Tworzenie niestandardowego prefiksu adresu IPv4 przy użyciu interfejsu wiersza polecenia platformy Azure

  • Artykuł

Niestandardowy prefiks adresu IPv4 umożliwia przenoszenie własnych zakresów IPv4 do firmy Microsoft i kojarzenie go z subskrypcją platformy Azure. Zakres będzie nadal własnością Ciebie, choć firma Microsoft będzie mogła reklamować go do Internetu. Niestandardowy prefiks adresu IP działa jako zasób regionalny, który reprezentuje ciągły blok adresów IP należących do klienta.

Kroki opisane w tym artykule szczegółowo opisują proces wykonywania następujących czynności:

  • Przygotowywanie zakresu do aprowizacji

  • Aprowizuj zakres alokacji adresów IP

  • Włączanie anonsowania zakresu przez firmę Microsoft

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
  • Ten samouczek wymaga wersji 2.28 lub nowszej interfejsu wiersza polecenia platformy Azure (możesz uruchomić polecenie az version, aby określić, które masz). W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.
  • Zaloguj się do interfejsu wiersza polecenia platformy Azure i upewnij się, że wybrano subskrypcję, z którą chcesz korzystać z tej funkcji przy użyciu polecenia az account.
  • Zakres adresów IPv4 należących do klienta do aprowizacji na platformie Azure.
    • W tym przykładzie jest używany przykładowy zakres klientów (1.2.3.0/24). Ten zakres nie zostanie zweryfikowany przez platformę Azure. Zastąp przykładowy zakres twoimi.

Uwaga

W przypadku problemów napotkanych podczas procesu aprowizacji zobacz Rozwiązywanie problemów z niestandardowym prefiksem IP.

Kroki wstępnej aprowizacji

Aby korzystać z funkcji BYOIP platformy Azure, przed aprowizowaniem zakresu adresów IPv4 należy wykonać następujące czynności.

Wymagania i gotowość prefiksu

  • Zakres adresów musi być własnością Użytkownika i zarejestrowany pod Twoją nazwą z jednym z pięciu głównych regionalnych rejestrów internetowych:

  • Zakres adresów nie może być mniejszy niż /24, więc zostanie zaakceptowany przez dostawców usług internetowych.

  • Dokument RoA (Route Origin Authorization), który autoryzuje firmę Microsoft do anonsowania zakresu adresów, musi zostać wypełniony przez klienta w odpowiedniej witrynie internetowej rejestru internetowego routingu (RIR) lub za pośrednictwem interfejsu API. RIR będzie wymagać, aby roA została podpisana cyfrowo przy użyciu infrastruktury kluczy publicznych zasobów (RPKI) wystąpienia zarezerwowanego.

    W przypadku tego roa:

    • Źródło JAKO musi być wymienione jako 8075 dla chmury publicznej. (Jeśli zakres zostanie dołączony do chmury US Gov, źródło AS musi być wymienione jako 8070).

    • Data zakończenia ważności (data wygaśnięcia) musi uwzględniać czas, w którym zamierzasz anonsować prefiks firmy Microsoft. Niektóre RIR nie przedstawiają daty zakończenia ważności jako opcji i lub wybierają datę dla Ciebie.

    • Długość prefiksu powinna dokładnie odpowiadać prefiksom, które mogą być anonsowane przez firmę Microsoft. Jeśli na przykład planujesz przenieść 1.2.3.0/24 i 2.3.4.0/23 do firmy Microsoft, powinny mieć obie nazwy.

    • Po zakończeniu i przesłaniu roA poczekaj co najmniej 24 godziny na udostępnienie go firmie Microsoft, gdzie zostanie zweryfikowana w celu określenia jego autentyczności i poprawności w ramach procesu aprowizacji.

Uwaga

Zaleca się również utworzenie roA dla istniejącej nazwy ASN, która reklamuje zakres, aby uniknąć problemów podczas migracji.

Ważne

Chociaż firma Microsoft nie przestanie reklamować zakresu po określonej dacie, zdecydowanie zaleca się niezależne utworzenie kolejnej umowy ROA, jeśli oryginalna data wygaśnięcia została uchwalona, aby uniknąć nieakceptowania reklam przez zewnętrznych przewoźników.

Gotowość certyfikatu

Aby autoryzować firmę Microsoft do skojarzenia prefiksu z subskrypcją klienta, należy porównać certyfikat publiczny z podpisanym komunikatem.

Poniższe kroki pokazują kroki wymagane do przygotowania przykładowego zakresu klientów (1.2.3.0/24) do aprowizacji w chmurze publicznej.

Uwaga

Wykonaj następujące polecenia w programie PowerShell z zainstalowanym programem OpenSSL.

  1. Należy utworzyć certyfikat X509 z podpisem własnym, aby dodać go do rekordu KtoTo is/RDAP dla prefiksu. Aby uzyskać informacje o RDAP, zobacz witryny ARIN, RIPE, APNIC i AFRINIC .

    Poniżej przedstawiono przykład użycia zestawu narzędzi OpenSSL. Następujące polecenia generują parę kluczy RSA i tworzą certyfikat X509 przy użyciu pary kluczy, która wygasa w ciągu sześciu miesięcy:

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Po utworzeniu certyfikatu zaktualizuj sekcję komentarzy publicznych rekordu KtoTo is/RDAP dla prefiksu. Aby wyświetlić na potrzeby kopiowania, w tym nagłówka BEGIN/END/stopki z kreskami, użyj polecenia cat byoippublickey.cer Powinno być możliwe wykonanie tej procedury za pośrednictwem rejestru internetowego routingu.

    Poniżej znajdują się instrukcje dotyczące każdego rejestru:

    • ARIN — edytuj "Komentarze" rekordu prefiksu.

    • RIPE — edytuj "Uwagi" rekordu inetnum.

    • APNIC — edytuj "Uwagi" rekordu inetnum przy użyciu myAPNIC.

    • AFRINIC - edytuj "Uwagi" rekordu inetnum przy użyciu MyAFRINIC.

    • W przypadku zakresów z rejestru LACNIC utwórz bilet pomocy technicznej z firmą Microsoft.

    Po wypełnieniu komentarzy publicznych rekord KtoTo is/RDAP powinien wyglądać podobnie do poniższego przykładu. Upewnij się, że nie ma spacji ani powrotów karetki. Dołącz wszystkie kreski:

    Screenshot of example certificate comment

  3. Aby utworzyć komunikat, który zostanie przekazany do firmy Microsoft, utwórz ciąg zawierający odpowiednie informacje o prefiksie i subskrypcji. Podpisz ten komunikat za pomocą pary kluczy wygenerowanej w powyższych krokach. Użyj poniższego formatu, zastępując identyfikator subskrypcji, prefiks do aprowizacji i datę wygaśnięcia zgodną z datą ważności w roa. Upewnij się, że format jest w tej kolejności.

    Użyj następującego polecenia, aby utworzyć podpisany komunikat, który zostanie przekazany do firmy Microsoft w celu weryfikacji.

    Uwaga

    Jeśli data zakończenia ważności nie została uwzględniona w oryginalnym roa, wybierz datę odpowiadającą dacie, o której zamierzasz anonsować prefiks przez platformę Azure. Należy również pamiętać, że firma Microsoft nie przestanie reklamować zakresu po określonej dacie, ale zaleca się niezależne utworzenie monitu ROA, jeśli oryginalna data wygaśnięcia została upłynął.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Aby wyświetlić zawartość podpisanej wiadomości, wprowadź zmienną utworzoną wcześniej z podpisanego komunikatu i wybierz klawisz Enter w wierszu polecenia programu PowerShell:

    $byoipauthsigned
dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==

Kroki aprowizacji

W poniższych krokach przedstawiono procedurę aprowizacji przykładowego zakresu klientów (1.2.3.0/24) do regionu Zachodnie stany USA 2.

Uwaga

Czynności czyszczenia lub usuwania nie są wyświetlane na tej stronie, biorąc pod uwagę charakter zasobu. Aby uzyskać informacje na temat usuwania aprowizowanego niestandardowego prefiksu IP, zobacz Zarządzanie niestandardowym prefiksem adresu IP.

Tworzenie grupy zasobów i określanie prefiksu i komunikatów autoryzacji

Utwórz grupę zasobów w żądanej lokalizacji na potrzeby aprowizacji zakresu BYOIP.

  az group create \
    --name myResourceGroup \
    --location westus2

Aprowizuj niestandardowy prefiks adresu IP

Następujące polecenie tworzy niestandardowy prefiks ADRESU IP w określonym regionie i grupie zasobów. Określ dokładny prefiks w notacji CIDR jako ciąg, aby upewnić się, że nie ma błędu składni. W przypadku parametru --authorization-message użyj zmiennej $byoipauth zawierającej identyfikator subskrypcji, prefiks do aprowizacji i datę wygaśnięcia zgodną z datą ważności w roa. Upewnij się, że format jest w tej kolejności. Użyj $byoipauthsigned zmiennej dla parametru utworzonego --signed-message w sekcji gotowość certyfikatu.

  byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
  
  az network custom-ip prefix create \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --location westus2 \
    --cidr ‘1.2.3.0/24’ \
    --zone 1 2 3
    --authorization-message $byoipauth \
    --signed-message $byoipauthsigned

Zakres zostanie wypchnięty do potoku wdrażania adresów IP platformy Azure. Proces wdrażania jest asynchroniczny. Aby określić stan, wykonaj następujące polecenie:

 az network custom-ip prefix show \
   --name myCustomIpPrefix \
   --resource-group myResourceGroup

Poniżej przedstawiono przykładowe dane wyjściowe, a niektóre pola zostały usunięte w celu uzyskania jasności:

{
  "cidr": "1.2.3.0/24",
  "commissionedState": "Provisioning",
  "id": "/subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/myCustomIpPrefix",
  "location": "westus2",
  "name": myCustomIpPrefix,
  "resourceGroup": "myResourceGroup",
}

Pole CommissionedState powinno początkowo zawierać zakres aprowizacji, a następnie w przyszłości przez aprowizowanie.

Uwaga

Szacowany czas ukończenia procesu aprowizacji wynosi 30 minut.

Ważne

Po utworzeniu niestandardowego prefiksu adresu IP w stanie Aprowizacja można utworzyć podrzędny prefiks publicznego adresu IP. Te prefiksy publicznych adresów IP i wszystkie publiczne adresy IP mogą być dołączone do zasobów sieciowych. Na przykład interfejsy sieciowe maszyny wirtualnej lub frontony modułu równoważenia obciążenia. Adresy IP nie będą ogłaszane i dlatego nie będą osiągalne. Aby uzyskać więcej informacji na temat migracji aktywnego prefiksu, zobacz Zarządzanie niestandardowym prefiksem IP.

Prowizja niestandardowego prefiksu adresu IP

Gdy niestandardowy prefiks ADRESU IP jest w stanie Aprowizacja , następujące polecenie aktualizuje prefiks, aby rozpocząć proces anonsowania zakresu z platformy Azure.

az network custom-ip prefix update \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --state commission

Tak jak poprzednio, operacja jest asynchroniczna. Użyj polecenia az network custom-ip prefix show , aby pobrać stan. Pole CommissionedState początkowo pokaże prefiks jako Komisja, a następnie w przyszłości przez Komisję. Wdrożenie reklamy nie jest binarne, a zakres będzie częściowo reklamowany, mimo że nadal jest w komisji.

Uwaga

Szacowany czas pełnego ukończenia procesu prowizji wynosi 3–4 godziny.

Ważne

W miarę przejścia niestandardowego prefiksu IP do stanu Zlecona zakres jest anonsowany z firmą Microsoft z lokalnego regionu platformy Azure i globalnie do Internetu przez sieć rozległą firmy Microsoft w ramach autonomicznego numeru systemu (ASN) 8075. Reklamowanie tego samego zakresu do Internetu z lokalizacji innej niż firma Microsoft w tym samym czasie może potencjalnie spowodować niestabilność routingu BGP lub utratę ruchu. Na przykład budynek lokalny klienta. Zaplanuj migrację aktywnego zakresu w okresie konserwacji, aby uniknąć wpływu. Ponadto możesz skorzystać z funkcji prowizji regionalnej, aby umieścić niestandardowy prefiks IP w stanie, w którym jest anonsowany tylko w regionie platformy Azure, w którym jest wdrażany — zobacz Zarządzanie niestandardowym prefiksem adresu IP (BYOIP), aby uzyskać więcej informacji.

Następne kroki