如何建立和管理IP前綴
本文說明 Azure 操作員 Nexus 中 IP 前置詞和 IP 前置詞規則的主要管理作業。
IP 前置詞作業
建立IP前置詞
若要建立IP前綴資源,請遵循下列步驟:
指定IP前置詞資源的屬性和規則。 您可以使用下列 azcli 命令作為參考:
az networkfabric ipprefix create--resource-group myResourceGroup \ --name myIpPrefix \ --location eastus \ --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \ --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20IP 前置詞資源的屬性和規則如下:
resource-group:您要在其中建立IP前置詞資源的資源群組名稱。name:IP 前置詞資源的名稱。location:您想要在其中建立IP前置詞資源的 Azure 區域。ip-prefix-rules:定義IP前置詞資源之比對準則和動作的規則清單。 每個規則都有下列屬性:action:符合條件時要採取的動作。 它可以是Permit或Deny。Permit表示允許路由,而Deny表示拒絕路由。condition:比較路由的網路前置詞與規則的網路前置詞的條件。 它可以是下列其中一個值:EqualTo:當路由的網路前置詞等於規則的網路前置詞時,條件為 true。NotEqualTo:當路由的網路前置詞不等於規則的網路前置詞時,條件為 true。GreaterThanOrEqualTo:當路由的網路前置詞大於或等於規則的網路前置詞時,條件為 true。
networkPrefix:要比對的網路區段。 它是IP位址和前綴長度,例如10.10.10.10.0/28或2001:db8::/64。 針對IPv4,前置長度必須是1-32。 針對 IPv6,前置長度必須是 1-128。sequenceNumber:規則評估的順序,從最低到最高。 具有最低序號的規則會先評估,最後評估具有最高序號的規則。 如果規則符合路由,評估會停止並執行規則的動作。 如果沒有規則符合路由,則默認動作為 Deny。
使用 azcli 命令建立 IP 前置詞資源。 您可以使用與上一個步驟相同的命令,或根據您的需求加以修改。
確認已成功建立IP前置詞資源。 您可以使用
az networkfabric ipprefix show命令來顯示 IP 前置詞資源的詳細資料。 您可以使用下列範例作為參考:az networkfabric ipprefix show \ --resource-group myResourceGroup \ --name myIpPrefix
在此範例中, myResourceGroup 是您建立IP前綴資源的資源群組名稱,而 myIpPrefix 是IP前置詞資源的名稱。
回應應該包含IP前置詞資源的屬性和規則,例如標識碼、類型、ipPrefixRules、位置、名稱、provisioningState、resourceGroup和標記。
顯示 IP 前置詞資源
若要依標識碼或名稱取得現有 IP 前置詞資源的詳細數據,請使用下列命令:
# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
--resource-group myResourceGroup \
--name myIpPrefix
REST API 回應本文如下所示:
{
"id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
"location": "eastus",
"name": "myIpPrefix",
"properties": {
"ipPrefixRules": [
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "10.10.10.0/28",
"sequenceNumber": 10
},
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "20.20.20.0/24",
"sequenceNumber": 20
}
]
}
}
更新IP前置綴資源
若要更新 IP 前置綴資源,請遵循下列步驟:
指定您想要更新之 IP 前置詞資源的屬性和規則。 您可以使用與上一節相同的 JSON 範本,或根據您的需求加以修改。
使用 Azure CLI 命令或 REST API 方法更新 IP 前置詞資源。 您可以使用下列範例作為參考:
az networkfabric ipprefix update \ -g "example-rg" \ --resource-name "example-ipprefix" \ --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"
在此範例中, resourceGroupName 是您建立IP前置詞資源的資源群組名稱、 ipPrefixName IP 前置詞資源的名稱,而 --add 選項會將新規則新增至ipPrefixRules屬性。 新的規則會拒絕具有網路前綴 30.30.30.0/24 且序號為 30 的路由。
刪除IP前置詞資源
若要依標識碼或名稱刪除現有的IP前置詞資源,請使用下列命令:
# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
--resource-group myResourceGroup \
--name myIpPrefix
依標識碼刪除 IP 前置詞資源的 REST API 要求本文如下所示:
{
"id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}
範例 IP 前置詞資源
ipprefixv4-externalnetwork1-export
此資源可用來管理資源群組中特定外部網路的網路流量規則。 其中包含允許流量流向 20.20.20.0/24 和 50.50.50.0/24 網路前綴的規則,但拒絕 10.10.10.0/28 網路前綴的流量。
{
"id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
"ipPrefixRules": [
{
"action": "Deny",
"condition": "EqualTo",
"networkPrefix": "10.10.10.0/28",
"sequenceNumber": 10
},
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "20.20.20.0/24",
"sequenceNumber": 12
},
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "50.50.50.0/24",
"sequenceNumber": 13
}
],
"location": "eastus",
"name": "ipprefixv4-externalnetwork1-export",
"provisioningState": "Succeeded",
"resourceGroup": "...",
"type": "microsoft.managednetworkfabric/ipprefixes"
}
此資源會拒絕 10.10.10.0/28 網路前綴的流量,並允許流量流向 20.20.20.0/24 和 50.50.50.0/24 網路前綴。
ipprefixv4-1204-cn1
此資源可用來管理資源群組中特定網路的網路流量規則。 其中包含允許流量流向 10.10.10.0/28 和 20.20.20.0/24 網路前綴的規則。
{
"id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
"ipPrefixRules": [
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "10.10.10.0/28",
"sequenceNumber": 10
},
{
"action": "Permit",
"condition": "EqualTo",
"networkPrefix": "20.20.20.0/24",
"sequenceNumber": 12
}
],
"location": "eastus",
"name": "ipprefixv4-1204-cn1",
"provisioningState": "Succeeded",
"resourceGroup": "...",
"type": "microsoft.managednetworkfabric/ipprefixes"
}
此資源允許流量流向 10.10.10.0/28 和 20.20.20.0/24 網路前綴。
ipprefix-v6-ingress
此資源位於 eastus 區域中,且是資源群組的一部分。 它已設定,但目前已停用。 資源的類型為 microsoft.managednetworkfabric/ipprefixes。
資源有兩個IP前置詞規則:
允許來自大於或等於 fda0:d59c:db12::/59 且子網掩碼長度為 59 的網路前綴的流量。
允許來自大於或等於 fc00:f853:ccd:e793::/64 且子網掩碼長度為 64 的網路前綴的流量。
{
"administrativeState": "Disabled",
"configurationState": "Succeeded",
"id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
"ipPrefixRules": [
{
"action": "Permit",
"condition": "GreaterThanOrEqualTo",
"networkPrefix": "fda0:d59c:db12::/59",
"sequenceNumber": 10,
"subnetMaskLength": "59"
},
{
"action": "Permit",
"condition": "GreaterThanOrEqualTo",
"networkPrefix": "fc00:f853:ccd:e793::/64",
"sequenceNumber": 20,
"subnetMaskLength": "64"
}
],
"location": "eastus",
"name": "ipprefix-v6-ingress",
"provisioningState": "Succeeded",
"resourceGroup": "...",
"type": "microsoft.managednetworkfabric/ipprefixes"
}
此資源設定為允許來自指定網路前綴的 IPv6 流量。