Azure PowerShell kullanarak özel bir IPv4 adres ön eki oluşturma

Özel bir IPv4 adres ön eki, kendi IPv4 aralıklarınızı Microsoft'a getirmenizi ve Azure aboneliğinizle ilişkilendirmenizi sağlar. Microsoft'un bu aralığı İnternet'e tanıtma izni varken, aralığın sahipliğine devam edersiniz. Özel IP adresi ön eki, müşteriye ait IP adreslerinin bitişik bir bloğunu temsil eden bölgesel bir kaynak olarak çalışır.

Bu makaledeki adımlar, şu işlemlerin ayrıntılarını içerir:

• Sağlayacak aralığı hazırlama

• IP ayırma aralığını sağlama

• Aralığın Microsoft tarafından tanıtılması için etkinleştirme

Ön koşullar

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.
• Azure PowerShell yerel olarak veya Azure Cloud Shell'de yüklüdür.
• Azure PowerShell'de oturum açın ve bu özelliği kullanmak istediğiniz aboneliği seçtiğinizden emin olun. Daha fazla bilgi için bkz . Azure PowerShell ile oturum açma.
• Modülünüzün Az.Network 5.1.1 veya üzeri olduğundan emin olun. Yüklü modülü doğrulamak için komutunu Get-InstalledModule -Name "Az.Network"kullanın. Modül bir güncelleştirme gerektiriyorsa, gerekirse komutunu Update-Module -Name "Az.Network" kullanın.
• Müşterinin Sahip olduğu IPv4 aralığı Azure'da sağlanır.
  • Bu örnek için örnek müşteri aralığı (1.2.3.0/24) kullanılır. Bu aralık Azure tarafından doğrulanmaz. Örnek aralığı sizinkiyle değiştirin.

PowerShell'i yerel olarak yükleyip kullanmayı tercih ederseniz bu makale, Azure PowerShell modülü 5.4.1 veya sonraki bir sürümünü gerektirir. Yüklü sürümü bulmak için Get-Module -ListAvailable Az komutunu çalıştırın. Yükseltmeniz gerekirse, bkz. Azure PowerShell modülünü yükleme. PowerShell'i yerel olarak çalıştırıyorsanız Azure ile bağlantı oluşturmak için de komutunu çalıştırmanız Connect-AzAccount gerekir.

Dekont

Sağlama işlemi sırasında karşılaşılan sorunlar için bkz . Özel IP ön eki için sorun giderme.

Ön sağlama adımları

Azure BYOIP özelliğini kullanmak için, IPv4 adres aralığınızı sağlamadan önce aşağıdaki adımları gerçekleştirmeniz gerekir.

Gereksinimler ve ön ek hazırlığı

• Adres aralığı size ait olmalı ve adınızın altında beş büyük Bölgesel İnternet Kayıt Defteri'ne kayıtlı olmalıdır:

  • İnternet Numaraları için American Registry (ARIN)
  • Réseaux IP Européens Ağ Koordinasyon Merkezi (RIPE NCC)
  • Asya Pasifik Ağ Bilgi Merkezi Bölgesel İnternet Kayıt Defterleri (APNIC)
  • Latin Amerika ve Karayipler Ağ Bilgi Merkezi (LACNIC)
  • Afrika Ağ Bilgi Merkezi (AFRINIC)

• Adres aralığı /24 değerinden küçük olmamalıdır, bu nedenle İnternet Servis Sağlayıcıları tarafından kabul edilir.

• Microsoft'a adres aralığını tanıtma yetkisi veren bir Rota Kaynağı Yetkilendirmesi (ROA) belgesi, müşteri tarafından uygun Yönlendirme İnternet Kayıt Defteri (RIR) web sitesinde veya API'si aracılığıyla doldurulmalıdır. RIR, ROA'nın RIR'nizin Kaynak Ortak Anahtar Altyapısı (RPKI) ile dijital olarak imzalanması gerekir.

  Bu ROA için:

  • Kaynak AS, Genel Bulut için 8075 olarak listelenmelidir. (Aralık US Gov Bulutu'na eklenecekse, Kaynak AS 8070 olarak listelenmelidir.)

  • Geçerlilik bitiş tarihinin (son kullanma tarihi), Ön ekin Microsoft tarafından tanıtılması amaçlanan saati hesaba eklemesi gerekir. Bazı RIR'ler geçerlilik bitiş tarihini seçenek olarak sunmaz veya sizin için tarihi seçer.

  • Ön ek uzunluğu, Microsoft tarafından tanıtılabilir ön eklerin tam olarak eşleşmesi gerekir. Örneğin, 1.2.3.0/24 ve 2.3.4.0/23'i Microsoft'a getirmeyi planlıyorsanız, her ikisi de adlandırılmalıdır.

  • ROA tamamlandıktan ve gönderildikten sonra, microsoft tarafından kullanılabilir duruma gelmesi için en az 24 saat bekleyin; burada sağlama sürecinin bir parçası olarak orijinalliğini ve doğruluğunu belirlemesi doğrulanır.

Dekont

Geçiş sırasında herhangi bir sorun yaşamamak için aralığın reklamını veren mevcut ASN'ler için bir ROA oluşturmanız da önerilir.

Önemli

Microsoft belirtilen tarihten sonra aralığın reklamını durdurmayacak olsa da, dış taşıyıcıların reklamı kabul etmemesini önlemek için orijinal son kullanma tarihi geçmişse bağımsız olarak bir izleme ROA'sı oluşturmanız kesinlikle önerilir.

Sertifika hazırlığı

Microsoft'a bir ön eki müşteri aboneliğiyle ilişkilendirme yetkisi vermek için, ortak sertifika imzalı iletiyle karşılaştırılmalıdır.

Aşağıdaki adımlar, Genel buluta sağlama için örnek müşteri aralığını (1.2.3.0/24) hazırlamak için gereken adımları gösterir.

Dekont

OpenSSL yüklü olarak PowerShell'de aşağıdaki komutları yürütebilirsiniz.

1. Ön ek için Whois/RDAP kaydına eklemek için otomatik olarak imzalanan bir X509 sertifikası oluşturulmalıdır. RDAP hakkında bilgi için ARIN, RIPE, APNIC ve AFRINIC sitelerine bakın.

   OpenSSL araç setini kullanan bir örnek aşağıda gösterilmiştir. Aşağıdaki komutlar bir RSA anahtar çifti oluşturur ve altı ay içinde süresi dolan anahtar çiftini kullanarak bir X509 sertifikası oluşturur:

   ./openssl genrsa -out byoipprivate.key 2048
   Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
   

2. Sertifika oluşturulduktan sonra, ön ek için Whois/RDAP kaydının genel açıklamalar bölümünü güncelleştirin. Tireli BEGIN/END üst bilgisi/altbilgisi de dahil olmak üzere kopyalama için görüntülemek için Yönlendirme İnternet Kayıt Defteri'niz aracılığıyla bu yordamı gerçekleştirebilmeniz gerekir komutunu cat byoippublickey.cer kullanın.

   Her kayıt defteri için yönergeler aşağıdadır:

   • ARIN - Ön ek kaydının "Açıklamalar"ını düzenleyin.

   • RIPE - inetnum kaydının "Açıklamalarını" düzenleyin.

   • APNIC - MyAPNIC kullanarak inetnum kaydının "Açıklamalarını" düzenleyin.

   • AFRINIC - MyAFRINIC kullanarak inetnum kaydının "Açıklamalarını" düzenleyin.

   • LACNIC kayıt defterindeki aralıklar için Microsoft ile bir destek bileti oluşturun.

   Genel açıklamalar doldurulduktan sonra Whois/RDAP kaydı aşağıdaki örneğe benzer olmalıdır. Boşluk veya satır başı olmadığından emin olun. Tüm tireleri ekle:

   

3. Microsoft'a geçirilecek iletiyi oluşturmak için ön ekiniz ve aboneliğiniz hakkında ilgili bilgileri içeren bir dize oluşturun. Yukarıdaki adımlarda oluşturulan anahtar çiftiyle bu iletiyi imzalayın. Abonelik kimliğinizi, sağlanacak ön eki ve ROA'daki Geçerlilik Tarihi ile eşleşen son kullanma tarihini değiştirerek aşağıda gösterilen biçimi kullanın. Biçimin bu sırada olduğundan emin olun.

   Doğrulama için Microsoft'a geçirilecek imzalı bir ileti oluşturmak için aşağıdaki komutu kullanın.

   Dekont

   Geçerlilik Bitiş tarihi özgün ROA'ya dahil edilmediyse, Ön ekin Azure tarafından tanıtıldığını düşündüğünüz zamana karşılık gelen bir tarih seçin.

   $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
   Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
   ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
   $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
   

4. İmzalı iletinin içeriğini görüntülemek için, daha önce oluşturulan imzalı iletiden oluşturulan değişkeni girin ve PowerShell isteminde Enter tuşuna basın:

   $byoipauthsigned
   dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
   

Sağlama adımları

Aşağıdaki adımlarda ABD Batı 2 bölgesine örnek bir müşteri aralığı (1.2.3.0/24) sağlama yordamı görüntülenir.

Dekont

Temizleme veya silme adımları, kaynağın yapısı göz önünde bulundurulduğunda bu sayfada gösterilmez. Sağlanan özel IP ön eklerini kaldırma hakkında bilgi için bkz . Özel IP ön eklerini yönetme.

Kaynak grubu oluşturma ve ön ek ile yetkilendirme iletilerini belirtme

BYOIP aralığını sağlamak için istenen konumda bir kaynak grubu oluşturun.

$rg =@{
    Name = 'myResourceGroup'
    Location = 'WestUS2'
}
New-AzResourceGroup @rg

Özel IP adresi ön eki sağlama

Aşağıdaki komut, belirtilen bölgede ve kaynak grubunda özel bir IP ön eki oluşturur. Söz dizimi hatası olmadığından emin olmak için CIDR gösteriminde dize olarak tam ön eki belirtin. parametresi için -AuthorizationMessage abonelik kimliğinizi, sağlanacak ön ekinizi ve ROA'da Geçerlilik Tarihi ile eşleşen son kullanma tarihini kullanın. Biçimin bu sırada olduğundan emin olun. Sertifika hazır olma bölümünde oluşturulan parametre için -SignedMessage değişken $byoipauthsigned kullanın.

$prefix =@{
    Name = 'myCustomIPPrefix'
    ResourceGroupName = 'myResourceGroup'
    Location = 'WestUS2'
    CIDR = '1.2.3.0/24'
    AuthorizationMessage = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd'
    SignedMessage = $byoipauthsigned
}
$myCustomIpPrefix = New-AzCustomIPPrefix @prefix -Zone 1,2,3

Aralık, Azure IP Dağıtım İşlem Hattı'na gönderilir. Dağıtım işlemi zaman uyumsuzdur. Durumu belirlemek için aşağıdaki komutu yürütür:

Get-AzCustomIpPrefix -ResourceId $myCustomIpPrefix.Id

Örnek çıktı aşağıda gösterilmiştir ve netlik için bazı alanlar kaldırılmıştır:

Name              : myCustomIpPrefix
ResourceGroupName : myResourceGroup
Location          : westus2
Id                : /subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/MyCustomIPPrefix
Cidr              : 1.2.3.0/24
Zones             : {1, 2, 3}
CommissionedState : Provisioning

CommissionedState alanı aralığı başlangıçta Sağlama, gelecekte ise Sağlama olarak göstermelidir.

Dekont

Sağlama işleminin tamamlanması için tahmini süre 30 dakikadır.

Önemli

Özel IP ön eki Sağlandı durumunda olduktan sonra bir alt genel IP ön eki oluşturulabilir. Bu genel IP ön ekleri ve tüm genel IP adresleri ağ kaynaklarına eklenebilir. Örneğin, sanal makine ağ arabirimleri veya yük dengeleyici ön uçları. IP'ler tanıtılmaz ve bu nedenle erişilemez. Etkin ön ek geçişi hakkında daha fazla bilgi için bkz . Özel IP ön ekini yönetme.

Özel IP adresi ön ekini devreye alma

Özel IP ön eki Sağlandı durumundayken aşağıdaki komut, aralığı Azure'dan tanıtma işlemini başlatmak için ön eki güncelleştirir.

Update-AzCustomIpPrefix -ResourceId $myCustomIPPrefix.Id -Commission

Daha önce olduğu gibi işlem zaman uyumsuzdur. Durumu almak için Get-AzCustomIpPrefix komutunu kullanın. CommissionedState alanı başlangıçta ön eki Devreye Alma olarak, gelecekte ise Commissioned olarak gösterir. Reklam dağıtımı ikili değildir ve aralık hala Devreye Alma aşamasındayken kısmen tanıtılır.

Dekont

Devreye alma işleminin tam olarak tamamlanması için tahmini süre 3-4 saattir.

Önemli

Özel IP ön eki Devreye alınmış duruma geçerken aralık, Microsoft'un geniş alan ağı tarafından Otonom Sistem Numarası (ASN) 8075 altında yerel Azure bölgesinden ve genel olarak İnternet'e Microsoft ile tanıtılır. Bu aralığın aynı anda Microsoft dışında bir konumdan İnternet'e tanıtilmesi BGP yönlendirme dengesizliği veya trafik kaybı oluşturabilir. Örneğin, şirket içi bir müşteri binası. Etkiyi önlemek için bakım döneminde etkin bir aralığın geçişini planlayın. Ayrıca, bölgesel devreye alma özelliğinden yararlanarak özel IP ön ekini yalnızca dağıtıldığı Azure bölgesinde tanıtıldığı bir duruma getirebilirsiniz. Daha fazla bilgi için bkz . Özel IP adresi ön ekini (BYOIP) yönetme.

Sonraki adımlar

• Özel IP ön eki kullanmanın senaryoları ve avantajları hakkında bilgi edinmek için bkz . Özel IP adresi ön eki (BYOIP).

• Özel IP ön eklerini yönetme hakkında daha fazla bilgi için bkz . Özel IP adresi ön eklerini yönetme (BYOIP).

• Azure CLI kullanarak özel IP adresi ön eki oluşturmak için bkz . Azure CLI kullanarak özel IP adresi ön eki oluşturma.

• Azure portalını kullanarak özel IP adresi ön eki oluşturmak için bkz . Azure portalını kullanarak özel IP adresi ön eki oluşturma.