カスタム IP アドレス プレフィックスを管理する
カスタム IP アドレス プレフィックスは、外部の顧客によって所有され、サブスクリプションにプロビジョニングされた IP アドレスの連続した範囲です。 顧客は範囲を所有し、Microsoft による範囲の公開を許可します。 詳細については、カスタム IP アドレス プレフィックスの概要に関するページを参照してください。
この記事では、以下の方法について説明します。
リージョンの委任機能を使用して、アクティブなプレフィックスを Azure に安全に移行する
プロビジョニングされたカスタム IP プレフィックスからパブリック IP プレフィックスを作成する
Microsoft の外部からアクティブな IP プレフィックスを移行する
カスタム IP プレフィックスに関する情報を表示する
カスタム IP プレフィックスの使用を停止する
カスタム IP プレフィックスをプロビジョニング解除または削除する
IP アドレスのプロビジョニングについては、「カスタム IP アドレス プレフィックスを作成する - Azure portal」、「カスタム IP アドレス プレフィックスを作成する - Azure PowerShell」、または「カスタム IP アドレス プレフィックスを作成する - Azure CLI」を参照してください。
カスタム IP プレフィックスからパブリック IP プレフィックスを作成する
カスタム IP プレフィックスがプロビジョニング済み、委任中、または委任済みの状態である場合は、リンクされたパブリック IP プレフィックスを作成できます。 カスタム IP プレフィックスの範囲のサブセット、または範囲全体を作成できます。
次の CLI コマンドと PowerShell コマンドを使用して、既存のカスタム IP プレフィックスを指す --custom-ip-prefix-name
(CLI) パラメーターと -CustomIpPrefix
(PowerShell) パラメーターを指定してパブリック IP プレフィックスを作成します。
ツール | コマンド |
---|---|
CLI | az network public-ip prefix create |
PowerShell | New-AzPublicIpPrefix |
Note
パブリック IP プレフィックスは、Azure PowerShell または Azure portal を使って、適切なアクセス許可を持つ別のサブスクリプションのカスタム IP プレフィックスから派生させることができます。
PowerShell を使ったカスタム IP プレフィックスからのパブリック IP プレフィックスの派生の例を次に示します。
Set-AzContext -Subscription xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$customprefix = Get-AzCustomIpPrefix -Name myBYOIPPrefix -ResourceGroupName myResourceGroup
Set-AzContext -Subscription yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy
New-AzPublicIpPrefix -Name myPublicIpPrefix -ResourceGroupName myResourceGroup2 -Location eastus -PrefixLength 30 -CustomIpPrefix $customprefix
作成された子パブリック IP プレフィックス内の IP は、他の標準の SKU 静的パブリック IP などのリソースに関連付けることができます。 範囲から特定の IP アドレスを選択するなど、パブリック IP プレフィックスの IP を使用する方法の詳細については、「プレフィックスから静的パブリック IP アドレスを作成する」を参照してください。
Microsoft の外部からのアクティブなプレフィックスの移行
プロビジョニングされた範囲が別のネットワークによってインターネットに公開される場合は、計画外のダウンタイムを防ぐために Azure への移行を計画する必要があります。 選択した方法に関係なく、メンテナンス期間を使用して移行を行います。
方法 1: カスタム IP プレフィックスが "プロビジョニング済み" の状態である場合に、プレフィックスからパブリック IP プレフィックスとパブリック IP アドレスを作成します。
- パブリック IP はネットワーク リソースに関連付けることができますが、公開されることはなく、アクセスできません。 カスタム IP プレフィックスを委任済みの状態に更新するコマンドが実行されると、IP は Microsoft のネットワークから公開されます。 Microsoft 以外の場所からこの同じ範囲が公開されると、BGP ルーティングが不安定になったり、トラフィック損失が発生したりする可能性があります。 例として、お客様のオンプレミスの建物があります。 Azure インフラストラクチャが運用可能であることを確認したら、公開を無効にする必要があります。
方法 2: Microsoft の範囲を使用して、プレフィックスからパブリック IP プレフィックスとパブリック IP アドレスを作成します。 サブスクリプションにインフラストラクチャをデプロイし、それが運用可能であることを確認します。
カスタム IP プレフィックスがプロビジョニング済みの状態である場合に、ミラー化されたパブリック IP プレフィックスとパブリック IP アドレスの 2 つ目のセットをプレフィックスから作成します。 プロビジョニングされた IP を既存のインフラストラクチャに追加します。 たとえば、仮想マシン、またはロード バランサーの別のフロントエンドに、別のネットワーク インターフェイスを追加します。 カスタム IP プレフィックスを委任済みの状態に移行するコマンドを発行する前に、目的の IP に対して変更を行います。
または、最初に範囲を委任してから変更することもできます。 このプロセスは、パブリック IP を持つ一部のリソースの種類に対しては機能しません。 そのような場合は、プロビジョニングされたパブリック IP を持つ新しいリソースを作成する必要があります。
リージョンの委任機能を使用する
カスタム IP プレフィックスが完全な委任済み状態に移行すると、範囲はローカル Azure リージョンから Microsoft にアドバタイズされ、Microsoft のワイド エリア ネットワークによってインターネットにグローバルにアドバタイズされます。 範囲が現在、Microsoft 以外の場所からインターネットに同時にアドバタイズされている場合、BGP ルーティングが不安定になり、トラフィックが失われる可能性があります。 Azure の外部で現在 "ライブ" になっている範囲の移行を容易にするために、"リージョンの委任" 機能を利用できます。この機能を使用すると、オンボードされた範囲が、1 つの Azure リージョン内からのみ公開される CommissionedNoInternetAdvertise 状態になります。 この状態により、この範囲をインターネットに公開する前に、このリージョン内から接続されているすべてのインフラストラクチャのテストが可能になり、前述のセクションの方法 1 に適合します。
Azure portal で次の手順を使用して、カスタム IP プレフィックスをこの状態にします。
Azure portal の上部にある検索ボックスに「カスタム IP」と入力し、[カスタム IP プレフィックス] を選びます。
[カスタム IP プレフィックス] で、カスタム IP プレフィックスが [プロビジョニング済み] 状態で表示されていることを確認します。 状態が正しくなるまで、必要に応じて状態を更新します。
リソースの一覧からカスタム IP プレフィックスを選択します。
カスタム IP プレフィックスの [概要] で、[委任] ドロップダウン メニューを選択し、<Resource_Region> のみを選択します。
操作は非同期です。 カスタム IP プレフィックスの [委任状態] フィールドを調べることで、状態を確認できます。 最初、状態は、プレフィックスを [委任中] として示し、その後 [委任済み] になります。 公開のロールアウトは完全にどちらかの状態になるのではなく、まだ [委任中] の間でも、範囲は部分的に公開されます。
次の PowerShell の例を使用して、カスタム IP プレフィックス範囲をこの状態にします。
Update-AzCustomIpPrefix
(other arguments)
-Commission
-NoInternetAdvertise
カスタム IP プレフィックスを表示する
カスタム IP プレフィックスを表示するには、Azure CLI と Azure PowerShell で次のコマンドを使用できます。 カスタム IP プレフィックスの下に作成されたすべてのパブリック IP プレフィックスが表示されます。
コマンド
ツール | コマンド |
---|---|
CLI | az network custom-ip prefix list: カスタム IP プレフィックスを一覧表示する az network custom-ip prefix show: 設定とすべての派生パブリック IP プレフィックスを表示する |
PowerShell | Get-AzCustomIpPrefix: カスタム IP プレフィックス オブジェクトを取得し、その設定とすべての派生パブリック IP プレフィックスを表示する |
カスタム IP プレフィックスの使用を停止する
公開を無効にするには、カスタム IP プレフィックスの使用を停止する必要があります。
Note
カスタム IP プレフィックスの使用を停止する前に、プロビジョニングされたカスタム IP プレフィックスから作成されたすべてのパブリック IP プレフィックスを削除する必要があります。 移行の一環として問題が発生する可能性がある場合は、リージョンの試運転に関する次のセクションを参照してください。
使用停止プロセスを完全に完了するための推定所要時間は、3 時間から 4 時間です。
Azure CLI と Azure PowerShell で次のコマンドを使用して、Azure から範囲の公開を停止するプロセスを開始できます。 この操作は非同期で、状態を取得するにはビュー コマンドを使用します。 CommissionedState フィールドには、最初にプレフィックスが使用停止として表示された後、以前の状態に遷移するときにプロビジョニング済みとして表示されます。 公開の削除は段階的なプロセスであり、その範囲は、まだ使用停止の間は部分的に公開されます。
コマンド
ツール | コマンド |
---|---|
Azure portal | カスタム IP プレフィックスの [概要] セクションで [使用停止] オプションを使用する |
CLI | az network custom-ip prefix update (--state フラグを "使用停止" に設定) |
PowerShell | Update-AzCustomIpPrefix (フラグを -Decommission に設定) |
または、Azure portal でカスタム IP プレフィックスの [概要] セクションにある [使用停止] ボタンを使用して、カスタム IP プレフィックスの使用を停止することもできます。
リージョンの試運転機能を使用して使用停止を支援する
カスタム IP プレフィックスを使用停止状態にする前に、パブリック IP プレフィックスをクリアする必要があります。 移行を容易にするために、リージョンの委任機能を元に戻すことができます。 グローバルに委任された範囲をリージョンに委任された状態に戻すことができます。 この変更により、個々のリソースからパブリック IP アドレスを削除する前に、範囲が 1 つのリージョンの範囲を超えて公開されなくなったことを確認できます。
次のコマンドは、このページの前述のコマンドと似ています。
Update-AzCustomIpPrefix
(other arguments)
-Decommission
-NoInternetAdvertise
操作は非同期です。 カスタム IP プレフィックスの [委任状態] フィールドを調べることで、状態を確認できます。 プレフィックスの状態は、最初は InternetDecommissioningInProgress と表示され、その後 CommissionedNoInternetAdvertise になります。 インターネットへの公開は完全にどちらかの状態になるのではなく、まだ InternetDecommissioningInProgress の間でも、範囲は部分的に公開されます。
カスタム IP プレフィックスをプロビジョニング解除または削除する
カスタム IP プレフィックスを完全に削除するには、まずプロビジョニング解除してから削除する必要があります。
Note
プロビジョニングされた範囲をあるリージョンから別のリージョンに移行する必要がある場合は、別のリージョンに同じアドレス範囲の新しいカスタム IP プレフィックスを作成する前に、最初のリージョンから元のカスタム IP プレフィックスを完全に削除する必要があります。
プロビジョニング解除プロセスを完了するための推定所要時間は、30 分から 60 分です。
Azure CLI と Azure PowerShell で次のコマンドを使用して、Microsoft から範囲をプロビジョニング解除して削除することができます。 プロビジョニング解除操作は非同期です。 状態を取得するには、ビュー コマンドを使用します。 CommissionedState フィールドには、最初にプレフィックスがプロビジョニング解除中として表示された後、以前の状態に遷移するときにプロビジョニング解除済みとして表示されます。 範囲がプロビジョニング解除済みの状態の場合は、削除するコマンドを使用して削除できます。
コマンド
ツール | コマンド |
---|---|
Azure portal | カスタム IP プレフィックスの [概要] セクションで [プロビジョニング解除] オプションを使用する |
CLI | az network custom-ip prefix update (--state フラグを "プロビジョニング解除" に設定) az network custom-ip prefix delete: 削除する |
PowerShell | Update-AzCustomIpPrefix (フラグを -Deprovision に設定) Remove-AzCustomIpPrefix: 削除する |
または、Azure portal でカスタム IP プレフィックスの [概要] セクションにある [プロビジョニング解除] ボタンを使用して、カスタム IP プレフィックスをプロビジョニング解除してから、同じセクションにある [削除] ボタンを使用して削除することもできます。
アクセス許可
アクセス許可でパブリック IP アドレス プレフィックスを管理するには、アカウントがネットワーク共同作成者ロールまたはカスタム ロールに割り当てられている必要があります。
アクション | 名前 |
---|---|
Microsoft.Network/customIPPrefixes/read | カスタム IP アドレス プレフィックスを読み取る |
Microsoft.Network/customIPPrefixes/write | カスタム IP アドレス プレフィックスを作成または更新する |
Microsoft.Network/customIPPrefixes/delete | カスタム IP アドレス プレフィックスを削除する |
Microsoft.Network/customIPPrefixes/join/action | カスタム IP アドレス プレフィックスからパブリック IP プレフィックスを作成する |
トラブルシューティングと FAQ
ここでは、カスタム IP プレフィックス リソースと、プロビジョニングおよび削除プロセスに関してよく寄せられる質問に対する回答を示します。
新しいカスタム IP プレフィックスの作成後に "ValidationFailed" エラーが返される
プロビジョニングがすぐに失敗した場合、プレフィックスの検証エラーが原因である可能性があります。 プレフィックスの検証エラーは、範囲の所有権を確認できないことを示しています。 また、検証エラーは、範囲を公開するための Microsoft のアクセス許可を確認できないか、または指定のサブスクリプションとの範囲の関連付けを確認できないことを示している可能性もあります。 特定のエラーを表示するには、(ポータルの JSON ビューで) カスタム IP プレフィックス リソースの FailedReason フィールドを確認し、次の「ステータス メッセージ」のセクションを確認します。
公開するカスタム IP プレフィックスを更新すると、"CommissioningFailed" 状態に遷移する
カスタム IP プレフィックスを完全に公開できない場合は、CommissioningFailed 状態に移行します。 特定のエラーを表示するには、(ポータルの JSON ビューで) カスタム IP プレフィックス リソースの FailedReason フィールドを確認し、次の「ステータス メッセージ」のセクションを確認します。これは、コミッション プロセスが失敗したポイントの判断に役立ちます。
カスタム IP プレフィックスの使用を停止できない
カスタム IP プレフィックスの使用を停止する前に、パブリック IP プレフィックスまたはパブリック IP アドレスがないことを確認してください。
カスタム IP プレフィックスを削除できない
カスタム IP プレフィックスを削除するには、プロビジョニング解除済みまたは ValidationFailed のいずれかの状態である必要があります。 範囲が ProvisionFailed 状態の場合は、削除する前にプロビジョニング解除済みにする必要があります。 範囲がプロビジョニング中またはプロビジョニング解除中の状態で長期間 "スタック" している場合は、Microsoft サポートにお問い合わせください。
あるリージョンから別のリージョンに範囲を移行する方法
カスタム IP プレフィックスを移行するには、まず 1 つのリージョンからプロビジョニング解除する必要があります。 その後、別のリージョンに、同じ CIDR を持つ新しいカスタム IP プレフィックスを作成できます。
IPv6 を使用する場合の特別な考慮事項はありますか
あります。BYOIPv6 を使用する場合、プロビジョニングと委任には複数の違いがあります。 詳細については、カスタム IPv6 アドレス プレフィックスの作成 - PowerShell に関するページを参照してください。
ステータス メッセージ
Azure からカスタム IP プレフィックスをオンボードまたは削除すると、システムによってリソースの FailedReason 属性が更新されます。 Azure portal を使用している場合、メッセージは最上位のバナーとして表示されます。 次の表に、カスタム IP プレフィックスをオンボードまたは削除するときのステータス メッセージを示します。
注意
FailedReason が OperationNotFailed の場合、カスタム IP プレフィックスは、明らかな問題がない安定した状態 (プロビジョニング済み、委任済みなど) になります。
検証エラー
エラー メッセージ | 説明 |
---|---|
CustomerSignatureNotVerified | 署名されたメッセージは、プレフィックスに Whois/RDAP レコードを使用した認証メッセージに照らして検証できません。 |
NotAuthorizedToAdvertiseThisPrefix または ASN8075NotAllowedToAdvertise |
ASN8075 には、このプレフィックスをアドバタイズする権限がありません。 Route Origin Authorization (ROA) が正しく送信されていることを確認します。 |
PrefixRegisteredInAfricaAndSouthAmericaNotAllowedInOtherRegion | IP プレフィックスが AFRINIC または LACNIC に登録されています。 これらのプレフィックスは、アフリカ/南アメリカ以外では使用できません。 |
NotFindRoutingRegistryToGetCertificate | 地域インターネット レジストリ (RIR) の Registration Data Access Protocol (RDAP) を使用して IP プレフィックスの公開キーを見つけることができません。 |
CIDRInAuthorizationMessageNotMatchCustomerIP | 認可メッセージ内の CIDR が、送信された IP アドレスと一致しません。 |
ExpiryDateFormatInvalidOrNotInThefuture | 認可メッセージで指定された有効期限の形式が正しくないか、有効期限が切れています。 yyyymmdd 形式で指定する必要があります。 |
AuthMessageFormatInvalid | 認可メッセージの形式が無効です。 想定される形式は xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx1.2.3.0/24yyyymmdd です。 |
CannotParseValidCertificateFromRIRPage | 地域インターネット レジストリ (RIR) の Registration Data Access Protocol (RDAP) を使用して IP プレフィックスの公開キーを解析することができません。 |
ROANotFound | 検証用の Route Origin Authorization (ROA) が見つかりません。 |
CertFromRIRPageExpired | 地域インターネット レジストリ (RIR) の Registration Data Access Protocol (RDAP) で指定された公開キーの有効期限が切れています。 |
InvalidPrefixLengthInROA | 指定されたプレフィックスの長さが、Route Origin Authorization (ROA) のプレフィックスと一致しません。 |
RIRNotSupport | ARIN、RIPE、APNIC、AFRINIC、LACNIC に登録されているプレフィックスのみがサポートされます。 |
InvalidCIDRFormat | CIDR 形式が無効です。 想定される形式は 10.10.10.0/16 です。 |
InvalidCIDRFormatInAuthorizationMessage | 認可メッセージ内の CIDR の形式が無効です。 想定される形式は xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx1.2.3.0/24yyyymmdd です。 |
OperationFailedPleaseRetryLaterOrContactSupport | 不明なエラー。 サポートにお問い合せください。 |
注意
委任または使用停止プロセス中に表示されるすべてのメッセージがエラーを示しているわけではありません。一部のメッセージでは単に、より詳細な状態が表示されます。
委任の状態
ステータス メッセージ | 説明 |
---|---|
RegionalCommissioningInProgress | この範囲は、Azure 内でリージョンごとにアドバタイズするように委任されています。 |
CommissionedNoInternetAdvertise | この範囲は現在、Azure 内でリージョンごとにアドバタイズされます。 |
InternetCommissioningInProgress | この範囲は現在、Azure 内でリージョンごとにアドバタイズしており、インターネットへのアドバタイズを委任されています。 |
使用停止の状態
ステータス メッセージ | 説明 |
---|---|
InternetDecommissioningInProgress | この範囲は現在、使用停止されています。 この範囲はインターネットに公開されなくなります。 |
RegionalDecommissioningInProgress | この範囲はインターネットにアドバタイズされなくなり、現在使用停止されています。 この範囲は、Azure 内でリージョンごとに公開されなくなります。 |
委任のエラー
エラー メッセージ | 説明 |
---|---|
CommissionFailedRangeNotAdvertised | この範囲は、Azure 内でまたはインターネットに対しリージョンごとにアドバタイズできませんでした。 |
CommissionFailedRangeRegionallyAdvertised | この範囲は、インターネットにアドバタイズできませんでしたが、Azure 内でアドバタイズされています。 |
CommissionFailedRangeInternetAdvertised | この範囲は、最適にアドバタイズできませんでしたが、インターネットにも Azure 内でもアドバタイズされています。 |
使用停止のエラー
エラー メッセージ | 説明 |
---|---|
DecommissionFailedRangeInternetAdvertised | この範囲は使用停止にできず、引き続きインターネットにも Azure 内でもアドバタイズされています。 |
DecommissionFailedRangeRegionallyAdvertised | この範囲は使用停止にできず、Azure 内では引き続きアドバタイズされますが、インターネットにはアドバタイズされなくなります。 |
次のステップ
カスタム IP プレフィックスを使用する場合のシナリオと利点の詳細については、「カスタム IP アドレス プレフィックス (BYOIP)」を参照してください。
Azure portal を使用してカスタム IP アドレス プレフィックスを作成するには、「Azure portal を使用してカスタム IP アドレス プレフィックスを作成する」を参照してください。
PowerShell を使用してカスタム IP アドレス プレフィックスを作成するには、「Azure PowerShell を使用してカスタム IP アドレス プレフィックスを作成する」を参照してください。