Criar um prefixo de endereço IPv4 personalizado usando o Azure PowerShell

  • Artigo

Um prefixo de endereço IPv4 personalizado permite que você traga seus próprios intervalos IPv4 para a Microsoft e associe-o à sua assinatura do Azure. Você continua a propriedade do intervalo enquanto a Microsoft teria permissão para anunciá-lo na Internet. Um prefixo de endereço IP personalizado funciona como um recurso regional que representa um bloco contíguo de endereços IP de propriedade do cliente.

As etapas neste artigo detalham o processo para:

  • Preparar um intervalo para provisionamento

  • Provisionar o intervalo para alocação de IP

  • Habilitar o intervalo a ser anunciado pela Microsoft

Pré-requisitos

  • Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
  • Azure PowerShell instalado localmente ou Azure Cloud Shell.
  • Entre no Azure PowerShell e verifique se você selecionou a assinatura com a qual deseja usar esse recurso. Para obter mais informações, consulte Entrar com o Azure PowerShell.
  • Certifique-se de que o módulo Az.Network é 5.1.1 ou posterior. Para verificar o módulo instalado, use o comando Get-InstalledModule -Name "Az.Network". Se o módulo exigir uma atualização, use o comando Update-Module -Name "Az.Network" , se necessário.
  • Um intervalo IPv4 de propriedade do cliente para provisionar no Azure.
    • Um exemplo de intervalo de clientes (1.2.3.0/24) é usado para este exemplo. Esse intervalo não será validado pelo Azure. Substitua o intervalo de exemplo pelo seu.

Se optar por instalar e utilizar o PowerShell localmente, este artigo requer a versão 5.4.1 ou posterior do módulo Azure PowerShell. Execute Get-Module -ListAvailable Az para localizar a versão instalada. Se precisar de atualizar, veja Install Azure PowerShell module (Instalar o módulo do Azure PowerShell). Se você estiver executando o PowerShell localmente, também precisará executar Connect-AzAccount para criar uma conexão com o Azure.

Nota

Para problemas encontrados durante o processo de provisionamento, consulte Solução de problemas para prefixo IP personalizado.

Etapas de pré-provisionamento

Para utilizar o recurso BYOIP do Azure, você deve executar as etapas a seguir antes do provisionamento do intervalo de endereços IPv4.

Requisitos e prontidão do prefixo

  • O intervalo de endereços deve ser de sua propriedade e registrado em seu nome em um dos cinco principais Registros Regionais da Internet:

  • O intervalo de endereços não deve ser menor que um /24 para que seja aceito pelos provedores de serviços de Internet.

  • Um documento de Autorização de Origem de Rota (ROA) que autoriza a Microsoft a anunciar o intervalo de endereços deve ser preenchido pelo cliente no site apropriado do RIR (Routing Internet Registry) ou por meio de sua API. O RIR exigirá que o ROA seja assinado digitalmente com a Infraestrutura de Chave Pública de Recursos (RPKI) do seu RIR.

    Para este ROA:

    • O Origin AS deve ser listado como 8075 para a nuvem pública. (Se o intervalo for integrado ao US Gov Cloud, o Origin AS deve ser listado como 8070.)

    • A data de término da validade (data de validade) precisa levar em conta o tempo que você pretende ter o prefixo anunciado pela Microsoft. Alguns RIRs não apresentam a data de término da validade como uma opção e ou escolhem a data para você.

    • O comprimento do prefixo deve corresponder exatamente aos prefixos que podem ser anunciados pela Microsoft. Por exemplo, se você planeja trazer 1.2.3.0/24 e 2.3.4.0/23 para a Microsoft, ambos devem ser nomeados.

    • Depois que o ROA for concluído e enviado, aguarde pelo menos 24 horas para que ele fique disponível para a Microsoft, onde será verificado para determinar sua autenticidade e correção como parte do processo de provisionamento.

Nota

Também é recomendável criar um ROA para qualquer ASN existente que esteja anunciando o intervalo para evitar problemas durante a migração.

Importante

Embora a Microsoft não pare de anunciar o intervalo após a data especificada, é altamente recomendável criar de forma independente um ROA de acompanhamento se a data de expiração original tiver passado para evitar que operadoras externas não aceitem o anúncio.

Prontidão do certificado

Para autorizar a Microsoft a associar um prefixo a uma assinatura de cliente, um certificado público deve ser comparado com uma mensagem assinada.

As etapas a seguir mostram as etapas necessárias para preparar o intervalo de clientes de amostra (1.2.3.0/24) para provisionamento para a nuvem pública.

Nota

Execute os seguintes comandos no PowerShell com o OpenSSL instalado.

  1. Um certificado X509 autoassinado deve ser criado para adicionar ao registro Whois/RDAP para o prefixo. Para obter informações sobre RDAP, consulte os sites ARIN, RIPE, APNIC e AFRINIC.

    Um exemplo utilizando o kit de ferramentas OpenSSL é mostrado abaixo. Os comandos a seguir geram um par de chaves RSA e criam um certificado X509 usando o par de chaves que expira em seis meses:

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Depois que o certificado for criado, atualize a seção de comentários públicos do registro Whois/RDAP para o prefixo. Para exibir para cópia, incluindo o cabeçalho/rodapé BEGIN/END com traços, use o comando cat byoippublickey.cer Você deve ser capaz de executar este procedimento através do seu Registro de Internet de Roteamento.

    As instruções para cada registo encontram-se abaixo:

    Depois que os comentários públicos forem preenchidos, o registro Whois/RDAP deve se parecer com o exemplo abaixo. Certifique-se de que não há espaços ou retornos de carro. Inclua todos os traços:

    Screenshot of example certificate comment

  3. Para criar a mensagem que será passada para a Microsoft, crie uma cadeia de caracteres que contenha informações relevantes sobre seu prefixo e assinatura. Assine esta mensagem com o par de chaves gerado nas etapas acima. Use o formato mostrado abaixo, substituindo o ID da assinatura, o prefixo a ser provisionado e a data de validade correspondente à Data de validade no ROA. Verifique se o formato está nessa ordem.

    Use o comando a seguir para criar uma mensagem assinada que será passada para a Microsoft para verificação.

    Nota

    Se a data de Término da Validade não tiver sido incluída no ROA original, escolha uma data que corresponda à hora em que você pretende que o prefixo seja anunciado pelo Azure.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Para exibir o conteúdo da mensagem assinada, insira a variável criada a partir da mensagem assinada criada anteriormente e selecione Enter no prompt do PowerShell:

    $byoipauthsigned
dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==

Etapas de provisionamento

As etapas a seguir exibem o procedimento para provisionar um intervalo de cliente de amostra (1.2.3.0/24) para a região Oeste dos EUA 2.

Nota

As etapas de limpeza ou exclusão não são mostradas nesta página, dada a natureza do recurso. Para obter informações sobre como remover um prefixo IP personalizado provisionado, consulte Gerenciar prefixo IP personalizado.

Criar um grupo de recursos e especificar o prefixo e as mensagens de autorização

Crie um grupo de recursos no local desejado para provisionar o intervalo BYOIP.

$rg =@{
    Name = 'myResourceGroup'
    Location = 'WestUS2'
}
New-AzResourceGroup @rg

Provisionar um prefixo de endereço IP personalizado

O comando a seguir cria um prefixo IP personalizado na região especificada e no grupo de recursos. Especifique o prefixo exato na notação CIDR como uma cadeia de caracteres para garantir que não haja erro de sintaxe. Para o parâmetro, substitua o ID da assinatura, o -AuthorizationMessage prefixo a ser provisionado e a data de validade correspondentes à Data de validade no ROA. Verifique se o formato está nessa ordem. Use a variável $byoipauthsigned para o -SignedMessage parâmetro criado na seção de preparação do certificado.

$prefix =@{
    Name = 'myCustomIPPrefix'
    ResourceGroupName = 'myResourceGroup'
    Location = 'WestUS2'
    CIDR = '1.2.3.0/24'
    AuthorizationMessage = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd'
    SignedMessage = $byoipauthsigned
}
$myCustomIpPrefix = New-AzCustomIPPrefix @prefix -Zone 1,2,3

O intervalo é enviado por push para o Pipeline de Implantação IP do Azure. O processo de implantação é assíncrono. Para determinar o status, execute o seguinte comando:

Get-AzCustomIpPrefix -ResourceId $myCustomIpPrefix.Id

A saída de exemplo é mostrada abaixo, com alguns campos removidos para clareza:

Name              : myCustomIpPrefix
ResourceGroupName : myResourceGroup
Location          : westus2
Id                : /subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/MyCustomIPPrefix
Cidr              : 1.2.3.0/24
Zones             : {1, 2, 3}
CommissionedState : Provisioning

O campo Estado Comissionado deve mostrar o intervalo como Provisionamento inicialmente, seguido no futuro por Provisionado.

Nota

O tempo estimado para concluir o processo de provisionamento é de 30 minutos.

Importante

Depois que o prefixo IP personalizado estiver em um estado Provisionado, um prefixo IP público filho poderá ser criado. Esses prefixos IP públicos e quaisquer endereços IP públicos podem ser anexados aos recursos de rede. Por exemplo, interfaces de rede de máquina virtual ou front-ends de balanceador de carga. Os IPs não serão anunciados e, portanto, não serão acessíveis. Para obter mais informações sobre uma migração de um prefixo ativo, consulte Gerenciar um prefixo IP personalizado.

Comissionar o prefixo do endereço IP personalizado

Quando o prefixo IP personalizado está no estado Provisionado , o comando a seguir atualiza o prefixo para iniciar o processo de publicidade do intervalo do Azure.

Update-AzCustomIpPrefix -ResourceId $myCustomIPPrefix.Id -Commission

Como antes, a operação é assíncrona. Use Get-AzCustomIpPrefix para recuperar o status. O campo CommissionedState mostrará inicialmente o prefixo como Commissioning, seguido no futuro por Commissioned. O lançamento do anúncio não é binário e o intervalo será parcialmente anunciado enquanto ainda estiver em Comissionamento.

Nota

O tempo estimado para concluir totalmente o processo de comissionamento é de 3 a 4 horas.

Importante

À medida que o prefixo IP personalizado transita para um estado Comissionado , o intervalo está sendo anunciado com a Microsoft da região local do Azure e globalmente para a Internet pela rede de longa distância da Microsoft sob o número de sistema autônomo (ASN) 8075. Anunciar esse mesmo intervalo na Internet a partir de um local diferente da Microsoft ao mesmo tempo pode potencialmente criar instabilidade de roteamento BGP ou perda de tráfego. Por exemplo, um edifício local do cliente. Planeje qualquer migração de um intervalo ativo durante um período de manutenção para evitar impactos. Além disso, você pode aproveitar o recurso de comissionamento regional para colocar um prefixo IP personalizado em um estado em que ele é anunciado apenas na região do Azure em que é implantado - consulte Gerenciar um prefixo de endereço IP personalizado (BYOIP) para obter mais informações.

Próximos passos