Создание пользовательского префикса IPv4-адреса с помощью Azure PowerShell

Настраиваемый префикс IPv4-адреса позволяет перенести собственные диапазоны IPv4 в Корпорацию Майкрософт и связать его с подпиской Azure. Вы продолжите владение диапазоном, пока корпорация Майкрософт будет разрешена рекламировать его в Интернете. Пользовательский префикс IP-адресов функционирует как региональный ресурс, представляющий непрерывный блок IP-адресов, принадлежащих клиенту.

В этой статье подробно описывается следующее:

• Подготовка диапазона.

• Подготовка диапазона для выделения IP-адресов.

• Включение возможности объявления корпорацией Майкрософт для диапазона адресов

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Локальная установка Azure PowerShell или Azure Cloud Shell.
• Войдите в Azure PowerShell и выберите подписку, с которой вы хотите использовать эту функцию. Дополнительные сведения см. в статье Вход с помощью Azure PowerShell.
• Убедитесь, что модуль Az.Network равен 5.1.1 или более поздней версии. Чтобы проверить установленный модуль, используйте команду Get-InstalledModule -Name "Az.Network". Если модуль требует обновления, используйте команду Update-Module -Name "Az.Network".
• Клиент, принадлежащий диапазону IPv4 для подготовки в Azure.
  • В этом примере используется образец диапазона клиента (1.2.3.0/24). Этот диапазон не будет проверяться в Azure. Замените этот диапазон на ваш.

Чтобы установить и использовать PowerShell локально, для работы с этой статьей вам понадобится модуль Azure PowerShell 5.4.1 или более поздней версии. Выполните командлет Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

Примечание.

Сведения о проблемах, возникающих во время подготовки, см. в статье Устранение неполадок с пользовательским префиксом IP-адресов.

Шаги предварительной подготовки

Чтобы использовать функцию Azure BYOIP, перед подготовкой диапазона адресов IPv4 необходимо выполнить следующие действия.

Требования и готовность префикса

• Диапазон адресов должен принадлежать вам и зарегистрирован под вашим именем с одним из пяти основных региональных реестров Интернета:

  • Американский реестр для номеров Интернета (ARIN)
  • Центр координации сети Réseaux IP Européens (RIPE NCC)
  • Региональные реестры Интернета в Азиатско-Тихоокеанском регионе (APNIC)
  • Информационный центр сети Латинской Америки и Карибского бассейна (LACNIC)
  • Африканский информационный центр (AFRINIC)

• Чтобы диапазон адресов был принят поставщиками услуг Интернета, он должен быть не меньше /24.

• Документ с разрешением на создание маршрута (Route Origin Authorization, ROA), который разрешает корпорации Майкрософт объявлять диапазон адресов, должен быть заполнен клиентом на соответствующем веб-сайте регистратора интернет-маршрутизации (RIR) или с помощью API. Для RIR потребуется, чтобы ROA имел цифровую подпись от инфраструктуры открытых ключей ресурсов (RPKI) вашего RIR.

  Для этого документа ROA:

  • Источник AS должен быть указан как 8075 для общедоступного облака. (Если диапазон будет подключен к us gov Cloud, источник AS должен быть указан как 8070.)

  • Дата окончания срока действия должна быть указана с учетом времени, когда корпорация Майкрософт должна объявить префикс в соответствии с вашими планами. Некоторые RIR не предоставляют возможность указания даты окончания срока действия и не устанавливают ее самостоятельно.

  • Длина префикса должна точно соответствовать префиксам, которые могут быть объявлены корпорацией Майкрософт. Например, если вы планируете передать в корпорацию Майкрософт префиксы 1.2.3.0/24 и 2.3.4.0/23, необходимо указать оба этих префикса.

  • После заполнения и отправки ROA понадобится по крайней мере 24 часа, чтобы информация стала доступной корпорации Майкрософт для проверки ее подлинности и правильности в ходе процесса подготовки.

Примечание.

Кроме того, рекомендуется создать ROA для любого существующего ASN, который объявляет диапазон, чтобы избежать проблем во время миграции.

Важно!

Хотя корпорация Майкрософт не остановит рекламу диапазона после указанной даты, настоятельно рекомендуется независимо создать последующие roA, если исходная дата окончания срока действия прошла, чтобы избежать принятия рекламы внешним перевозчикам.

Готовность сертификата

Чтобы корпорация Майкрософт могла связать префикс с подпиской клиента, необходимо сравнить открытый сертификат с подписанным сообщением.

Ниже показаны шаги, необходимые для подготовки примера диапазона клиентов (1.2.3.0/24) для подготовки в общедоступном облаке.

Примечание.

Выполните следующие команды в PowerShell с установленным OpenSSL.

1. Для добавления в запись Whois/RDAP для префикса необходимо создать самозаверяющий сертификат X509. Сведения о RDAP см. на сайтах ARIN, RIPE, APNIC и AFRINIC.

   Ниже приведен пример использования набора средств OpenSSL. Следующие команды создают пару ключей RSA, а также сертификат X509 с помощью пары ключей, срок действия которой истекает через шесть месяцев.

   ./openssl genrsa -out byoipprivate.key 2048
   Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
   

2. После создания сертификата обновите раздел общедоступных комментариев записи Whois/RDAP для префикса. Чтобы отобразить сведения для копирования, включая верхний и нижний колонтитулы BEGIN/END с тире, используйте команду cat byoippublickey.cer. Эту команду необходимо выполнить через RIR.

   Ниже приведены инструкции для каждого реестра.

   • ARIN — измените раздел "Комментарии" для записи префикса.

   • RIPE — измените раздел "Примечания" для записи inetnum.

   • APNIC — измените раздел «Примечаний» записи inetnum с помощью MyAPNIC.

   • AFRINIC — измените "Примечания" записи inetnum с помощью MyAFRINIC .

   • Для диапазонов из реестра LACNIC создайте запрос в службу поддержки с корпорацией Майкрософт.

   После заполнения раздела общедоступных комментариев запись Whois/RDAP должна выглядеть, как в примере ниже. Убедитесь, что символы пробела или возврата каретки отсутствуют. Включите все дефисы.

   

3. Чтобы создать сообщение, которое будет передано в корпорацию Майкрософт, создайте строку, содержащую соответствующие сведения о префиксе и подписке. Подпишите это сообщение с помощью пары ключей, сгенерированной, как описано выше. Используйте приведенный ниже формат, заменив идентификатор подписки, префикс для подготовки и дату окончания срока действия, соответствующую дате окончания срока действия в ROA. Убедитесь, что формат указан в таком порядке.

   Используйте следующую команду, чтобы создать подписанное сообщение, которое будет передано в корпорацию Майкрософт для проверки.

   Примечание.

   Если дата окончания срока действия не была включена в исходный документ ROA, выберите дату, соответствующую времени, когда вы планируете объявить префикс в Azure.

   $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
   Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
   ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
   $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
   

4. Чтобы просмотреть содержимое подписанного сообщения, введите переменную, введите переменную из подписанного сообщения и нажмите клавишу ВВОД в командной строке PowerShell.

   $byoipauthsigned
   dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
   

Шаги подготовки

Ниже описана процедура подготовки примера диапазона клиента (1.2.3.0/24) в регионе "Западная часть США 2".

Примечание.

Учитывая характер ресурса, на этой странице не приводятся действия по очистке или удалению. Сведения об удалении подготовленного префикса пользовательского IP-адреса см. в статье об управлении префиксом пользовательского IP-адреса.

Создание группы ресурсов и указание префиксов и сообщений авторизации

Создайте группу ресурсов в нужном расположении для подготовки диапазона BYOIP.

$rg =@{
    Name = 'myResourceGroup'
    Location = 'WestUS2'
}
New-AzResourceGroup @rg

Подготовка пользовательского префикса IP-адресов

Следующая команда создает пользовательский префикс IP-адресов в указанных регионе и группе ресурсов. Укажите точный префикс в нотации CIDR в виде строки, чтобы избежать синтаксических ошибок. Для параметра -AuthorizationMessage замените свой идентификатор подписки, префикс, который необходимо предоставить, и дату истечения срока действия, совпадающую с датой действия в ROA. Убедитесь, что формат указан в таком порядке. Используйте переменную $byoipauthsigned для параметра -SignedMessage, созданного, как описано в разделе "Готовность сертификата".

$prefix =@{
    Name = 'myCustomIPPrefix'
    ResourceGroupName = 'myResourceGroup'
    Location = 'WestUS2'
    CIDR = '1.2.3.0/24'
    AuthorizationMessage = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd'
    SignedMessage = $byoipauthsigned
}
$myCustomIpPrefix = New-AzCustomIPPrefix @prefix -Zone 1,2,3

Диапазон отправляется в конвейер развертывания IP-адресов Azure. Процесс развертывания является асинхронным. Чтобы определить состояние, выполните следующую команду.

Get-AzCustomIpPrefix -ResourceId $myCustomIpPrefix.Id

Ниже приведен пример выходных данных, при этом некоторые поля удалены для ясности.

Name              : myCustomIpPrefix
ResourceGroupName : myResourceGroup
Location          : westus2
Id                : /subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/MyCustomIPPrefix
Cidr              : 1.2.3.0/24
Zones             : {1, 2, 3}
CommissionedState : Provisioning

Состояние подготовки диапазона в поле CommissionedState должно сначала отображаться как Идет подготовка, а затем должно измениться на Подготовлено.

Примечание.

Расчетное время завершения процесса подготовки составляет 30 минут.

Важно!

После того как пользовательский префикс IP-адресов перейдет в состояние Подготовлено, можно создать дочерний префикс общедоступных IP-адресов. Эти префиксы общедоступных IP-адресов и любые общедоступные IP-адреса можно подключить к сетевым ресурсам. Например, к сетевым интерфейсам виртуальных машин или сетевым интерфейсам подсистемы балансировки нагрузки. IP-адреса не будут объявлены и, следовательно, не будут доступны. Дополнительные сведения о переносе активного префикса см. в статье об управление префиксом пользовательского IP-адреса.

Ввод префикса пользовательского IP-адреса в эксплуатацию

Когда пользовательский префикс IP-адресов перейдет в состояние Подготовлено, обновите его, чтобы начать процесс объявления диапазона из Azure, выполнив следующую команду.

Update-AzCustomIpPrefix -ResourceId $myCustomIPPrefix.Id -Commission

Как и прежде, операция является асинхронной. Выполните Get-AzCustomIpPrefix, чтобы получить состояние. Состояние ввода диапазона в эксплуатацию в поле CommissionedState должно отображаться как Идет ввод в эксплуатацию, а затем должно измениться на Ввод в эксплуатацию выполнен. Развертывание объявления не является бинарной операцией, и диапазон будет частично объявлен даже в состоянии Предоставление.

Примечание.

Расчетное время завершения процесса предоставления составляет 3–4 часа.

Важно!

После перехода пользовательского префикса IP-адресов в состояние Предоставлено диапазон объявляется корпорацией Майкрософт из локального региона Azure и глобально в Интернет через глобальную сеть Майкрософт под номером 8075 в автономной системе (ASN). Объявление этого же диапазона в Интернете из расположения, отличного от используемого корпорацией Майкрософт, может привести к нестабильности маршрутизации BGP или потере трафика. Например, таким расположением может быть локальное здание клиента. Запланируйте миграцию активного диапазона в течение периода обслуживания, чтобы избежать негативных последствий. Кроме того, вы можете воспользоваться функцией региональной комиссии, чтобы поместить настраиваемый префикс IP-адреса в состояние, в котором он объявлен только в регионе Azure, который он развертывается в разделе "Управление пользовательским префиксом IP-адреса (BYOIP) для получения дополнительных сведений.

Следующие шаги

• Дополнительные сведения о сценариях и преимуществах использования префикса пользовательского IP-адреса см. в разделе Префиксы пользовательских IP-адресов (BYOIP).

• Дополнительные сведения об управлении префиксом пользовательского IP-адреса см. в разделе Управление префиксами пользовательских IP-адресов (BYOIP).

• Сведения о создании префикса пользовательского IP-адреса с помощью Azure CLI см. в разделе Создание префикса пользовательского IP-адреса с помощью Azure CLI.

• Сведения о создании префикса пользовательского IP-адреса с помощью портала Azure см. в разделе Создание префикса пользовательского IP-адреса с помощью портала Azure.