Tworzenie niestandardowego prefiksu adresu IPv4 przy użyciu interfejsu wiersza polecenia platformy Azure
Niestandardowy prefiks adresu IPv4 umożliwia przenoszenie własnych zakresów IPv4 do firmy Microsoft i kojarzenie go z subskrypcją platformy Azure. Zakres będzie nadal własnością Ciebie, choć firma Microsoft będzie mogła reklamować go do Internetu. Niestandardowy prefiks adresu IP działa jako zasób regionalny, który reprezentuje ciągły blok adresów IP należących do klienta.
Kroki opisane w tym artykule szczegółowo opisują proces wykonywania następujących czynności:
Przygotowywanie zakresu do aprowizacji
Aprowizuj zakres alokacji adresów IP
Włączanie anonsowania zakresu przez firmę Microsoft
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto platformy Azure.
Wymagania wstępne
Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
- Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
- Ten samouczek wymaga wersji 2.28 lub nowszej interfejsu wiersza polecenia platformy Azure (możesz uruchomić polecenie az version, aby określić, które masz). W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.
- Zaloguj się do interfejsu wiersza polecenia platformy Azure i upewnij się, że wybrano subskrypcję, z którą chcesz korzystać z tej funkcji przy użyciu polecenia
az account
. - Zakres adresów IPv4 należących do klienta do aprowizacji na platformie Azure.
- W tym przykładzie jest używany przykładowy zakres klientów (1.2.3.0/24). Ten zakres nie zostanie zweryfikowany przez platformę Azure. Zastąp przykładowy zakres twoimi.
Uwaga
W przypadku problemów napotkanych podczas procesu aprowizacji zobacz Rozwiązywanie problemów z niestandardowym prefiksem IP.
Kroki wstępnej aprowizacji
Aby korzystać z funkcji BYOIP platformy Azure, przed aprowizowaniem zakresu adresów IPv4 należy wykonać następujące czynności.
Wymagania i gotowość prefiksu
Zakres adresów musi być własnością Użytkownika i zarejestrowany pod Twoją nazwą z jednym z pięciu głównych regionalnych rejestrów internetowych:
Zakres adresów nie może być mniejszy niż /24, więc zostanie zaakceptowany przez dostawców usług internetowych.
Dokument RoA (Route Origin Authorization), który autoryzuje firmę Microsoft do anonsowania zakresu adresów, musi zostać wypełniony przez klienta w odpowiedniej witrynie internetowej rejestru internetowego routingu (RIR) lub za pośrednictwem interfejsu API. RIR będzie wymagać, aby roA została podpisana cyfrowo przy użyciu infrastruktury kluczy publicznych zasobów (RPKI) wystąpienia zarezerwowanego.
W przypadku tego roa:
Źródło JAKO musi być wymienione jako 8075 dla chmury publicznej. (Jeśli zakres zostanie dołączony do chmury US Gov, źródło AS musi być wymienione jako 8070).
Data zakończenia ważności (data wygaśnięcia) musi uwzględniać czas, w którym zamierzasz anonsować prefiks firmy Microsoft. Niektóre RIR nie przedstawiają daty zakończenia ważności jako opcji i lub wybierają datę dla Ciebie.
Długość prefiksu powinna dokładnie odpowiadać prefiksom, które mogą być anonsowane przez firmę Microsoft. Jeśli na przykład planujesz przenieść 1.2.3.0/24 i 2.3.4.0/23 do firmy Microsoft, powinny mieć obie nazwy.
Po zakończeniu i przesłaniu roA poczekaj co najmniej 24 godziny na udostępnienie go firmie Microsoft, gdzie zostanie zweryfikowana w celu określenia jego autentyczności i poprawności w ramach procesu aprowizacji.
Uwaga
Zaleca się również utworzenie roA dla istniejącej nazwy ASN, która reklamuje zakres, aby uniknąć problemów podczas migracji.
Ważne
Chociaż firma Microsoft nie przestanie reklamować zakresu po określonej dacie, zdecydowanie zaleca się niezależne utworzenie kolejnej umowy ROA, jeśli oryginalna data wygaśnięcia została uchwalona, aby uniknąć nieakceptowania reklam przez zewnętrznych przewoźników.
Gotowość certyfikatu
Aby autoryzować firmę Microsoft do skojarzenia prefiksu z subskrypcją klienta, należy porównać certyfikat publiczny z podpisanym komunikatem.
Poniższe kroki pokazują kroki wymagane do przygotowania przykładowego zakresu klientów (1.2.3.0/24) do aprowizacji w chmurze publicznej.
Uwaga
Wykonaj następujące polecenia w programie PowerShell z zainstalowanym programem OpenSSL.
Należy utworzyć certyfikat X509 z podpisem własnym, aby dodać go do rekordu KtoTo is/RDAP dla prefiksu. Aby uzyskać informacje o RDAP, zobacz witryny ARIN, RIPE, APNIC i AFRINIC .
Poniżej przedstawiono przykład użycia zestawu narzędzi OpenSSL. Następujące polecenia generują parę kluczy RSA i tworzą certyfikat X509 przy użyciu pary kluczy, która wygasa w ciągu sześciu miesięcy:
./openssl genrsa -out byoipprivate.key 2048 Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
Po utworzeniu certyfikatu zaktualizuj sekcję komentarzy publicznych rekordu KtoTo is/RDAP dla prefiksu. Aby wyświetlić na potrzeby kopiowania, w tym nagłówka BEGIN/END/stopki z kreskami, użyj polecenia
cat byoippublickey.cer
Powinno być możliwe wykonanie tej procedury za pośrednictwem rejestru internetowego routingu.Poniżej znajdują się instrukcje dotyczące każdego rejestru:
ARIN — edytuj "Komentarze" rekordu prefiksu.
RIPE — edytuj "Uwagi" rekordu inetnum.
APNIC — edytuj "Uwagi" rekordu inetnum przy użyciu myAPNIC.
AFRINIC - edytuj "Uwagi" rekordu inetnum przy użyciu MyAFRINIC.
W przypadku zakresów z rejestru LACNIC utwórz bilet pomocy technicznej z firmą Microsoft.
Po wypełnieniu komentarzy publicznych rekord KtoTo is/RDAP powinien wyglądać podobnie do poniższego przykładu. Upewnij się, że nie ma spacji ani powrotów karetki. Dołącz wszystkie kreski:
Aby utworzyć komunikat, który zostanie przekazany do firmy Microsoft, utwórz ciąg zawierający odpowiednie informacje o prefiksie i subskrypcji. Podpisz ten komunikat za pomocą pary kluczy wygenerowanej w powyższych krokach. Użyj poniższego formatu, zastępując identyfikator subskrypcji, prefiks do aprowizacji i datę wygaśnięcia zgodną z datą ważności w roa. Upewnij się, że format jest w tej kolejności.
Użyj następującego polecenia, aby utworzyć podpisany komunikat, który zostanie przekazany do firmy Microsoft w celu weryfikacji.
Uwaga
Jeśli data zakończenia ważności nie została uwzględniona w oryginalnym roa, wybierz datę odpowiadającą dacie, o której zamierzasz anonsować prefiks przez platformę Azure. Należy również pamiętać, że firma Microsoft nie przestanie reklamować zakresu po określonej dacie, ale zaleca się niezależne utworzenie monitu ROA, jeśli oryginalna data wygaśnięcia została upłynął.
$byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd" Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
Aby wyświetlić zawartość podpisanej wiadomości, wprowadź zmienną utworzoną wcześniej z podpisanego komunikatu i wybierz klawisz Enter w wierszu polecenia programu PowerShell:
$byoipauthsigned dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
Kroki aprowizacji
W poniższych krokach przedstawiono procedurę aprowizacji przykładowego zakresu klientów (1.2.3.0/24) do regionu Zachodnie stany USA 2.
Uwaga
Czynności czyszczenia lub usuwania nie są wyświetlane na tej stronie, biorąc pod uwagę charakter zasobu. Aby uzyskać informacje na temat usuwania aprowizowanego niestandardowego prefiksu IP, zobacz Zarządzanie niestandardowym prefiksem adresu IP.
Tworzenie grupy zasobów i określanie prefiksu i komunikatów autoryzacji
Utwórz grupę zasobów w żądanej lokalizacji na potrzeby aprowizacji zakresu BYOIP.
az group create \
--name myResourceGroup \
--location westus2
Aprowizuj niestandardowy prefiks adresu IP
Następujące polecenie tworzy niestandardowy prefiks ADRESU IP w określonym regionie i grupie zasobów. Określ dokładny prefiks w notacji CIDR jako ciąg, aby upewnić się, że nie ma błędu składni. W przypadku parametru --authorization-message
użyj zmiennej $byoipauth zawierającej identyfikator subskrypcji, prefiks do aprowizacji i datę wygaśnięcia zgodną z datą ważności w roa. Upewnij się, że format jest w tej kolejności. Użyj $byoipauthsigned zmiennej dla parametru utworzonego --signed-message
w sekcji gotowość certyfikatu.
byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
az network custom-ip prefix create \
--name myCustomIpPrefix \
--resource-group myResourceGroup \
--location westus2 \
--cidr ‘1.2.3.0/24’ \
--zone 1 2 3
--authorization-message $byoipauth \
--signed-message $byoipauthsigned
Zakres zostanie wypchnięty do potoku wdrażania adresów IP platformy Azure. Proces wdrażania jest asynchroniczny. Aby określić stan, wykonaj następujące polecenie:
az network custom-ip prefix show \
--name myCustomIpPrefix \
--resource-group myResourceGroup
Poniżej przedstawiono przykładowe dane wyjściowe, a niektóre pola zostały usunięte w celu uzyskania jasności:
{
"cidr": "1.2.3.0/24",
"commissionedState": "Provisioning",
"id": "/subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/myCustomIpPrefix",
"location": "westus2",
"name": myCustomIpPrefix,
"resourceGroup": "myResourceGroup",
}
Pole CommissionedState powinno początkowo zawierać zakres aprowizacji, a następnie w przyszłości przez aprowizowanie.
Uwaga
Szacowany czas ukończenia procesu aprowizacji wynosi 30 minut.
Ważne
Po utworzeniu niestandardowego prefiksu adresu IP w stanie Aprowizacja można utworzyć podrzędny prefiks publicznego adresu IP. Te prefiksy publicznych adresów IP i wszystkie publiczne adresy IP mogą być dołączone do zasobów sieciowych. Na przykład interfejsy sieciowe maszyny wirtualnej lub frontony modułu równoważenia obciążenia. Adresy IP nie będą ogłaszane i dlatego nie będą osiągalne. Aby uzyskać więcej informacji na temat migracji aktywnego prefiksu, zobacz Zarządzanie niestandardowym prefiksem IP.
Prowizja niestandardowego prefiksu adresu IP
Gdy niestandardowy prefiks ADRESU IP jest w stanie Aprowizacja , następujące polecenie aktualizuje prefiks, aby rozpocząć proces anonsowania zakresu z platformy Azure.
az network custom-ip prefix update \
--name myCustomIpPrefix \
--resource-group myResourceGroup \
--state commission
Tak jak poprzednio, operacja jest asynchroniczna. Użyj polecenia az network custom-ip prefix show , aby pobrać stan. Pole CommissionedState początkowo pokaże prefiks jako Komisja, a następnie w przyszłości przez Komisję. Wdrożenie reklamy nie jest binarne, a zakres będzie częściowo reklamowany, mimo że nadal jest w komisji.
Uwaga
Szacowany czas pełnego ukończenia procesu prowizji wynosi 3–4 godziny.
Ważne
W miarę przejścia niestandardowego prefiksu IP do stanu Zlecona zakres jest anonsowany z firmą Microsoft z lokalnego regionu platformy Azure i globalnie do Internetu przez sieć rozległą firmy Microsoft w ramach autonomicznego numeru systemu (ASN) 8075. Reklamowanie tego samego zakresu do Internetu z lokalizacji innej niż firma Microsoft w tym samym czasie może potencjalnie spowodować niestabilność routingu BGP lub utratę ruchu. Na przykład budynek lokalny klienta. Zaplanuj migrację aktywnego zakresu w okresie konserwacji, aby uniknąć wpływu. Ponadto możesz skorzystać z funkcji prowizji regionalnej, aby umieścić niestandardowy prefiks IP w stanie, w którym jest anonsowany tylko w regionie platformy Azure, w którym jest wdrażany — zobacz Zarządzanie niestandardowym prefiksem adresu IP (BYOIP), aby uzyskać więcej informacji.
Następne kroki
Aby dowiedzieć się więcej o scenariuszach i korzyściach związanych z używaniem niestandardowego prefiksu adresu IP, zobacz Niestandardowy prefiks adresu IP (BYOIP).
Aby uzyskać więcej informacji na temat zarządzania niestandardowym prefiksem adresu IP, zobacz Zarządzanie niestandardowym prefiksem adresu IP (BYOIP).
Aby utworzyć niestandardowy prefiks adresu IP przy użyciu interfejsu wiersza polecenia platformy Azure, zobacz Tworzenie niestandardowego prefiksu adresu IP przy użyciu interfejsu wiersza polecenia platformy Azure.
Aby utworzyć niestandardowy prefiks adresu IP przy użyciu witryny Azure Portal, zobacz Tworzenie niestandardowego prefiksu adresu IP przy użyciu witryny Azure Portal.