Udostępnij za pośrednictwem

Jak tworzyć prefiksy adresów IP i zarządzać nimi

  • Artykuł

W tym artykule wyjaśniono główne operacje zarządzania prefiksami adresów IP i regułami prefiksów IP w narzędziu Operator Nexus platformy Azure.

Operacje prefiksu IP

Tworzenie prefiksu adresu IP

Aby utworzyć zasób prefiksu IP, wykonaj następujące kroki:

  1. Określ właściwości i reguły zasobu prefiksu IP. Możesz użyć następującego polecenia azcli jako odwołania: 

    az networkfabric ipprefix create--resource-group myResourceGroup \
  --name myIpPrefix \
  --location eastus \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20

    Właściwości i reguły zasobu prefiksu IP to:

    • resource-group: nazwa grupy zasobów, w której chcesz utworzyć zasób prefiksu IP. 

    • name: nazwa zasobu prefiksu IP. 

    • location: region świadczenia usługi Azure, w którym chcesz utworzyć zasób prefiksu IP. 

    • ip-prefix-rules: lista reguł, które definiują kryteria dopasowania i akcję dla zasobu prefiksu IP. Każda reguła ma następujące właściwości:

      • action: akcja, która ma być wykonywana po spełnieniu warunku. Może to być wartość Permit lub Deny. Permit oznacza, aby zezwolić na trasę i Deny oznacza odrzucenie trasy. 

      • condition: warunek porównywania prefiksu sieciowego trasy z prefiksem sieciowym reguły. Może to być jedna z następujących wartości:

        • EqualTo: Warunek ma wartość true, gdy prefiks sieciowy trasy jest równy prefiksowi sieci reguły. 

        • NotEqualTo: Warunek ma wartość true, gdy prefiks sieciowy trasy nie jest równy prefiksowi sieci reguły. 

        • GreaterThanOrEqualTo: Warunek ma wartość true, gdy prefiks sieciowy trasy jest większy lub równy prefiksowi sieci reguły.

      • networkPrefix: segment sieci zgodny. Jest to adres IP i długość prefiksu, na przykład 10.10.10.0/28 lub 2001:db8::/64. W przypadku protokołu IPv4 długość prefiksu musi wynosić od 1 do 32. W przypadku protokołu IPv6 długość prefiksu musi wynosić od 1 do 128.

      • sequenceNumber: kolejność oceny reguły, od najniższej do najwyższej. Reguła o najniższym numerze sekwencji jest obliczana jako pierwsza, a reguła o najwyższym numerze sekwencji jest obliczana jako ostatnia. Jeśli reguła jest zgodna z trasą, ocena zostanie zatrzymana, a akcja reguły zostanie wykonana. Jeśli żadna reguła nie pasuje do trasy, domyślna akcja to Odmów. 

  2. Utwórz zasób prefiksu IP przy użyciu polecenia azcli. Możesz użyć tego samego polecenia co w poprzednim kroku lub zmodyfikować je zgodnie z wymaganiami.

  3. Sprawdź, czy zasób prefiksu IP został pomyślnie utworzony. Możesz użyć az networkfabric ipprefix show polecenia , aby wyświetlić szczegóły zasobu prefiksu IP. Możesz użyć następującego przykładu jako odwołania: 

    az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix 

W tym przykładzie jest nazwą grupy zasobów, myResourceGroup w której utworzono zasób prefiksu IP, i myIpPrefix jest nazwą zasobu prefiksu IP. 

Odpowiedź powinna zawierać właściwości i reguły zasobu prefiksu IP, takie jak identyfikator, typ, ipPrefixRules, lokalizacja, nazwa, provisioningState, resourceGroup i tagi. 

Pokaż zasób prefiksu IP

Aby uzyskać szczegółowe informacje o istniejącym zasobie prefiksu IP według jego identyfikatora lub nazwy, użyj następującego polecenia: 

# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix

Treść odpowiedzi interfejsu API REST jest następująca: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
  "location": "eastus",
  "name": "myIpPrefix",
  "properties": {
    "ipPrefixRules": [
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "10.10.10.0/28",
        "sequenceNumber": 10
      },
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "20.20.20.0/24",
        "sequenceNumber": 20
      }
    ]
  }
}

Aktualizowanie zasobu prefiksu IP

Aby zaktualizować zasób prefiksu IP, wykonaj następujące kroki:

  1. Określ właściwości i reguły zasobu prefiksu IP, który chcesz zaktualizować. Możesz użyć tego samego szablonu JSON co w poprzedniej sekcji lub zmodyfikować go zgodnie z wymaganiami. 

  2. Zaktualizuj zasób prefiksu IP przy użyciu polecenia interfejsu wiersza polecenia platformy Azure lub metody interfejsu API REST. Możesz użyć następujących przykładów jako odwołania: 

    az networkfabric ipprefix update  \
  -g "example-rg" \
  --resource-name "example-ipprefix" \
  --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"

W tym przykładzie jest nazwą grupy zasobów, resourceGroupName w której utworzono zasób prefiksu IP, ipPrefixName jest nazwą zasobu prefiksu IP, a --add opcja dodaje nową regułę do właściwości ipPrefixRules. Nowa reguła odrzuca trasy z prefiksem sieci 30.30.30.0/24 i ma numer sekwencji 30. 

Usuwanie zasobu prefiksu IP

Aby usunąć istniejący zasób prefiksu IP według jego identyfikatora lub nazwy, użyj następującego polecenia: 

# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
  --resource-group myResourceGroup \
  --name myIpPrefix

Treść żądania interfejsu API REST dotycząca usuwania zasobu prefiksu IP według jego identyfikatora jest następująca: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}

Przykładowe zasoby prefiksu IP

ipprefixv4-externalnetwork1-export

Ten zasób służy do zarządzania regułami ruchu sieciowego dla określonej sieci zewnętrznej w grupie zasobów. Zawiera reguły zezwalające na ruch do prefiksów sieci 20.20.20.0/24 i 50.50.0/24, ale odmawiają ruchu do prefiksu sieciowego 10.10.10.0/28. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
  "ipPrefixRules": [
    {
      "action": "Deny",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "50.50.50.0/24",
      "sequenceNumber": 13
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-externalnetwork1-export",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Ten zasób blokuje ruch do prefiksu sieciowego 10.10.10.0/28 i zezwala na ruch do prefiksów sieci 20.20.20.0/24 i 50.50.50.0/24.

ipprefixv4-1204-cn1

Ten zasób służy do zarządzania regułami ruchu sieciowego dla określonej sieci w grupie zasobów. Zawiera reguły zezwalające na ruch do prefiksów sieci 10.10.10.0/28 i 20.20.20.0/24. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-1204-cn1",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Ten zasób zezwala na ruch do prefiksów sieci 10.10.10.0/28 i 20.20.20.0/24.

ipprefix-v6-ingress

Ten zasób znajduje się w eastus regionie i jest częścią grupy zasobów. Jest ona skonfigurowana, ale obecnie wyłączona. Zasób jest typu microsoft.managednetworkfabric/ipprefixes.

Zasób ma dwie reguły prefiksu IP:

  1. Zezwala na ruch z prefiksów sieciowych, które są większe lub równe fda0:d59c:db12:::/59 z maską podsieci o długości 59. 

  2. Zezwala na ruch z prefiksów sieci, które są większe lub równe fc00:f853:ccd:e793::/64 z maską podsieci o długości 64. 

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fda0:d59c:db12::/59",
      "sequenceNumber": 10,
      "subnetMaskLength": "59"
    },
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fc00:f853:ccd:e793::/64",
      "sequenceNumber": 20,
      "subnetMaskLength": "64"
    }
  ],
  "location": "eastus",
  "name": "ipprefix-v6-ingress",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Ten zasób jest skonfigurowany do zezwalania na ruch IPv6 z określonych prefiksów sieci.