Sdílet prostřednictvím

Vytvoření vlastní předpony adresy IPv4 v Azure

  • Článek

V tomto článku se dozvíte, jak vytvořit vlastní předponu adresy IPv4 pomocí webu Azure Portal. Připravíte rozsah pro zřízení, zřídíte rozsah pro přidělování IP adres a povolíte inzerování rozsahu od Microsoftu.

Vlastní předpona adresy IPv4 umožňuje přenést do Microsoftu vlastní rozsahy IPv4 a přidružit je k vašemu předplatnému Azure. Vlastnictví rozsahu si zachováte, zatímco Microsoft by ho mohl inzerovat na internetu. Předpona vlastní IP adresy funguje jako místní prostředek, který představuje souvislý blok IP adres vlastněných zákazníkem.

V tomto článku si můžete vybrat mezi webem Azure Portal, Azure CLI nebo PowerShellem a vytvořit vlastní předponu adresy IPv4.

Globální/regionální vs. jednotný model

Než nasadíte rozsah do Azure, musíte se rozhodnout, který model bude pro vaši architekturu nejvhodnější. Pro BYOIPv4 nabízí Azure dva modely nasazení: "global/regional" a "unified".

  • Globální/regionální model používá nadřazené podřízené/ paradigma. V tomto paradigmatu inzeruje síť WAN (Microsoft Wide Area Network) globální rozsah (nadřazený) a příslušné oblasti Azure inzerují regionální (podřízené) rozsahy. Ve výchozím nastavení můžou mít globální rozsahy velikost od /21 do /24 a oblastní rozsahy můžou mít velikost od /22 do /26. Oblastní rozsahy jsou závislé na velikosti příslušné nadřazené oblasti a musí být alespoň o jednu úroveň menší. Globální rozsah používající /23 by například umožňoval oblastní rozsah /24 až /26. V rámci zřizování je potřeba ověřit pouze globální rozsah. Oblastní rozsahy se odvozují od globálního rozsahu podobným způsobem jako předpony veřejných IP adres od vlastních předpon IP adres.

  • Jednotný model je zjednodušený systém, ve kterém služba Microsoft Wide Area Network (WAN) i oblast Azure inzeruje stejný rozsah. Ve výchozím nastavení může mít jednotný rozsah velikost od /21 do /24.

  • Volba modelu závisí na rozsahu požadovaného onboardingu. Pokud například váš plán zahrnuje pouze onboarding rozsahu do jedné oblasti Azure, je jednotný model logičtější volbou a vyhne se režijním nákladům na správu. Pokud se vaše organizace místo toho snaží nasadit rozsahy BYOIPv4 do několika oblastí– potenciálně rozložených mezi různé týmy v organizaci a po delší dobu – pak globální/regionální model může poskytnout větší flexibilitu.

Poznámka:

Rozsahy nelze migrovat mezi těmito dvěma modely, jakmile jsou nasazené; musí být plně zrušeny a znovu nasazeny, aby využívaly jiný model.

Požadavky

  • Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

  • Rozsah IPv4 vlastněný zákazníkem, který se má zřídit v Azure.

    • V tomto příkladu se používá ukázkový rozsah zákazníků (1.2.3.0/24). Tento rozsah se v Azure neověřuje, proto nahraďte ukázkový rozsah vašimi.

Poznámka:

Informace o problémech, ke kterým došlo během procesu zřizování, najdete v tématu Řešení potíží s předponou vlastní IP adresy.

Kroky předběžného zřizování

Pokud chcete využít funkci Azure BYOIP, musíte před zřízením rozsahu adres IPv4 provést následující kroky.

Požadavky a připravenost předpon

  • Rozsah adres musí být vlastněný vámi a zaregistrovaný pod vaším jménem s jedním z pěti hlavních regionálních internetových registrů:

  • Rozsah adres nesmí být menší než /24, aby poskytovatelé internetových služeb mohli přijmout.

  • Dokument o autorizaci původu trasy (ROA), který autorizuje microsoftu k inzerování rozsahu adres, musí dokončit zákazník na příslušném webu SLUŽBY RIR (Routing Internet Registry) nebo prostřednictvím svého rozhraní API. RiR vyžaduje, aby byla roa digitálně podepsaná pomocí infrastruktury veřejných klíčů prostředků (RPKI) vašeho RIR.

    Pro tuto roa:

    • Zdroj AS musí být uvedený jako 8075 pro veřejný cloud. (Pokud se rozsah nasadí do cloudu US Gov, musí být jako 8070 uvedený zdroj AS.)

    • Koncové datum platnosti (datum vypršení platnosti) musí odpovídat času, kdy máte v úmyslu inzerovat předponu od Microsoftu. Některá rezervovaná instance nezobrazují koncové datum platnosti jako možnost a nebo si vyberte datum.

    • Délka předpony by měla přesně odpovídat předponám, které Microsoft inzeruje. Pokud například plánujete do Microsoftu přenést verzi 1.2.3.0/24 a 2.3.4.0/23, měly by mít oba názvy.

    • Po dokončení a odeslání žádosti o přijetí žádosti o přijetí této žádosti je možné společnosti Microsoft zpřístupnit alespoň 24 hodin, kde bude ověřena, aby v rámci procesu zřizování určila jeho pravost a správnost.

Poznámka:

Doporučuje se také vytvořit ROA pro všechny stávající ASN, které inzeruje rozsah, aby se během migrace zabránilo jakýmkoli problémům.

Důležité

I když Společnost Microsoft nebude inzerovat rozsah po zadaném datu, důrazně doporučujeme nezávisle vytvořit návazné roa, pokud původní datum vypršení platnosti uplynulo, aby se zabránilo externím operátorům v přijetí reklamy.

Připravenost certifikátů

Pokud chcete autorizovat Microsoft, aby přidružil předponu k předplatnému zákazníka, musí se veřejný certifikát porovnat s podepsanou zprávou.

Následující kroky ukazují kroky potřebné k přípravě rozsahu ukázkových zákazníků (1.2.3.0/24) pro zřizování ve veřejném cloudu. Tyto příkazy můžete spouštět pomocí Prostředí Windows PowerShell nebo v konzole linuxu. Obě vyžadují instalaci OpenSSL.

  1. Certifikát X509 podepsaný svým držitelem musí být vytvořen pro přidání do záznamu Whois/RDAP pro předponu. Informace o RDAP naleznete na stránkách ARIN, RIPE, APNIC a AFRINIC .

    Pomocí sady nástrojů OpenSSL následující příkazy vygenerují dvojici klíčů RSA a vytvoří certifikát X509 pomocí dvojice klíčů, která vyprší za šest měsíců.

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Po vytvoření certifikátu aktualizujte část veřejných komentářů záznamu Whois/RDAP pro předponu. Pokud chcete zobrazit kopírování, včetně záhlaví/zápatí BEGIN/END s pomlčkami, použijte příkaz cat byoippublickey.cer , který byste měli být schopni provést prostřednictvím svého registru Směrování internetu.

    Tady jsou pokyny pro každý registr:

    • ARIN – upravte komentáře záznamu předpony.

    • RIPE - upravit poznámky inetnum záznamu.

    • APNIC - upravte poznámky inetnum záznamu pomocí MyAPNIC.

    • AFRINIC - upravit Poznámky inetnum záznam pomocí MyAFRINIC.

    • Pro rozsahy z registru LACNIC vytvořte lístek podpory s Microsoftem.

    Po vyplnění veřejných komentářů by měl záznam Whois/RDAP vypadat jako v následujícím příkladu. Při kopírování se ujistěte, že nejsou mezery nebo se vrátí znak řádku, a zahrňte všechny pomlčky:

    Snímek obrazovky s ukázkovým komentářem k certifikátu

  3. Pokud chcete vytvořit zprávu předanou Microsoftu, vytvořte řetězec obsahující relevantní informace o vaší předponě a předplatném. Podepište tuto zprávu pomocí dvojice klíčů vygenerovaných dříve. Použijte následující formát, nahraďte ID vašeho předplatného, předponu, která se má zřídit, a datum vypršení platnosti odpovídající datu platnosti v ROA. Ujistěte se, že formát je v daném pořadí.

    Pomocí následujícího příkazu vytvořte podepsanou zprávu předanou Microsoftu k ověření.

    Poznámka:

    Pokud datum ukončení platnosti nebylo zahrnuto v původní roa, vyberte datum, které odpovídá času, kdy máte v úmyslu inzerovat předponu v Azure.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Pokud chcete zobrazit obsah podepsané zprávy, zadejte proměnnou vytvořenou z dříve vytvořené zprávy a na příkazovém řádku vyberte Enter :

    $byoipauthsigned

# Output
ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==

Zřizování a zprovoznění vlastní předpony IPv4

Následující kroky zobrazí postup zřizování a zprovoznění vlastní předpony IPv4 adresy s výběrem dvou modelů: Unified a Global/Regional. Tyto kroky je možné provést pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Pomocí webu Azure Portal můžete zřídit a zřídit vlastní předponu adresy IPv4 pomocí webu Azure Portal.

Následující kroky zobrazují postup zřízení ukázkového rozsahu zákazníků (1.2.3.0/24) do oblasti USA – západ 2.

Poznámka:

Kroky vyčištění nebo odstranění se na této stránce nezobrazují vzhledem k povaze prostředku. Informace o odebrání zřízené vlastní předpony IP adres najdete v tématu Správa vlastních předpon IP adres.

Přihlášení k Azure

Přihlaste se k portálu Azure.

Vytvoření a zřízení sjednocené vlastní předpony IP adresy

  1. Do vyhledávacího pole v horní části portálu zadejte vlastní IP adresu.

  2. Ve výsledcích hledání vyberte vlastní předpony IP adres.

  3. Vyberte + Vytvořit.

  4. V části Vytvořit vlastní předponu IP zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
    Zadejte myResourceGroup.
    Vyberte OK.
    Podrobnosti o instanci
    Název Zadejte myCustomIPPrefix.
    Oblast Vyberte USA – západ 2.
    Verze protokolu IP Vyberte IPv4.
    Předpona IPv4 (CIDR) Zadejte 1.2.3.0/24.
    Datum vypršení platnosti ROA Zadejte datum vypršení platnosti ROA ve formátu rrrrmmdd .
    Podepsaná zpráva Vložte výstup $byoipauthsigned z oddílu předběžného zřizování.
    Zóny dostupnosti Vyberte zónově redundantní.

    Snímek obrazovky se stránkou vytvořit vlastní předponu IP adresy na webu Azure Portal

  5. Vyberte kartu Zkontrolovat a vytvořit nebo modré tlačítko Zkontrolovat a vytvořit v dolní části stránky.

  6. Vyberte Vytvořit.

Rozsah se odešle do kanálu nasazení IP adresy Azure. Proces nasazení je asynchronní. Stav můžete zkontrolovat tak , že zkontrolujete pole stavu Komise pro vlastní předponu IP adresy.

Poznámka:

Odhadovaná doba dokončení procesu zřizování je 30 minut.

Důležité

Po vytvoření vlastní předpony IP adresy ve stavu Zřízeno je možné vytvořit předponu podřízené veřejné IP adresy. Tyto veřejné IP adresy a všechny veřejné IP adresy je možné připojit k síťovým prostředkům. Například síťová rozhraní virtuálních počítačů nebo front-endy nástroje pro vyrovnávání zatížení. IP adresy se nebudou inzerovat, a proto nebudou dostupné. Další informace o migraci aktivní předpony najdete v tématu Správa vlastní předpony IP.

Vytvoření předpony veřejné IP adresy z sjednocené vlastní předpony IP adresy

Při vytváření předpony musíte vytvořit statické IP adresy z předpony. V této části vytvoříte statickou IP adresu z předpony, kterou jste vytvořili dříve.

  1. Do vyhledávacího pole v horní části portálu zadejte vlastní IP adresu.

  2. Ve výsledcích hledání vyberte vlastní předpony IP adres.

  3. V předponách vlastních IP adres vyberte myCustomIPPrefix.

  4. V části Přehled myCustomIPPrefix vyberte + Přidat předponu veřejné IP adresy.

  5. Na kartě Základy vytvořte předponu veřejné IP adresy nebo vyberte následující informace.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte myResourceGroup.
    Podrobnosti o instanci
    Název Zadejte myPublicIPPrefix.
    Oblast Vyberte USA – západ 2. Oblast předpony veřejné IP adresy se musí shodovat s oblastí vlastní předpony IP.
    Verze protokolu IP Vyberte IPv4.
    Vlastnictví předpony Vyberte vlastní předponu.
    Vlastní předpona IP adresy Vyberte myCustomIPPrefix.
    Velikost předpony Vyberte velikost předpony. Velikost může být tak velká jako vlastní předpona IP adresy.

  6. Vyberte Zkontrolovat a vytvořit a potom vytvořit na následující stránce.

  7. Opakováním kroků 1 až 3 se vraťte na stránku Přehled pro myCustomIPPrefix. Zobrazí se myPublicIPPrefix uvedený v části Přidružené předpony veřejných IP adres. Z této předpony teď můžete přidělit standardní veřejné IP adresy skladové položky. Další informace najdete v tématu Vytvoření statické veřejné IP adresy z předpony.

Komise sjednocenou předponu vlastní IP adresy

Pokud je vlastní předpona IP adresy ve stavu Zřízeno , aktualizujte předponu tak, aby zahájila proces inzerce rozsahu z Azure.

  1. Do vyhledávacího pole v horní části portálu zadejte vlastní IP adresu a vyberte Vlastní předpony IP adres.

  2. Ověřte, a v případě potřeby počkejte, než se myCustomIPPrefix zobrazí ve stavu Zřízeno .

  3. V předponách vlastních IP adres vyberte myCustomIPPrefix.

  4. V části Přehled myCustomIPPrefix vyberte rozevírací nabídku Komise a zvolte Globálně.

Operace je asynchronní. Stav můžete zkontrolovat tak , že zkontrolujete pole stavu Komise pro vlastní předponu IP adresy. Na začátku bude stav zobrazovat předponu jako Komise, následovaná v budoucnu Komisí. Uvedení reklamy se nedokončí najednou. Rozsah je částečně inzerován, i když je stále ve stavu Komise .

Poznámka:

Odhadovaná doba k úplnému dokončení procesu zprovoznění je 3 až 4 hodiny.

Důležité

Vzhledem k tomu, že vlastní předpona IP adres přechází do stavu Komise , je rozsah inzerován s Microsoftem z místní oblasti Azure a globálně do internetu prostřednictvím sítě Microsoft wide area network v rámci čísla autonomního systému (ASN) 8075. Inzerování stejného rozsahu na internet z jiného umístění než Microsoftu může potenciálně způsobit nestabilitu směrování protokolu BGP nebo ztrátu provozu. Například místní budova zákazníka. Naplánujte jakoukoli migraci aktivního rozsahu během období údržby, abyste se vyhnuli dopadu. Pokud chcete těmto problémům zabránit během počátečního nasazení, můžete zvolit jedinou možnost zprovoznění oblasti, ve které bude vaše vlastní předpona IP adres inzerována pouze v rámci oblasti Azure, ve které se nasadí. Další informace najdete v tématu Správa vlastní předpony IP adres (BYOIP).

Další kroky