使用 Azure 入口網站建立自訂 IPv4 位址前置詞
自訂 IPv4 位址前置詞可讓您將自己的 IPv4 範圍帶入 Microsoft,並將其與 Azure 訂用帳戶產生關聯。 您可以繼續擁有該範圍的擁有權,同時允許 Microsoft 將其公告給網際網路。 自訂 IP 位址前置詞可做為區域資源,代表客戶擁有之 IP 位址的連續區塊。
本文中的步驟詳細說明下列程序:
準備要佈建的範圍
佈建 IP 配置的範圍
啟用 Microsoft 要公告的範圍
必要條件
具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
可在 Azure 中佈建的客戶擁有 IPv4 範圍。
- 此範例會使用樣本客戶範圍 (1.2.3.0/24)。 Azure 不會驗證此範圍。 將範例範圍取代為您的值。
注意
針對佈建流程期間遇到的問題,請參閱自訂 IP 前置詞的疑難排解。
佈建前步驟
若要利用 Azure BYOIP 功能,您必須在佈建 IPv4 位址範圍之前執行下列步驟。
需求和前置詞整備程度
該位址範圍必須由您擁有,並以您的名義向五個主要區域網際網路註冊機構的其中一個註冊:
位址範圍不得小於 /24,網際網路服務提供者才能接受。
授權 Microsoft 公告位址範圍的路由來源授權 (ROA) 文件,必須由客戶在適當的路由網際網路登錄 (RIR) 網站上,或經由其 API 填寫。 RIR 要求使用 RIR 的資源公開金鑰基礎結構 (RPKI) 對 ROA 進行數位簽署。
針對此 ROA:
來源 AS 必須列為公用雲端的 8075。 (如果範圍將上線至 US Gov 雲端,則來源 AS 必須列為 8070。)
有效結束日期 (到期日期) 必須考慮您想要讓 Microsoft 公告前置詞的時間。 某些 RIR 不會將有效結束日期顯示為選項,或為您選擇日期。
前置詞長度應該完全符合 Microsoft 可公告的前置詞。 例如,如果您打算將 1.2.3.0/24 和 2.3.4.0/23 帶入 Microsoft,則兩者都應該命名。
在 ROA 完成並提交之後,請至少等待 24 小時讓 Microsoft 得以利用該文件,在此期間,將會驗證其作為布建程序一部分的真實性和正確性。
注意
也建議您為任何現有的 ASN 建立 ROA,ASN 會公告範圍,避免在移轉期間發生任何問題。
重要
雖然 Microsoft 不會在指定日期之後停止公告範圍,但如果原始到期日已通過,強烈建議您獨立建立後續 ROA,以避免外部電信業者不接受公告。
憑證整備程度
若要授權 Microsoft 將前置詞與客戶訂用帳戶產生關聯,必須比較公開憑證與已簽署的訊息。
下列步驟顯示針對佈建至公用雲端準備樣本客戶範圍 (1.2.3.0/24) 所需的步驟。
注意
在已安裝 OpenSSL 的 PowerShell 中執行下列命令。
必須建立自我簽署的 X509 憑證,才能新增至前置詞的 Whois/RDAP 記錄。 如需 RDAP 的相關資訊,請參閱 ARIN、RIPE、APNIC 和 AFRINIC 網站。
使用 OpenSSL 工具組的範例如下所示。 下列命令會產生 RSA 金鑰組,並使用六個月內到期的金鑰組來建立 X509 憑證:
./openssl genrsa -out byoipprivate.key 2048 Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
建立憑證之後,請針對前置詞更新 Whois/RDAP 記錄的公開註解區段。 若要顯示複製,包括帶有虛線虛線的 BEGIN/END 頁首/頁尾,請使用命令
cat byoippublickey.cer
:您應該能夠透過路由網際網路註冊機構執行此程序。每個註冊機構的指示如下:
ARIN - 編輯前置詞記錄的「註解」。
RIPE - 編輯 inetnum 記錄的「備註」。
APNIC - 使用 MyAPNIC 編輯 inetnum 記錄的「備註」。
AFRINIC - 使用 MyAFRINIC 編輯 inetnum 記錄的「備註」。
如需 LACNIC 登錄的範圍,請向 Microsoft 建立支援票證。
填妥公開註解之後,Whois/RDAP 記錄看起來應該如下列範例所示。 請確定沒有空格或歸位字元。 包含所有虛線:
若要建立傳遞給 Microsoft 的訊息,請建立包括前置詞和訂用帳戶相關資訊的字串。 使用在之前步驟中產生的金鑰組簽署此訊息。 使用後續的格式,取代訂用帳戶識別碼、要佈建的前置詞,以及符合 ROA 上有效日期的到期日。 請確定格式依該順序排列。
使用下列命令,來建立傳遞至 Microsoft 以進行驗證的已簽署訊息。
注意
如果原始 ROA 中未包含有效結束日期,請挑選對應至您想要讓 Azure 公告前置詞的日期。
$byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd" Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
若要檢視已簽署訊息的內容,請輸入從先前建立的已簽署訊息建立的變數,然後在 PowerShell 提示字元中選取 Enter:
$byoipauthsigned dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
佈建步驟
下列步驟顯示將樣本客戶範圍 (1.2.3.0/24) 佈建至美國西部 2 區域的程序。
注意
根據資源的本質,此頁面不會顯示清除或刪除步驟。 如需移除已佈建自訂 IP 前置詞的資訊,請參閱管理自訂 IP 前置詞。
登入 Azure
登入 Azure 入口網站。
建立和佈建自訂 IP 位址前置詞
在入口網站頂端的搜尋方塊中,輸入自訂 IP。
在搜尋結果中,選取 [自訂 IP 前置詞]。
選取 + 建立。
在 [建立自訂 IP 前置詞] 中,輸入或選取下列資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶 資源群組 選取 [新建]
輸入 myResourceGroup。
選取 [確定]。[執行個體詳細資料] 名稱 輸入 myCustomIPPrefix。 區域 選取 [美國西部 2]。 IP 版本 選取 [IPv4]。 IPv4 前置詞 (CIDR) 輸入 1.2.3.0/24。 ROA 到期日 以 yyyymmdd 格式輸入 ROA 到期日。 已簽署訊息 貼上佈建前小節中 $byoipauthsigned 的輸出。 可用性區域 選取 [區域備援]。 選取 [檢閱 + 建立] 索引標籤,或是頁面底部的 [檢閱 + 建立] 藍色按鈕。
選取 建立。
範圍會推送至 Azure IP 部署管線。 部署程序是非同步的。 您可以檢閱自訂 IP 前置詞的 [委派狀態] 欄位來檢查狀態。
注意
完成佈建程序的預估時間為 30 分鐘。
重要
自訂 IP 前置詞處於「佈建」狀態之後,就可以建立子公用 IP 前置詞。 這些公用 IP 前置詞和任何公用 IP 位址都可以連結至網路資源。 例如,虛擬機器網路介面或負載平衡器前端。 不會公告這些 IP,因此無法連線。 如需使用中前置詞移轉的詳細資訊,請參閱管理自訂 IP 前置詞。
從自訂 IP 前置詞建立公用 IP 前置詞
建立前置詞時,您必須從前置詞建立靜態 IP 位址。 在此節中,您會從先前建立的前置詞建立靜態 IP 位址。
在入口網站頂端的搜尋方塊中,輸入自訂 IP。
在搜尋結果中,選取 [自訂 IP 前置詞]。
在 [自訂 IP 前置詞] 中,選取 [myCustomIPPrefix]。
在 [myCustomIPPrefix] 的 [概觀] 中,選取 [+ 新增公用 IP 前置詞]。
在 [建立公用 IP 前置詞] 中的 [基本資訊] 索引標籤中,輸入或選取下列資訊。
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 myResourceGroup。 [執行個體詳細資料] 名稱 輸入 myPublicIPPrefix。 區域 選取 [美國西部 2]。 公用 IP 前置詞的區域必須符合自訂 IP 前置詞的區域。 IP 版本 選取 [IPv4]。 前置詞所有權 選取 [自訂前置詞]。 自訂 IP 前置詞 選取 [myCustomIPPrefix]。 首碼大小 選取前置詞大小。 大小可以像自訂 IP 前置詞一樣大。 選取 [檢閱 + 建立],然後在下列頁面上選取 [建立]。
重複步驟 1-5 以返回 [myCustomIPPrefix] 的 [概觀] 頁面。 您會看到 myPublicIPPrefix 列在 [相關聯的公用 IP 前置詞] 區段底下。 您現在可以從這個前置詞配置標準 SKU 公用 IP 位址。 如需詳細資訊,請參閱從前置詞建立靜態公用 IP 位址。
委派自訂 IP 位址前置詞
當自訂 IP 前置詞處於已佈建狀態時,請更新前置詞以開始從 Azure 公告範圍的程序。
在入口網站頂端的搜尋方塊中,輸入 [自訂IP],然後選取 [自訂 IP 前置詞]。
驗證並在必要時等候 [myCustomIPPrefix] 列在 [已佈建] 狀態。
在 [自訂 IP 前置詞] 中,選取 [myCustomIPPrefix]。
在 [myCustomIPPrefix] 的 [概觀] 中,選取 [委任] 下拉式功能表,然後選擇 [全域]。
作業是非同步。 您可以檢閱自訂 IP 前置詞的 [委派狀態] 欄位來檢查狀態。 一開始,狀態會將前置詞顯示為 [委任中] 狀態,未來則接著為 [已委任]。 公告推出不是二進位的,而且範圍將會部分公告,同時仍處於 [委任中] 狀態。
注意
完整完成委任流程的預估時間為 3-4 小時。
重要
當自訂 IP 前置詞轉換為 [已委任] 狀態時,會透過 Microsoft 從本地 Azure 區域公告範圍,並透過 Microsoft 的廣域網路在自發系統號碼 (ASN) 8075 下向網際網路全域公告。 從 Microsoft 以外的位置向網際網路公告此相同範圍,可能會導致 BGP 路由不穩定或流量遺失。 例如,客戶內部部署組建。 規劃維護期間內作用中範圍的任何移轉,以避免造成影響。 若要在初始部署期間避免這些問題,您可以選擇僅區域委任選項,其中您的自訂 IP 前置詞只會在部署所在的 Azure 區域內公告。 如需詳細資訊,請參閱管理自訂 IP 位址前置詞 (BYOIP)。
下一步
若要瞭解使用自訂 IP 前置詞的情節和優點,請參閱自訂 IP 位址前置詞 (BYOIP)。
如需管理自訂 IP 前置詞的詳細資訊,請參閱管理自訂 IP 位址前置詞 (BYOIP)。