다음을 통해 공유

Azure에서 사용자 지정 IPv4 주소 접두사 만들기

  • 아티클

이 문서에서는 Azure Portal을 사용하여 사용자 지정 IPv4 주소 접두사를 만드는 방법을 알아봅니다. 범위를 준비하여 프로비전하고, IP 할당 범위를 프로비전하고, Microsoft에서 범위 보급을 사용하도록 설정합니다.

사용자 지정 IPv4 주소 접두사를 사용하면 자체 IPv4 범위를 Microsoft로 가져와서 Azure 구독에 연결할 수 있습니다. Microsoft가 인터넷에 보급할 수 있지만, 해당 범위의 소유권은 사용자에게 있습니다. 사용자 지정 IP 주소 접두사는 고객 소유 IP 주소의 연속 블록을 나타내는 지역 리소스의 기능을 합니다.

이 문서의 경우 Azure Portal, Azure CLI 또는 PowerShell 중에서 선택하여 사용자 지정 IPv4 주소 접두사를 만듭니다.

전역/지역 및 통합 모델

범위를 Azure에 온보딩하기 전에 아키텍처에 가장 적합한 모델을 결정해야 합니다. BYOIPv4의 경우 Azure는 "글로벌/지역" 및 "통합"이라는 두 가지 배포 모델을 제공합니다.

  • 전역/지역 모델은 부모/자식 패러다임을 사용합니다. 이 패러다임에서 WAN(Microsoft Wide Area Network)은 전역(부모) 범위를 보급하고 각 Azure 지역은 지역(자식) 범위를 보급합니다. 기본적으로 전역 범위는 /21에서 /24까지의 크기일 수 있으며 지역 범위는 /22에서 /26까지입니다. 지역 범위는 해당 부모 범위의 크기에 따라 달라지므로 한 수준 이상 작아야 합니다. 예를 들어 /23을 사용하는 전역 범위는 /24에서 /26까지의 지역 범위를 허용합니다. 전역 범위만 프로비전의 일부로 유효성을 검사해야 합니다. 지역 범위는 공용 IP 접두사가 사용자 지정 IP 접두사에서 파생되는 방식과 비슷한 방식으로 전역 범위에서 파생됩니다.

  • 통합 모델은 WAN(Microsoft Wide Area Network)과 Azure 지역 모두 동일한 범위를 보급하는 간소화된 시스템입니다. 기본적으로 통합 범위의 크기는 /21에서 /24까지입니다.

  • 모델 선택은 원하는 온보딩 범위에 따라 달라집니다. 예를 들어 계획이 단일 Azure 지역에 범위를 온보딩하는 것만 포함되는 경우 통합 모델은 더 논리적인 선택이며 관리 오버헤드를 방지합니다. 조직에서 BYOIPv4 범위를 여러 지역에 배포하려는 경우( 조직 내의 여러 팀 및 장기간에 걸쳐 분산될 수 있는 경우) 글로벌/지역 모델이 더 많은 유연성을 제공할 수 있습니다.

참고 항목

온보딩된 후 두 모델 간에 범위를 "마이그레이션"할 수 없습니다. 다른 모델을 활용하려면 프로비전을 완전히 해제하고 다시 온보딩해야 합니다.

필수 조건

  • 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.

  • Azure에서 프로비저닝할 고객 소유 IPv4 범위.

    • 이 예에서는 샘플 고객 범위(1.2.3.0/24)가 사용됩니다. 이 범위는 Azure에서 유효성이 검사되지 않으므로 예제 범위를 사용자로 바꿉니다.

참고 항목

프로비저닝 프로세스 중에 발생한 문제는 사용자 지정 IP 접두사 문제 해결을 참조하세요.

사전 프로비저닝 단계

Azure BYOIP 기능을 활용하려면 IPv4 주소 범위를 프로비전하기 전에 다음 단계를 수행해야 합니다.

요구 사항 및 접두사 준비

  • 주소 범위는 사용자가 소유하고 사용자의 이름으로 5개의 주요 지역 인터넷 레지스트리 중 하나에 등록해야 합니다.

  • 주소 범위는 인터넷 서비스 공급자가 허용할 수 있도록 /24보다 작아서는 안 됩니다.

  • 주소 범위를 보급하도록 Microsoft에 권한을 부여하는 ROA(경로 원본 권한 부여) 문서는 고객이 적절한 RIR(라우팅 인터넷 레지스트리) 웹 사이트 또는 해당 API를 통해 완료해야 합니다. RIR은 ROA가 RIR의 RPKI(리소스 공개 키 인프라)로 디지털 서명되도록 요구합니다.

    이 ROA의 경우:

    • 퍼블릭 클라우드의 경우 Origin AS가 8075로 나열되어야 합니다. (범위가 US Gov 클라우드에 온보딩되는 경우 Origin AS는 8070으로 나열되어야 합니다.)

    • 유효 종료 날짜(만료 날짜)는 Microsoft에서 접두사를 알리려는 시간을 고려해야 합니다. 일부 RIR은 유효 기간 종료 날짜를 옵션으로 표시하지 않거나 날짜를 선택합니다.

    • 접두사 길이는 Microsoft에서 보급하는 접두사와 정확히 일치해야 합니다. 예를 들어 1.2.3.0/24 및 2.3.4.0/23을 Microsoft로 가져올 계획이라면 둘 다 이름을 지정해야 합니다.

    • ROA가 완료되고 제출된 후 Microsoft에서 사용할 수 있게 될 때까지 최소 24시간이 소요되며 프로비전 프로세스의 일부로 신뢰성 및 정확성을 확인하는 단계를 거치게 됩니다.

참고 항목

또한 마이그레이션 중에 문제를 방지하기 위해 범위를 보급하는 기존 ASN에 대한 ROA를 만드는 것이 좋습니다.

Important

Microsoft는 지정된 날짜 이후에도 범위 보급을 중단하지 않지만 외부 이동 통신 사업자가 보급 알림을 수락하지 않는 상황을 방지하기 위해 원래 만료 날짜가 지난 경우 후속 ROA를 독립적으로 생성하는 것이 좋습니다.

인증서 준비

Microsoft가 접두사를 고객 구독과 연결하도록 승인하려면 서명된 메시지와 공용 인증서를 비교해야 합니다.

다음 단계는 퍼블릭 클라우드에 프로비전하기 위해 샘플 고객 범위(1.2.3.0/24)를 준비하는 데 필요한 단계를 보여 줍니다. Windows PowerShell 또는 Linux 콘솔에서 이러한 명령을 실행할 수 있습니다. 둘 다 OpenSSL을 설치해야 합니다.

  1. 접두사에 대한 Whois/RDAP 레코드에 추가하려면 자체 서명된 X509 인증서를 만들어야 합니다. RDAP에 대한 자세한 내용은 ARIN, RIPE, APNICAFRINIC 사이트를 참조하세요.

    다음 명령은 OpenSSL 도구 키트를 활용하여 RSA 키 쌍을 생성하고 6개월 후에 만료되는 키 쌍을 사용하여 X509 인증서를 만듭니다.

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. 인증서가 만들어진 후 접두사에 대한 Whois/RDAP 레코드의 공용 주석 섹션을 업데이트합니다. 대시가 있는 BEGIN/END 머리글/바닥글을 포함하여 복사용으로 표시하려면 cat byoippublickey.cer 명령을 사용합니다. 라우팅 인터넷 레지스트리를 통해 이 절차를 수행할 수 있어야 합니다.

    각 레지스트리에 대한 지침은 다음과 같습니다.

    • ARIN - 접두사 레코드의 주석 편집

    • RIPE - inetnum 레코드의 비고를 편집 합니다 .

    • APNIC - MyAPNIC를 사용하여 inetnum 레코드의 비고를 편집 합니다 .

    • AFRINIC - MyAFRINIC을 사용하여 inetnum 레코드의 비고를 편집 합니다 .

    • LACNIC 레지스트리의 범위의 경우 Microsoft를 통해 지원 티켓을 만듭니다.

    공개 주석이 작성되면 Whois/RDAP 레코드는 다음 예제와 같이 표시됩니다. 복사할 때 공백이나 캐리지 리턴이 없는지 확인하고 모든 대시를 포함합니다.

    예제 인증서 주석의 스크린샷.

  3. Microsoft에 전달할 메시지를 만들려면 접두사 및 구독에 대한 관련 정보가 포함된 문자열을 만듭니다. 이전에 생성된 키 쌍으로 이 메시지에 서명합니다. 다음 형식을 사용하여 구독 ID, 프로비전할 접두사 및 ROA의 유효성 날짜와 일치하는 만료 날짜를 대체합니다. 형식이 순서대로 되어 있는지 확인합니다.

    다음 명령을 사용하여 확인을 위해 Microsoft에 전달할 서명된 메시지를 만듭니다.

    참고 항목

    유효 기간 종료 날짜가 원래 ROA에 포함되지 않은 경우 Azure에서 접두사를 알리려는 시간에 해당하는 날짜를 선택합니다.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. 서명된 메시지의 내용을 보려면 이전에 만든 서명된 메시지에서 만든 변수를 입력하고 프롬프트에서 Enter 키를 선택합니다.

    $byoipauthsigned

# Output
ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==

사용자 지정 IPv4 접두사 프로비전 및 시운전

다음 단계에서는 두 가지 모델(통합 및 전역/지역)을 선택하여 사용자 지정 IPv4 주소 접두사를 프로비전하고 시운전하는 절차를 표시합니다. 이 단계는 Azure Portal, Azure CLI 또는 Azure PowerShell을 사용하여 수행할 수 있습니다.

Azure Portal을 사용하여 Azure Portal에서 사용자 지정 IPv4 주소 접두사를 프로비전하고 위임합니다.

다음 단계는 샘플 고객 범위(1.2.3.0/24)를 미국 서부 2 지역에 프로비저닝하는 절차를 표시합니다.

참고 항목

리소스의 특성을 고려할 때 정리 또는 삭제 단계는 이 페이지에 표시되지 않습니다. 프로비저닝된 사용자 지정 IP 접두사 제거에 대한 자세한 내용은 사용자 지정 IP 접두사 관리를 참조하세요.

Azure에 로그인

Azure Portal에 로그인합니다.

통합 사용자 지정 IP 주소 접두사 만들기 및 프로비전

  1. 포털 상단의 검색 상자에 사용자 지정 IP를 입력합니다.

  2. 검색 결과에서 사용자 지정 IP 접두사를 선택합니다.

  3. + 만들기를 선택합니다.

  4. 사용자 지정 IP 접두사 만들기에서 다음 정보를 입력하거나 선택합니다.

    설정
    프로젝트 세부 정보
    구독 구독 선택
    Resource group 새로 만들기를 선택합니다.
    myResourceGroup을 입력합니다.
    확인을 선택합니다.
    인스턴스 세부 정보
    이름 myCustomIPPrefix를 입력합니다.
    지역 미국 서부 2를 선택합니다.
    IP 버전 IPv4를 선택합니다.
    IPv4 접두사(CIDR) 1.2.3.0/24를 입력합니다.
    ROA 만료 날짜 ROA 만료 날짜를 yyyymmdd 형식으로 입력합니다.
    서명된 메시지 사전 프로비저닝 섹션의 $byoipauthsigned 출력을 붙여넣습니다.
    가용성 영역 영역 중복을 선택합니다.

    Azure Portal에서 사용자 지정 IP 접두사 만들기 페이지의 스크린샷

  5. 검토 + 만들기 탭이나 페이지 아래쪽에 있는 파란색 검토 + 만들기 단추를 선택합니다.

  6. 만들기를 실행합니다.

범위가 Azure IP 배포 파이프라인으로 푸시됩니다. 배포 프로세스는 비동기식입니다. 사용자 지정 IP 접두사의 Commissioned 상태 필드를 검토하여 상태를 확인할 수 있습니다.

참고 항목

프로비저닝 프로세스를 완료하는 데 예상되는 시간은 30분입니다.

Important

사용자 지정 IP 접두사가 "프로비저닝됨" 상태가 되면 자식 공용 IP 접두사가 만들어질 수 있습니다. 이러한 공용 IP 접두사와 모든 공용 IP 주소는 네트워킹 리소스에 연결할 수 있습니다. 예를 들어 가상 머신 네트워크 인터페이스 또는 부하 분산 장치 프런트 엔드가 있습니다. IP는 보급되지 않으므로 연결할 수 없습니다. 활성 접두사 마이그레이션에 대한 자세한 내용은 사용자 지정 IP 접두사 관리를 참조하세요.

통합 사용자 지정 IP 접두사에서 공용 IP 접두사 만들기

접두사를 만들면 접두사로 고정 IP 주소를 만들어야 합니다. 이 섹션에서는 앞에서 만든 접두사에서 고정 IP 주소를 만듭니다.

  1. 포털 상단의 검색 상자에 사용자 지정 IP를 입력합니다.

  2. 검색 결과에서 사용자 지정 IP 접두사를 선택합니다.

  3. 사용자 지정 IP 접두사에서 myCustomIPPrefix를 선택합니다.

  4. myCustomIPPrefix개요에서 + 공용 IP 접두사 추가를 선택합니다.

  5. 공용 IP 접두사 만들기기본 탭에서 다음 정보를 입력하거나 선택합니다.

    설정
    프로젝트 세부 정보
    Subscription 구독을 선택합니다.
    Resource group myResourceGroup을 선택합니다.
    인스턴스 세부 정보
    이름 myPublicIPPrefix를 입력합니다.
    지역 미국 서부 2를 선택합니다. 공용 IP 접두사의 지역은 사용자 지정 IP 접두사의 지역과 일치해야 합니다.
    IP 버전 IPv4를 선택합니다.
    접두사 소유권 사용자 지정 접두사를 선택합니다.
    사용자 지정 IP 접두사 myCustomIPPrefix를 선택합니다.
    접두사 크기 접두사 크기를 선택합니다. 크기는 사용자 지정 IP 접두사만큼 클 수 있습니다.

  6. 다음 페이지에서 검토 + 만들기를 선택한 후 만들기를 선택합니다.

  7. 1-3단계를 반복하여 myCustomIPPrefix개요 페이지로 돌아갑니다. 연결된 공용 IP 접두사 섹션 아래에 myPublicIPPrefix가 표시됩니다. 이제 이 접두사에서 표준 SKU 공용 IP 주소를 할당할 수 있습니다. 자세한 내용은 접두사에서 고정 공용 IP 주소 만들기를 참조하세요.

통합 사용자 지정 IP 주소 접두사 커미션

사용자 지정 IP 접두사가 프로비저닝됨 상태인 경우 접두사를 업데이트하여 Azure에서 범위를 알리는 프로세스를 시작합니다.

  1. 포털 위쪽의 검색 상자에 사용자 지정 IP를 입력하고 사용자 지정 IP 접두사를 선택합니다.

  2. myCustomIPPrefix프로비전됨 상태로 나열될 때까지 필요한 경우 확인하고 기다립니다.

  3. 사용자 지정 IP 접두사에서 myCustomIPPrefix를 선택합니다.

  4. myCustomIPPrefix개요에서 위원회 드롭다운 메뉴를 선택하고 전역을 선택합니다.

작업은 비동기식입니다. 사용자 지정 IP 접두사의 Commissioned 상태 필드를 검토하여 상태를 확인할 수 있습니다. 상태에서 처음에는 Commissioning이라는 접두사가 표시되지만, 이후에는 Commissioned가 표시됩니다. 광고 롤아웃은 한 번에 완료되지 않습니다. 범위는 여전히 커미셔닝 상태에 있는 동안 부분적으로 보급됩니다.

참고 항목

커미셔닝 프로세스를 완전히 완료하는 데 예상되는 시간은 3~4시간입니다.

Important

사용자 지정 IP 접두사가 Commissioned 상태로 전환됨에 따라 ASN(Autonomous System Number) 8075에 따라 Microsoft의 광역 네트워크를 통해 로컬 Azure 지역 및 전 세계적으로 인터넷에 범위가 보급되고 있습니다. 이 동일한 범위를 Microsoft 이외의 위치에서 동시에 인터넷에 보급하면 잠재적으로 BGP 라우팅 불안정 또는 트래픽 손실이 발생할 수 있습니다. 고객 온-프레미스 건물을 예로 들 수 있습니다. 영향을 피하기 위해 유지 관리 기간 동안 활성 범위의 마이그레이션을 계획합니다. 초기 배포 중에 이러한 문제를 방지하려면 사용자 지정 IP 접두사가 배포된 Azure 지역 내에서만 보급되는 지역별 전용 커미셔닝 옵션을 선택할 수 있습니다. 자세한 내용은 BYOIP(사용자 지정 IP 주소 접두사) 관리를 참조하세요.

다음 단계