco roA. Verificare che il formato sia in tale ordine.

   Usare il comando seguente per creare un messaggio firmato che verrà passato a Microsoft per la verifica.

   Nota

   Se la data di fine della validità non è stata inclusa nell'elenco ROA originale, selezionare una data corrispondente all'ora in cui si intende avere il prefisso annunciato da Azure.

   $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
   Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
   ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
   $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
   

4. Per visualizzare il contenuto del messaggio firmato, immettere la variabile creata dal messaggio firmato creato in precedenza e selezionare Invio al prompt di PowerShell:

   $byoipauthsigned
   dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
   

Passaggi di provisioning

I passaggi seguenti mostrano la procedura per il provisioning di un intervallo di clienti di esempio (1.2.3.0/24) nell'area Stati Uniti occidentali 2.

Nota

I passaggi di pulizia o eliminazione non vengono visualizzati in questa pagina in base alla natura della risorsa. Per informazioni sulla rimozione di un prefisso IP personalizzato con provisioning, vedere Gestire il prefisso IP personalizzato.

Creare un gruppo di risorse e specificare il prefisso e i messaggi di autorizzazione

Creare un gruppo di risorse nella posizione desiderata per il provisioning dell'intervallo BYOIP.

$rg =@{
    Name = 'myResourceGroup'
    Location = 'WestUS2'
}
New-AzResourceGroup @rg

Effettuare il provisioning di un prefisso di indirizzo IP personalizzato

Il comando seguente crea un prefisso IP personalizzato nell'area e nel gruppo di risorse specificati. Specificare il prefisso esatto nella notazione CIDR come stringa per assicurarsi che non sia presente alcun errore di sintassi. Per il parametro sostituire l'ID sottoscrizione, il prefisso di cui eseguire il -AuthorizationMessage provisioning e la data di scadenza corrispondente alla data di validità nell'elenco roA. Verificare che il formato sia in tale ordine. Usare la variabile $byoipauthsigned per il -SignedMessage parametro creato nella sezione conformità del certificato.

$prefix =@{
    Name = 'myCustomIPPrefix'
    ResourceGroupName = 'myResourceGroup'
    Location = 'WestUS2'
    CIDR = '1.2.3.0/24'
    AuthorizationMessage = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd'
    SignedMessage = $byoipauthsigned
}
$myCustomIpPrefix = New-AzCustomIPPrefix @prefix -Zone 1,2,3

Viene eseguito il push dell'intervallo nella pipeline di distribuzione IP di Azure. Il processo di distribuzione è asincrono. Per determinare lo stato, eseguire il comando seguente:

Get-AzCustomIpPrefix -ResourceId $myCustomIpPrefix.Id

L'output di esempio è illustrato di seguito, con alcuni campi rimossi per maggiore chiarezza:

Name              : myCustomIpPrefix
ResourceGroupName : myResourceGroup
Location          : westus2
Id                : /subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/MyCustomIPPrefix
Cidr              : 1.2.3.0/24
Zones             : {1, 2, 3}
CommissionedState : Provisioning

Il campo CommissionState dovrebbe visualizzare l'intervallo come Provisioning inizialmente, seguito in futuro da Provisioned.

Nota

Il tempo stimato per il completamento del processo di provisioning è di 30 minuti.

Importante

Dopo che il prefisso IP personalizzato è in stato Provisioned , è possibile creare un prefisso IP pubblico figlio. Questi prefissi IP pubblici e tutti gli indirizzi IP pubblici possono essere collegati alle risorse di rete. Ad esempio, interfacce di rete della macchina virtuale o front-end del servizio di bilanciamento del carico. Gli indirizzi IP non verranno annunciati e pertanto non saranno raggiungibili. Per altre informazioni su una migrazione di un prefisso attivo, vedere Gestire un prefisso IP personalizzato.

Commissione il prefisso dell'indirizzo IP personalizzato

Quando il prefisso IP personalizzato è nello stato Provisioned, il comando seguente aggiorna il prefisso per avviare il processo di pubblicità dell'intervallo da Azure.

Update-AzCustomIpPrefix -ResourceId $myCustomIPPrefix.Id -Commission

Come in precedenza, l'operazione è asincrona. Usare Get-AzCustomIpPrefix per recuperare lo stato. Il campo CommissionState mostrerà inizialmente il prefisso commissionato, seguito in futuro da Commissioning. L'implementazione dell'annuncio non è binaria e l'intervallo sarà parzialmente pubblicizzato mentre è ancora in Commissione.

Nota

Il tempo stimato per completare completamente il processo di commissione è di 3-4 ore.

Importante

Man mano che il prefisso IP personalizzato passa a uno stato Commissionato , l'intervallo viene annunciato con Microsoft dall'area di Azure locale e a livello globale a Internet dalla rete wide area di Microsoft con il numero di sistema autonomo (ASN) 8075. La pubblicità di questo stesso intervallo a Internet da una posizione diversa da Microsoft allo stesso tempo potrebbe potenzialmente creare instabilità del routing BGP o perdita di traffico. Ad esempio, un edificio locale del cliente. Pianificare qualsiasi migrazione di un intervallo attivo durante un periodo di manutenzione per evitare effetti. È anche possibile sfruttare la funzionalità di commissione a livello di area per inserire un prefisso IP personalizzato in uno stato in cui viene annunciato solo all'interno dell'area di Azure in cui viene distribuito, vedere Gestire un prefisso di indirizzo IP personalizzato (BYOIP) per altre informazioni.

Passaggi successivi

• Per informazioni su scenari e vantaggi dell'uso di un prefisso IP personalizzato, vedere Prefisso indirizzo IP personalizzato (BYOIP).

• Per altre informazioni sulla gestione di un prefisso IP personalizzato, vedere Gestire un prefisso di indirizzo IP personalizzato (BYOIP).

• Per creare un prefisso di indirizzo IP personalizzato usando l'interfaccia della riga di comando di Azure, vedere Creare un prefisso di indirizzo IP personalizzato usando l'interfaccia della riga di comando di Azure.

• Per creare un prefisso di indirizzo IP personalizzato usando il portale di Azure, vedere Creare un prefisso di indirizzo IP personalizzato usando il portale di Azure.