Partager via

Créer un préfixe d’adresse IPv4 personnalisé dans Azure

  • Article

Dans cet article, vous apprenez à créer un préfixe d’adresse IPv4 personnalisé en utilisant le portail Azure. Vous préparez une plage à approvisionner, vous approvisionnez la plage pour l’allocation d’adresses IP et vous activez la publication de plage par Microsoft.

Un préfixe d’adresse IPv4 personnalisé vous permet d’apporter vos propres plages d’adresses IPv4 à Microsoft, et de l’associer à votre abonnement Azure. Vous conservez la propriété de la plage, Microsoft étant autorisé à la publier sur Internet le cas échéant. Un préfixe d’adresse IP personnalisé fonctionne comme une ressource régionale représentant un bloc contigu d’adresses IP appartenant à un client.

Pour cet article, choisissez entre le portail Azure, Azure CLI ou PowerShell pour créer un préfixe d’adresse IPv4 personnalisé.

Modèle global/régional versus modèle unifié

Avant d’intégrer votre plage à Azure, vous devez décider du modèle qui fonctionne le mieux pour votre architecture. Pour BYOIPv4, Azure propose deux modèles de déploiement : « global/régional » et « unifié ».

  • Le modèle global/régional utilise un paradigme parent/enfant. Dans ce paradigme, le réseau étendu (WAN, Wide Area Network) Microsoft publie la plage globale (parent) et les régions Azure respectives publient les plages régionales (enfant). Par défaut, les plages globales peuvent être comprises entre /21 et /24 en taille, tandis que les plages régionales peuvent être comprises entre /22 et /26 en taille. Les plages régionales dépendent de la taille de leur plage parente respective et doivent être au moins à un niveau plus bas. Par exemple, une plage globale utilisant /23 autorise une plage régionale de /24 à /26. Seule la plage globale doit être validée dans le cadre de l’approvisionnement. Les plages régionales sont dérivées de la plage globale de manière similaire à la façon dont les préfixes d’adresses IP publics sont dérivés des préfixes d’adresses IP personnalisés.

  • Le modèle Unifié est un système simplifié où le réseau étendu Microsoft (WAN) et la région Azure publient la même plage. Par défaut, une plage unifiée peut être comprise entre /21 et /24 en taille.

  • Le choix du modèle dépend de l’étendue de l’intégration souhaitée. Par exemple, si votre plan implique uniquement l’intégration d’une plage à une seule région Azure, le modèle unifié est un choix plus logique et évite de surcharger la gestion. Si votre organisation cherche plutôt à déployer des plages BYOIPv4 sur plusieurs régions, potentiellement réparties entre différentes équipes au sein de l’organisation et sur une période prolongée, un modèle global/régional peut offrir une plus grande flexibilité.

Remarque

Les plages ne peuvent pas être « migrées » entre les deux modèles une fois qu’elles sont intégrées ; elles doivent être entièrement désapprovisionnées et réintégrées pour utiliser l’autre modèle.

Prérequis

  • Compte Azure avec un abonnement actif. Créez un compte gratuitement.

  • Plage d’adresses IPv4 appartenant à un client à provisionner dans Azure.

    • Un exemple de plage de client (1.2.3.0/24) est utilisé pour cet exemple. Cette plage n’est pas validée dans Azure, donc remplacez l’exemple de plage par la vôtre.

Remarque

Pour les problèmes rencontrés pendant le processus d’approvisionnement, consultez Résolution des problèmes de préfixe d’adresse IP personnalisé.

Étapes de pré-approvisionnement

Pour utiliser la fonctionnalité Azure BYOIP, vous devez effectuer les étapes suivantes avant l’approvisionnement de votre plage d’adresses IPv4.

Configuration requise et préparation du préfixe

  • La plage d’adresses doit être détenue par vous et inscrite sous votre nom auprès de l’un des cinq principaux registres Internet régionaux :

  • La plage d’adresses ne doit pas être inférieure à un /24 afin d’être acceptée par les fournisseurs de services Internet.

  • Un document d’autorisation d’origine d’itinéraire (ROA) autorisant Microsoft à publier la plage d’adresses doit être complété par le client sur le site web du registre Internet de routage (RIR) approprié ou via son API. Le RIR nécessite que le ROA soit signé numériquement avec l’infrastructure de clé publique des ressources (RPKI) de votre RIR.

    Pour cette ROA :

    • L’AS d’origine doit être défini sur 8075 pour le cloud public. (Si la plage est destinée à être intégrée au cloud US Gov, l’AS d’origine doit être défini sur 8070.)

    • La date de fin de validité (date d’expiration) doit tenir compte de l’heure à laquelle vous souhaitez que Microsoft publie le préfixe. Certains registres Internet de routage ne présentent pas de date de fin de validité en tant qu’option, ou la choisissent pour vous.

    • La longueur du préfixe doit correspondre exactement aux préfixes que publie Microsoft. Par exemple, si vous envisagez de soumettre les plages 1.2.3.0/24 et 2.3.4.0/23 à Microsoft, elles doivent toutes deux être nommées.

    • Une fois le ROA terminé et soumis, attendez au moins 24 heures pour qu’il soit disponible pour Microsoft, où il sera vérifié pour déterminer son authenticité et son exactitude dans le cadre du processus d’approvisionnement.

Notes

Il est également recommandé de créer une autorisation ROA pour tout numéro ASN existant qui publie la plage afin d’éviter tout problème lors de la migration.

Important

Bien que Microsoft s’engage à ne pas arrêter pas la publication de la plage après la date spécifiée, il est fortement recommandé de créer indépendamment un ROA de suivi pour éviter que les opérateurs externes n’acceptent pas la publication, si la date d’expiration d’origine est dépassée.

Préparation de certificat

Pour autoriser Microsoft à associer un préfixe à un abonnement client, un certificat public doit être comparé à un message signé.

Les étapes suivantes sont requises pour préparer un exemple de plage client (1.2.3.0/24) en vue du provisionnement dans le cloud public. Vous pouvez exécuter ces commandes avec Windows PowerShell ou dans une console Linux. Les deux nécessitent qu’OpenSSL soit installé.

  1. Un certificat X509 auto-signé doit être créé, à ajouter à l’enregistrement Whois/RDAP pour le préfixe. Pour plus d’informations sur RDAP, consultez les sites ARIN, RIPE, APNIC, et AFRINIC.

    À l’aide du kit de ressources OpenSSL, les commandes suivantes génèrent une paire de clés RSA et créent un certificat X509 à l’aide de la paire de clés qui expire dans six mois.

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Une fois le certificat créé, mettez à jour la section des commentaires publics de l’enregistrement Whois/RDAP pour le préfixe. Pour afficher à des fins de copie, y compris l’en-tête/pied de page BEGIN/END avec des tirets, utilisez la commande cat byoippublickey.cer. Vous devriez pouvoir effectuer cette procédure via votre registre Internet de routage.

    Voici les instructions pour chaque registre :

    • ARIN : modifiez les commentaires de l’enregistrement de préfixe.

    • RIPE : modifiez les remarques de l’enregistrement inetnum.

    • APNIC : modifiez les remarques de l’enregistrement inetnum à l’aide de MyAPNIC.

    • AFRINIC : modifiez les remarques de l’enregistrement inetnum à l’aide de MyAFRINIC.

    • Pour les plages provenant de registres LACNIC, créez un ticket de support auprès de Microsoft.

    Une fois les commentaires publics renseignés, l’enregistrement Whois/RDAP devrait ressembler à l’exemple suivant. Lors de la copie, assurez-vous qu’il n’y a pas d’espace ni de retour chariot et veillez à inclure tous les tirets :

    Capture d’écran d’un exemple de commentaire de certificat.

  3. Pour créer le message transmis à Microsoft, créez une chaîne contenant des informations pertinentes sur votre préfixe et votre abonnement. Signez ce message avec la paire de clés générée précédemment. Utilisez le format suivant, en remplaçant votre ID d’abonnement, le préfixe à approvisionner et la date d’expiration correspondant à la date de validité indiquée sur la ROA. Vérifiez que le format est dans cet ordre.

    Utilisez la commande suivante pour créer un message signé transmis à Microsoft pour vérification.

    Remarque

    Si la date de fin de validité n’a pas été incluse dans la ROA d’origine, choisissez une date correspondant à l’heure à laquelle vous souhaitez qu’Azure publie le préfixe.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Pour afficher le contenu du message signé, entrez la variable créée à partir du message signé créé précédemment, puis sélectionnez Entrée à l’invite :

    $byoipauthsigned

# Output
ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==

Approvisionnement et mise en service d’un préfixe IPv4 personnalisé

Les étapes suivantes affichent la procédure d’approvisionnement et de mise en service d’un préfixe d’adresse IPv4 personnalisé avec un choix de deux modèles : unifié et global/régional. Ces étapes peuvent être effectuées avec le portail Azure, Azure CLI ou Azure PowerShell.

Utilisez le portail Azure pour approvisionner et mettre en service un préfixe d’adresse IPv4 personnalisé avec le portail Azure.

Les étapes suivantes présentent la procédure d’approvisionnement d’un exemple de plage clients (1.2.3.0/24) dans la région USA Ouest 2.

Notes

Les étapes de nettoyage ou de suppression ne sont pas affichées sur cette page, compte tenu de la nature de la ressource. Pour plus d’informations sur la suppression d’un préfixe d’adresse IP personnalisé approvisionné, consultez Gérer un préfixe d’adresse IP personnalisé.

Connexion à Azure

Connectez-vous au portail Azure.

Créer et approvisionner un préfixe d’adresse IP personnalisé unifié

  1. Dans la zone de recherche en haut du portail, entrez IP personnalisée.

  2. Dans les résultats de recherche, sélectionnez Préfixes d’adresses IP personnalisés.

  3. Sélectionnez + Créer.

  4. Dans Créer un préfixe IP personnalisé, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement
    Resource group Sélectionnez Créer nouveau.
    Entrez myResourceGroup.
    Sélectionnez OK.
    Détails de l’instance
    Nom Entrez myCustomIPPrefix.
    Région Sélectionnez USA Ouest 2.
    Version de l’adresse IP Sélectionnez IPv4.
    Préfixe IPv4 (CIDR) Entrez 1.2.3.0/24.
    Date d’expiration de ROA Entrez la date d’expiration de votre ROA au format aaaammjj.
    Message signé Collez la sortie de $byoipauthsigned à partir de la section sur le pré-approvisionnement.
    Zones de disponibilité Sélectionnez Redondant dans une zone.

    Capture d’écran de la création d’une page de préfixes d’adresses IP personnalisée dans le portail Azure.

  5. Sélectionnez l’onglet Vérifier + créer ou le bouton bleu Vérifier + créer situé en bas de la page.

  6. Cliquez sur Créer.

La plage est envoyée (push) au pipeline de déploiement d’adresse IP Azure. Le processus de déploiement est asynchrone. Vous pouvez vérifier l’état en consultant le champ État de mise en service pour le préfixe d’adresse IP personnalisé.

Notes

Le temps estimé pour le processus d’approvisionnement est de 30 minutes.

Important

Une fois le préfixe d’adresse IP personnalisé dans l’état « Approvisionné », un préfixe d’adresse IP public enfant peut être créé. Ces préfixes d’adresse IP publics et toutes les adresses IP publiques peuvent être attachés aux ressources de mise en réseau. Par exemple, les interfaces réseau de machine virtuelle ou les serveurs frontaux d’équilibreur de charge. Les adresses IP ne seront pas publiées et ne seront donc pas accessibles. Pour plus d’informations sur la migration d’un préfixe actif, consultez Gérer un préfixe d’adresse IP personnalisé.

Créer un préfixe IP public à partir d’un préfixe IP personnalisé unifié

Une fois que vous avez créé un préfixe, vous devez créer des adresses IP statiques à partir de celui-ci. Dans cette section, vous allez créer une adresse IP statique à partir du préfixe que vous avez créé précédemment.

  1. Dans la zone de recherche en haut du portail, entrez IP personnalisée.

  2. Dans les résultats de recherche, sélectionnez Préfixes d’adresses IP personnalisés.

  3. Dans Préfixes d’adresses IP personnalisés, sélectionnez myCustomIPPrefix.

  4. Dans Vue d’ensemble de myCustomIPPrefix, sélectionnez + Ajouter un préfixe d’adresse IP public.

  5. Sous l’onglet De base de Créer un préfixe d’adresse IP public, entrez ou sélectionnez les informations suivantes.

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom Entrez myPublicIPPrefix.
    Région Sélectionnez USA Ouest 2. La région du préfixe d’adresse IP publique doit correspondre celle du préfixe d’adresse IP personnalisé.
    Version de l’adresse IP Sélectionnez IPv4.
    Propriété du préfixe Sélectionnez Préfixe personnalisé.
    Préfixe d’adresse IP personnalisé Sélectionnez myCustomIPPrefix.
    Taille de préfixe Sélectionnez une taille de préfixe. La taille peut être aussi importante que le préfixe d’adresse IP personnalisé.

  6. Sélectionnez Vérifier + créer, puis Créer dans la page suivante.

  7. Répétez les étapes 1 à 3 pour revenir à la page Vue d’ensemble de myCustomIPPrefix. Vous voyez s’afficher MyPublicIPPrefix dans la section Préfixes d’adresses IP publiques associés. Vous pouvez maintenant allouer des adresses IP publiques SKU standard à partir de ce préfixe. Pour plus d’informations, consultez Créer une adresse IP publique statique à partir d’un préfixe.

Mettre en service le préfixe d’adresse IP personnalisé unifié

Lorsque le préfixe d’adresse IP personnalisé est à l’état Approvisionné, mettez-le à jour pour commencer le processus de publication de la plage à partir d’Azure.

  1. Dans la zone de recherche située en haut du portail, entrez Adresse IP personnalisée et sélectionnez Préfixes IP personnalisés.

  2. Vérifiez et attendez si nécessaire que myCustomIPPrefix s’affiche avec l’état Provisionné.

  3. Dans Préfixes d’adresses IP personnalisés, sélectionnez myCustomIPPrefix.

  4. Dans Vue d’ensemble de myCustomIPPrefix, sélectionnez le menu déroulant Mise en service et choisissez Globalement.

L’opération est asynchrone. Vous pouvez vérifier l’état en consultant le champ État de mise en service pour le préfixe d’adresse IP personnalisé. Dans un premier temps, l’état du préfixe sera Mise en service en cours, puis Mis en service. Le lancement de la publication ne se fait pas d’un seul coup. La plage est partiellement publiée tout en restant dans l’état Mise en service.

Remarque

La durée estimée d’accomplissement complet du processus de mise en service est de 3 à 4 heures.

Important

Lorsque le préfixe d’adresse IP personnalisé passe à l’état Mis en service, la plage est publiée avec Microsoft à partir de la région Azure locale et globalement vers l’Internet par le réseau étendu de Microsoft sous le numéro de système autonome (ASN) 8075. La publication de cette même plage sur Internet à partir d’un emplacement autre que Microsoft au même moment risque de créer une instabilité de routage BGP ou une perte de trafic. Par exemple, une génération locale d’un client. Pour éviter tout impact, planifiez toute migration d’une plage active pendant une période de maintenance. Pour éviter ces problèmes lors du déploiement initial, vous pouvez choisir l’option « Mise en service régionale uniquement » pour que votre préfixe IP personnalisé soit publié uniquement dans la région Azure où il est déployé. Pour plus d’informations, consultez Gérer un préfixe d’adresse IP personnalisé (BYOIP).

Étapes suivantes