你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure CLI 创建自定义 IPv6 地址前缀
使用自定义 IPv6 地址前缀,可以将你自己的 IPv6 范围引入 Microsoft,并将其关联到你的 Azure 订阅。 你继续拥有该范围,而 Microsoft 获得许可,可将它播发到 Internet。 自定义 IP 地址前缀用作区域资源,代表客户拥有的 IP 地址的连续块。
本文中的步骤详细说明了以下过程:
准备要预配的范围
为 IP 分配预配范围
委托 IPv6 前缀将范围播发到 Internet
BYOIPv4 和 BYOIPv6 的区别
重要
加入的自定义 IPv6 地址前缀具有多个唯一属性,这使得它们与自定义 IPv4 地址前缀区别开来。
自定义 IPv6 前缀使用“父/子”模型。 在此模型中,Microsoft 广域网 (WAN) 播发全局(父)范围,相应的 Azure 区域播发区域(子)范围。 全局范围的大小必须为 /48,地区范围的大小必须始终为 /64。 每个区域可以有多个 /64 范围。
只需使用创建自定义 IP 地址前缀一文中详述的步骤验证全局范围。 地区范围派生自全局范围,所用方式从自定义 IP 前缀派生公共 IP 前缀的方式类似。
公共 IPv6 前缀必须派生自地区范围。 只有每个地区 /64 自定义 IP 前缀的前 2048 个 IPv6 地址才能用作有效的 IPv6 空间。 尝试创建超出此范围的公共 IPv6 前缀会导致错误。
先决条件
- 具有活动订阅的 Azure 帐户。 免费创建帐户。
- 本教程需要 2.37 或更高版本的 Azure CLI(你可以运行 az version 来确定自己拥有的版本)。 如果使用 Azure Cloud Shell,则最新版本已安装。
- 登录到 Azure CLI,并通过
az account确保已选择你要将其与此功能配合使用的订阅。 - 要在 Azure 中预配的客户拥有的 IPv6 范围。
- 本示例中使用了一个示例客户范围 (2a05:f500:2::/48)。 Azure 不会验证此范围。 请将示例范围替换为你自己的范围。
注意
对于在预配过程中遇到的问题,请参阅自定义 IP 前缀故障排除。
预配前的步骤
为了利用 Azure BYOIP 功能,必须在预配 IPv6 地址范围之前执行准备步骤。 有关详细信息,请参阅 IPv4 说明。 对于 IPv6 全局(父)范围,必须完成所有这些步骤。
预配 IPv6
对于预配示例全局(父)IPv6 范围 (2a05:f500:2::/48) 和地区(子)IPv6 范围,以下步骤显示的是修改后的步骤。 某些步骤与 IPv4 说明相比已经过简化或精简,重点介绍 IPv4 和 IPv6 之间的区别。
创建资源组并指定前缀和授权消息
在所需位置创建资源组,以预配全局范围资源。
重要
尽管全局范围的资源将与地区相关联,但前缀将由 Microsoft WAN 全局播发。
az group create \
--name myResourceGroup \
--location westus2
预配全局自定义 IPv6 地址前缀
以下命令将在指定的区域和资源组中创建一个自定义 IP 前缀。 以 CIDR 表示法将确切前缀指定为字符串,以确保没有语法错误。 (构造 -authorization-message 和 -signed-message 参数的方式与 IPv4 相同;有关详细信息,请参阅创建自定义 IP 前缀 - CLI。)由于全局范围未关联任何特定区域,因此未提供任何区域属性(并且因此不存在任何没有地区可用性区域)。
byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|2a05:f500:2::/48|yyyymmdd"
az network custom-ip prefix create \
--name myCustomIPv6GlobalPrefix \
--resource-group myResourceGroup \
--location westus2 \
--cidr ‘2a05:f500:2::/48’ \
--authorization-message $byoipauth \
--signed-message $byoipauthsigned
预配地区自定义 IPv6 地址前缀
当全局自定义 IP 前缀进入“已预配”状态后,就可以创建地区自定义 IP 前缀了。 这些范围的大小必须始终为 /64 才能被视为有效。 可在任何地区创建范围(它不需要与全局自定义 IP 前缀相同),请记住与原始全局范围关联的任何地理位置限制。 “子”自定义 IP 前缀会从创建它们的区域本地播发。 由于验证仅对全局自定义 IP 前缀预配进行,因此不需要授权或签名消息。 (由于这些范围从特定区域播发,因此可使用这些区域。)
az network custom-ip prefix create \
--name myCustomIPv6RegionalPrefix \
--resource-group myResourceGroup \
--location westus2 \
--cidr ‘2a05:f500:2:1::/64’ \
--zone 1 2 3
与 IPv4 自定义 IP 前缀类似,地区自定义 IP 前缀处于“已预配”状态后,公共 IP 前缀可派生自地区自定义 IP 前缀。 这些公共 IP 前缀和从它们派生的任何公共 IP 地址都可以附加到网络资源,尽管它们尚未播发。
重要
派生自地区自定义 IPv6 前缀的公共 IPv6 前缀只能使用 /64 范围的前 2048 个 IP。
委托自定义 IPv6 地址前缀
委托自定义 IPv6 前缀时,将单独处理全局前缀和地区前缀。 换句话说,委托地区自定义 IPv6 前缀与委托全局自定义 IPv6 前缀不相关。
最安全的范围迁移策略如下所示:
- 在其各自的地区预配所有必需的地区自定义 IPv6 前缀。 创建公共 IPv6 前缀和公共 IP 地址并附加到资源。
- 对每个地区自定义 IPv6 前缀进行委托,并测试与相应地区内的 IP 的连接性。 对每个地区自定义 IPv6 前缀重复上述操作。
- 在验证所有地区自定义 IPv6 前缀(和派生的前缀/IP)按预期工作后,委托全局自定义 IPv6 前缀,该前缀将向 Internet 播发更大的范围。
使用上面的示例范围,命令序列为:
az network custom-ip prefix update \
--name myCustomIPv6GlobalPrefix \
--resource-group myResourceGroup \
--state commission
后面是:
az network custom-ip prefix update \
--name myCustomIPv6RegionalPrefix \
--resource-group myResourceGroup \
--state commission
注意
要完全完成自定义 IPv6 全局前缀的委托过程,估计需要 3-4 小时的时间。 要完全完成自定义 IPv6 区域前缀的委托过程,估计需要 30 分钟的时间。
可以在区域自定义 IPv6 前缀之前委托全局自定义 IPv6 前缀。 这样做会在区域前缀准备就绪之前将全局范围播发到 Internet,因此不建议将其用于迁移活动范围。 可以在仍有区域自定义 IPv6 前缀处于活动(已委托)状态时解除全局自定义 IPv6 前缀授权。 此外,可以在全局前缀仍处于活动(已委托)状态时解除区域自定义 IP 前缀授权。
重要
随着全局自定义 IPv6 前缀转换为“已委托”状态,范围将由 Microsoft 从本地 Azure 区域播发,并且由 Microsoft 的广域网以自治系统号 (ASN) 8075 播发到全球。 如果同时从 Microsoft 以外的位置将此同一范围播发到 Internet,可能会造成 BGP 路由不稳定或流量损失。 例如,客户本地生成。 请将活动范围的任何迁移安排在维护期间,以避免产生影响。
后续步骤
若要了解使用自定义 IP 前缀的场景和好处,请参阅自定义 IP 地址前缀 (BYOIP)。
有关管理自定义 IP 前缀的详细信息,请参阅管理自定义 IP 地址前缀 (BYOIP)。