Een aangepast IPv4-adresvoorvoegsel maken met behulp van Azure PowerShell

Met een aangepast IPv4-adresvoorvoegsel kunt u uw eigen IPv4-bereiken overbrengen naar Microsoft en deze koppelen aan uw Azure-abonnement. U blijft eigenaar van het bereik terwijl Microsoft dit mag adverteren op internet. Een aangepast IP-adresvoorvoegsel fungeert als een regionale resource die een aaneengesloten blok ip-adressen van de klant vertegenwoordigt.

In de stappen in dit artikel wordt het proces voor het volgende beschreven:

• Een bereik voorbereiden om in te richten

• Het bereik inrichten voor IP-toewijzing

• Het bereik laten adverteren door Microsoft

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken
• Azure PowerShell is lokaal geïnstalleerd of Azure Cloud Shell.
• Meld u aan bij Azure PowerShell en zorg ervoor dat u het abonnement hebt geselecteerd waarmee u deze functie wilt gebruiken. Zie Aanmelden met Azure PowerShell voor meer informatie.
• Zorg ervoor dat uw Az.Network module 5.1.1 of hoger is. Gebruik de opdracht Get-InstalledModule -Name "Az.Network"om de geïnstalleerde module te controleren. Als voor de module een update is vereist, gebruikt u indien nodig de opdracht Update-Module -Name "Az.Network" .
• Een IPv4-bereik dat eigendom is van een klant om in Azure in te richten.
  • In dit voorbeeld wordt een voorbeeld van een klantbereik (1.2.3.0/24) gebruikt. Dit bereik wordt niet gevalideerd door Azure. Vervang het voorbeeldbereik door die van u.

Als u PowerShell lokaal wilt installeren en gebruiken, is voor dit artikel versie 5.4.1 of hoger van de Azure PowerShell-module vereist. Voer Get-Module -ListAvailable Az uit om te kijken welke versie is geïnstalleerd. Als u PowerShell wilt upgraden, raadpleegt u De Azure PowerShell-module installeren. Als u PowerShell lokaal uitvoert, moet u ook Connect-AzAccount uitvoeren om verbinding te kunnen maken met Azure.

Notitie

Zie Probleemoplossing voor aangepast IP-voorvoegsel voor problemen die zijn opgetreden tijdens het inrichtingsproces.

Stappen voor vooraf inrichten

Als u de Azure BYOIP-functie wilt gebruiken, moet u de volgende stappen uitvoeren voordat u uw IPv4-adresbereik inricht.

Vereisten en gereedheid voor voorvoegsel

• Het adresbereik moet eigendom zijn van u en geregistreerd zijn onder uw naam met een van de vijf belangrijkste regionale internetregisters:

  • American Registry for Internet Numbers (ARIN)
  • Réseaux IP Européens Network Coordination Centre (RIPE NCC)
  • Asia Pacific Network Information Centre Regional Internet Registries (APNIC)
  • Latijns-Amerika en Caribisch Netwerkinformatiecentrum (LACNIC)
  • African Network Information Centre (AFRINIC)

• Het adresbereik mag niet kleiner zijn dan een /24, zodat het wordt geaccepteerd door internetproviders.

• Een ROA-document (Route Origin Authorization) dat Microsoft machtigt om het adresbereik te adverteren, moet worden ingevuld door de klant op de juiste rir-website (Routing Internet Registry) of via hun API. De RIR vereist dat de ROA digitaal wordt ondertekend met de Resource Public Key Infrastructure (RPKI) van uw RIR.

  Voor deze ROA:

  • De Origin AS moet worden vermeld als 8075 voor de openbare cloud. (Als het bereik wordt ge onboardd naar de US Gov-cloud, moet de Origin AS worden vermeld als 8070.)

  • De geldigheidseinddatum (vervaldatum) moet rekening houden met de tijd waarop u het voorvoegsel wilt laten adverteren door Microsoft. Sommige RIR's bevatten geen geldigheidseinddatum als optie en of kies de datum voor u.

  • De lengte van het voorvoegsel moet exact overeenkomen met de voorvoegsels die door Microsoft kunnen worden geadverteerd. Als u bijvoorbeeld van plan bent om 1.2.3.0/24 en 2.3.4.0/23 naar Microsoft te brengen, moeten ze beide een naam hebben.

  • Nadat de ROA is voltooid en ingediend, kan het ten minste 24 uur duren voordat deze beschikbaar is voor Microsoft, waar wordt gecontroleerd of het echt en correct is als onderdeel van het inrichtingsproces.

Notitie

Het wordt ook aanbevolen om een ROA te maken voor alle bestaande ASN's die het bereik adverteren om problemen tijdens de migratie te voorkomen.

Belangrijk

Hoewel Microsoft niet stopt met het adverteren van het bereik na de opgegeven datum, wordt het sterk aanbevolen om onafhankelijk een follow-up ROA te maken als de oorspronkelijke vervaldatum is verstreken om te voorkomen dat externe providers de advertentie niet accepteren.

Gereedheid van certificaten

Als u Microsoft wilt machtigen om een voorvoegsel te koppelen aan een klantabonnement, moet een openbaar certificaat worden vergeleken met een ondertekend bericht.

In de volgende stappen ziet u de stappen die nodig zijn voor het voorbereiden van het voorbeeld van het klantbereik (1.2.3.0/24) voor inrichting in de openbare cloud.

Notitie

Voer de volgende opdrachten uit in PowerShell met OpenSSL geïnstalleerd.

1. Er moet een zelfondertekend X509-certificaat worden gemaakt om toe te voegen aan de Wie is/RDAP-record voor het voorvoegsel. Zie de sites ARIN, RIPE, APNIC en AFRINIC voor meer informatie over RDAP.

   Hieronder ziet u een voorbeeld van de OpenSSL-toolkit. De volgende opdrachten genereren een RSA-sleutelpaar en maken een X509-certificaat met behulp van het sleutelpaar dat over zes maanden verloopt:

   ./openssl genrsa -out byoipprivate.key 2048
   Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
   

2. Nadat het certificaat is gemaakt, werkt u de sectie met openbare opmerkingen van de Wie is/RDAP-record voor het voorvoegsel bij. Als u wilt weergeven voor kopiëren, inclusief de BEGIN/END-koptekst/voettekst met streepjes, gebruikt u de opdracht cat byoippublickey.cer U moet deze procedure kunnen uitvoeren via uw internetregister voor routering.

   Instructies voor elk register zijn hieronder:

   • ARIN : bewerk de "Opmerkingen" van de voorvoegselrecord.

   • RIPE - bewerk de "Opmerkingen" van de inetnum record.

   • APNIC : bewerk de opmerkingen van de inetnum-record met behulp van MyAPNIC.

   • AFRINIC - bewerk de "Opmerkingen" van de inetnum record met behulp van MyAFRINIC.

   • Maak een ondersteuningsticket met Microsoft voor bereiken van het LACNIC-register.

   Nadat de openbare opmerkingen zijn ingevuld, moet de Wie is/RDAP-record eruitzien zoals in het onderstaande voorbeeld. Zorg ervoor dat er geen spaties of regelterugloops zijn. Alle streepjes opnemen:

   

3. Als u het bericht wilt maken dat wordt doorgegeven aan Microsoft, maakt u een tekenreeks die relevante informatie over uw voorvoegsel en abonnement bevat. Onderteken dit bericht met het sleutelpaar dat is gegenereerd in de bovenstaande stappen. Gebruik de onderstaande indeling, waarbij u uw abonnements-id, voorvoegsel vervangt dat moet worden ingericht en de vervaldatum die overeenkomt met de geldigheidsdatum op de ROA. Zorg ervoor dat de indeling zich in die volgorde bevindt.

   Gebruik de volgende opdracht om een ondertekend bericht te maken dat wordt doorgegeven aan Microsoft voor verificatie.

   Notitie

   Als de geldigheidseinddatum niet is opgenomen in de oorspronkelijke ROA, kiest u een datum die overeenkomt met de tijd waarop u het voorvoegsel wilt laten adverteren door Azure.

   $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
   Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
   ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
   $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
   

4. Als u de inhoud van het ondertekende bericht wilt weergeven, voert u de variabele in die is gemaakt op basis van het ondertekende bericht dat u eerder hebt gemaakt en selecteert u Enter bij de PowerShell-prompt:

   $byoipauthsigned
   dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
   

Inrichtingsstappen

In de volgende stappen wordt de procedure weergegeven voor het inrichten van een voorbeeld van een klantbereik (1.2.3.0/24) naar de regio US - west 2.

Notitie

Stappen voor opschonen of verwijderen worden niet weergegeven op deze pagina, gezien de aard van de resource. Zie Aangepast IP-voorvoegsel beheren voor meer informatie over het verwijderen van een aangepast IP-voorvoegsel.

Een resourcegroep maken en het voorvoegsel en autorisatieberichten opgeven

Maak een resourcegroep op de gewenste locatie voor het inrichten van het BYOIP-bereik.

$rg =@{
    Name = 'myResourceGroup'
    Location = 'WestUS2'
}
New-AzResourceGroup @rg

Een aangepast IP-adresvoorvoegsel inrichten

Met de volgende opdracht maakt u een aangepast IP-voorvoegsel in de opgegeven regio en resourcegroep. Geef het exacte voorvoegsel in CIDR-notatie op als een tekenreeks om ervoor te zorgen dat er geen syntaxisfout optreedt. Vervang voor de -AuthorizationMessage parameter de abonnements-id, het voorvoegsel dat moet worden ingericht en de vervaldatum die overeenkomt met de geldigheidsdatum op de ROA. Zorg ervoor dat de indeling zich in die volgorde bevindt. Gebruik de variabele $byoipauthsigned voor de -SignedMessage parameter die is gemaakt in de sectie gereedheid van het certificaat.

$prefix =@{
    Name = 'myCustomIPPrefix'
    ResourceGroupName = 'myResourceGroup'
    Location = 'WestUS2'
    CIDR = '1.2.3.0/24'
    AuthorizationMessage = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd'
    SignedMessage = $byoipauthsigned
}
$myCustomIpPrefix = New-AzCustomIPPrefix @prefix -Zone 1,2,3

Het bereik wordt gepusht naar de Azure IP-implementatiepijplijn. Het implementatieproces is asynchroon. Voer de volgende opdracht uit om de status te bepalen:

Get-AzCustomIpPrefix -ResourceId $myCustomIpPrefix.Id

Voorbeelduitvoer wordt hieronder weergegeven, waarbij sommige velden ter duidelijkheid zijn verwijderd:

Name              : myCustomIpPrefix
ResourceGroupName : myResourceGroup
Location          : westus2
Id                : /subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/MyCustomIPPrefix
Cidr              : 1.2.3.0/24
Zones             : {1, 2, 3}
CommissionedState : Provisioning

Het veld CommissionedState moet het bereik in eerste instantie weergeven als Inrichten , gevolgd in de toekomst door Ingericht.

Notitie

De geschatte tijd voor het voltooien van het inrichtingsproces is 30 minuten.

Belangrijk

Nadat het aangepaste IP-voorvoegsel de status Ingericht heeft, kan er een onderliggend openbaar IP-voorvoegsel worden gemaakt. Deze openbare IP-voorvoegsels en eventuele openbare IP-adressen kunnen worden gekoppeld aan netwerkresources. Bijvoorbeeld netwerkinterfaces voor virtuele machines of front-ends van load balancer. De IP-adressen worden niet geadverteerd en zijn daarom niet bereikbaar. Zie Een aangepast IP-voorvoegsel beheren voor meer informatie over een migratie van een actief voorvoegsel.

Commissie het voorvoegsel van het aangepaste IP-adres

Wanneer het aangepaste IP-voorvoegsel de status Ingericht heeft, wordt met de volgende opdracht het voorvoegsel bijgewerkt om te beginnen met het adverteren van het bereik van Azure.

Update-AzCustomIpPrefix -ResourceId $myCustomIPPrefix.Id -Commission

Net als voorheen is de bewerking asynchroon. Gebruik Get-AzCustomIpPrefix om de status op te halen. In het veld CommissionedState wordt in eerste instantie het voorvoegsel weergegeven als Commissie, gevolgd door Commissie. De advertentie-implementatie is niet binair en het bereik wordt gedeeltelijk aangekondigd terwijl het nog steeds in gebruik is.

Notitie

De geschatte tijd om het inbedrijfstellingsproces volledig te voltooien is 3-4 uur.

Belangrijk

Naarmate het aangepaste IP-voorvoegsel overgaat naar een geprovisieeerde status, wordt het bereik geadverteerd met Microsoft van de lokale Azure-regio en wereldwijd naar internet via het Wide Area Network van Microsoft onder ASN 8075 (Autonomous System Number). Het adverteren van hetzelfde bereik naar internet vanaf een andere locatie dan Microsoft kan mogelijk leiden tot instabiliteit van BGP-routering of verkeersverlies. Bijvoorbeeld een on-premises gebouw van een klant. Plan een migratie van een actief bereik tijdens een onderhoudsperiode om impact te voorkomen. Daarnaast kunt u profiteren van de functie voor regionale commissie om een aangepast IP-voorvoegsel in een staat te plaatsen waarin het alleen wordt geadverteerd binnen de Azure-regio waarin het wordt geïmplementeerd. Zie Een aangepast IP-adresvoorvoegsel (BYOIP) beheren voor meer informatie.

Volgende stappen

• Zie Aangepast IP-adresvoorvoegsel (BYOIP) voor meer informatie over scenario's en voordelen van het gebruik van een aangepast IP-voorvoegsel.

• Zie Een aangepast IP-adresvoorvoegsel (BYOIP) beheren voor meer informatie over het beheren van een aangepast IP-voorvoegsel.

• Zie Aangepast IP-adresvoorvoegsel maken met behulp van de Azure CLI om een aangepast IP-adresvoorvoegsel te maken met behulp van de Azure CLI.

• Als u een aangepast IP-adresvoorvoegsel wilt maken met behulp van Azure Portal, raadpleegt u Een aangepast IP-adresvoorvoegsel maken met behulp van Azure Portal.