Delen via

Een aangepast IPv4-adresvoorvoegsel maken in Azure

  • Artikel

In dit artikel leert u hoe u een aangepast IPv4-adresvoorvoegsel maakt met behulp van Azure Portal. U bereidt een bereik voor om in te richten, richt het bereik in voor IP-toewijzing en schakelt de bereikadvertentie van Microsoft in.

Met een aangepast IPv4-adresvoorvoegsel kunt u uw eigen IPv4-bereiken overbrengen naar Microsoft en deze koppelen aan uw Azure-abonnement. U behoudt het eigendom van het bereik, terwijl Microsoft dit mag adverteren op internet. Een aangepast IP-adresvoorvoegsel fungeert als een regionale resource die een aaneengesloten blok ip-adressen van de klant vertegenwoordigt.

Voor dit artikel kiest u tussen Azure Portal, Azure CLI of PowerShell om een aangepast IPv4-adresvoorvoegsel te maken.

Global/Regional vs Unified model

Voordat u uw bereik naar Azure onboardt, moet u beslissen over het model dat het beste werkt voor uw architectuur. Voor BYOIPv4 biedt Azure twee implementatiemodellen: 'global/regional' en 'unified'.

  • Het globale/regionale model maakt gebruik van een bovenliggend/onderliggend paradigma. In dit paradigma kondigt het WAN (Microsoft Wide Area Network) het wereldwijde (bovenliggende) bereik aan en de respectieve Azure-regio's adverteren de regionale (onderliggende) bereiken. Standaard kunnen globale bereiken overal van /21 tot /24 in grootte zijn en regionale bereiken van /22 tot /26 groot zijn. Regionale bereiken zijn afhankelijk van de grootte van hun respectieve bovenliggende bereik en moeten ten minste één niveau kleiner zijn. Een globaal bereik met /23 staat bijvoorbeeld een regionaal bereik van /24 tot /26 toe. Alleen het globale bereik moet worden gevalideerd als onderdeel van de inrichting. De regionale bereiken zijn afgeleid van het globale bereik op een vergelijkbare manier als de manier waarop openbare IP-voorvoegsels worden afgeleid van aangepaste IP-voorvoegsels.

  • Het Unified-model is een vereenvoudigd systeem waarbij zowel het Wan (Microsoft Wide Area Network) als de Azure-regio hetzelfde bereik adverteren. Standaard kan een uniform bereik overal van /21 tot /24 in grootte zijn.

  • De keuze van het model is afhankelijk van het bereik van de gewenste onboarding. Als uw plan bijvoorbeeld alleen betrekking heeft op onboarding van een bereik naar één Azure-regio, is het geïntegreerde model de logischere keuze en voorkomt u overhead voor beheer. Als uw organisatie in plaats daarvan BYOIPv4-bereiken wil implementeren in meerdere regio's, mogelijk verspreid over verschillende teams binnen de organisatie en gedurende een langere periode, kan een globaal/regionaal model meer flexibiliteit bieden.

Notitie

Bereiken kunnen niet worden gemigreerd tussen de twee modellen zodra ze zijn ge onboardd; ze moeten volledig ongedaan worden gemaakt en opnieuw worden geïmplementeerd om het andere model te kunnen gebruiken.

Vereisten

  • Een Azure-account met een actief abonnement. Gratis een account maken

  • Een IPv4-bereik dat eigendom is van een klant om in Azure in te richten.

    • In dit voorbeeld wordt een voorbeeld van een klantbereik (1.2.3.0/24) gebruikt. Dit bereik wordt niet gevalideerd in Azure, dus vervang het voorbeeldbereik door uw bereik.

Notitie

Zie Probleemoplossing voor aangepast IP-voorvoegsel voor problemen die zijn opgetreden tijdens het inrichtingsproces.

Stappen voor vooraf inrichten

Als u de Azure BYOIP-functie wilt gebruiken, moet u de volgende stappen uitvoeren voordat u uw IPv4-adresbereik inricht.

Vereisten en gereedheid voor voorvoegsel

  • Het adresbereik moet eigendom zijn van u en geregistreerd zijn onder uw naam met een van de vijf belangrijkste regionale internetregisters:

  • Het adresbereik mag niet kleiner zijn dan een /24 voor internetproviders die moeten worden geaccepteerd.

  • Een ROA-document (Route Origin Authorization) waarmee Microsoft het adresbereik kan adverteren, moet worden voltooid door de klant op de juiste rir-website (Routing Internet Registry) of via hun API. De RIR vereist dat de ROA digitaal wordt ondertekend met de Resource Public Key Infrastructure (RPKI) van uw RIR.

    Voor deze ROA:

    • De Origin AS moet worden vermeld als 8075 voor de openbare cloud. (Als het bereik wordt ge onboardd naar de US Gov-cloud, moet de Origin AS worden vermeld als 8070.)

    • De geldigheidseinddatum (vervaldatum) moet rekening houden met de tijd waarop u het voorvoegsel wilt laten adverteren door Microsoft. Sommige RIR's bevatten geen geldigheidseinddatum als optie en of kies de datum voor u.

    • De lengte van het voorvoegsel moet exact overeenkomen met de voorvoegsels die Door Microsoft worden aangekondigd. Als u bijvoorbeeld van plan bent om 1.2.3.0/24 en 2.3.4.0/23 naar Microsoft te brengen, moeten ze beide een naam hebben.

    • Nadat de ROA is voltooid en ingediend, kan het ten minste 24 uur duren voordat deze beschikbaar is voor Microsoft, waar wordt gecontroleerd of het echt en correct is als onderdeel van het inrichtingsproces.

Notitie

Het wordt ook aanbevolen om een ROA te maken voor alle bestaande ASN's die het bereik adverteren om problemen tijdens de migratie te voorkomen.

Belangrijk

Hoewel Microsoft niet stopt met het adverteren van het bereik na de opgegeven datum, wordt het sterk aanbevolen om onafhankelijk een follow-up ROA te maken als de oorspronkelijke vervaldatum is verstreken om te voorkomen dat externe providers de advertentie niet accepteren.

Gereedheid van certificaten

Als u Microsoft wilt machtigen om een voorvoegsel te koppelen aan een klantabonnement, moet een openbaar certificaat worden vergeleken met een ondertekend bericht.

In de volgende stappen ziet u de stappen die nodig zijn voor het voorbereiden van het voorbeeld van het klantbereik (1.2.3.0/24) voor inrichting in de openbare cloud. U kunt deze opdrachten uitvoeren met Windows PowerShell of in een Linux-console. Beide vereisen dat OpenSSL is geïnstalleerd.

  1. Er moet een zelfondertekend X509-certificaat worden gemaakt om toe te voegen aan de Whois/RDAP-record voor het voorvoegsel. Zie de sites ARIN, RIPE, APNIC en AFRINIC voor meer informatie over RDAP.

    Met behulp van de OpenSSL-toolkit genereren de volgende opdrachten een RSA-sleutelpaar en maken ze een X509-certificaat met behulp van het sleutelpaar dat over zes maanden verloopt.

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Nadat het certificaat is gemaakt, werkt u de sectie met openbare opmerkingen van de Whois/RDAP-record voor het voorvoegsel bij. Als u wilt weergeven voor kopiëren, inclusief de BEGIN/END-koptekst/voettekst met streepjes, gebruikt u de opdracht cat byoippublickey.cer U moet deze procedure kunnen uitvoeren via uw internetregister voor routering.

    Hier volgen instructies voor elk register:

    • ARIN : bewerk de opmerkingen van de voorvoegselrecord.

    • RIPE - bewerk de opmerkingen van de inetnum record.

    • APNIC : bewerk de opmerkingen van de inetnum-record met behulp van MyAPNIC.

    • AFRINIC - bewerk de opmerkingen van de inetnum record met behulp van MyAFRINIC.

    • Maak een ondersteuningsticket met Microsoft voor bereiken van het LACNIC-register.

    Nadat de openbare opmerkingen zijn ingevuld, moet de Whois/RDAP-record eruitzien als in het volgende voorbeeld. Zorg er bij het kopiëren voor dat er geen spaties of regelterugloops zijn en neem alle streepjes op:

    Schermopname van voorbeeld van een certificaatcommentaar.

  3. Als u het bericht wilt maken dat aan Microsoft is doorgegeven, maakt u een tekenreeks die relevante informatie over uw voorvoegsel en abonnement bevat. Onderteken dit bericht met het sleutelpaar dat eerder is gegenereerd. Gebruik de volgende indeling, waarbij u uw abonnements-id, voorvoegsel vervangt dat moet worden ingericht en de vervaldatum die overeenkomt met de geldigheidsdatum op de ROA. Zorg ervoor dat de indeling zich in die volgorde bevindt.

    Gebruik de volgende opdracht om een ondertekend bericht te maken dat is doorgegeven aan Microsoft voor verificatie.

    Notitie

    Als de geldigheidseinddatum niet is opgenomen in de oorspronkelijke ROA, kiest u een datum die overeenkomt met de tijd waarop u het voorvoegsel wilt laten adverteren door Azure.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Als u de inhoud van het ondertekende bericht wilt weergeven, voert u de variabele in die is gemaakt op basis van het ondertekende bericht dat u eerder hebt gemaakt en selecteert u Enter bij de prompt:

    $byoipauthsigned

# Output
ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==

Een aangepast IPv4-voorvoegsel inrichten en in gebruik stellen

In de volgende stappen ziet u de procedure voor het inrichten en in gebruik nemen van een aangepast IPv4-adresvoorvoegsel met een keuze uit twee modellen: Unified en Global/Regional. De stappen kunnen worden uitgevoerd met Azure Portal, Azure CLI of Azure PowerShell.

Gebruik Azure Portal om een aangepast IPv4-adresvoorvoegsel in te richten en in te stellen met Azure Portal.

In de volgende stappen wordt de procedure weergegeven voor het inrichten van een voorbeeld van een klantbereik (1.2.3.0/24) naar de regio US - west 2.

Notitie

Stappen voor opschonen of verwijderen worden niet weergegeven op deze pagina, gezien de aard van de resource. Zie Aangepast IP-voorvoegsel beheren voor meer informatie over het verwijderen van een aangepast IP-voorvoegsel.

Aanmelden bij Azure

Meld u aan bij het Azure-portaal.

Een uniform aangepast IP-adresvoorvoegsel maken en inrichten

  1. Voer in het zoekvak boven aan de portal aangepast IP-adres in.

  2. Selecteer aangepaste IP-voorvoegsels in de zoekresultaten.

  3. Selecteer + Maken.

  4. Voer in Een aangepast IP-voorvoegsel maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement
    Resourcegroep Selecteer Nieuw maken.
    Voer myResourceGroup in.
    Selecteer OK.
    Exemplaardetails
    Naam Voer myCustomIPPrefix in.
    Regio Selecteer VS - west 2.
    IP-versie Selecteer IPv4.
    IPv4-voorvoegsel (CIDR) Voer 1.2.3.0/24 in.
    Vervaldatum van ROA Voer de vervaldatum van uw ROA in de jjjjmmdd-indeling in.
    Ondertekend bericht Plak de uitvoer van $byoipauthsigned uit de sectie vooraf inrichten.
    Beschikbaarheidszones selecteer Zone-redundant.

    Schermopname van de pagina aangepast IP-voorvoegsel maken in Azure Portal.

  5. Selecteer het tabblad Beoordelen + maken of de blauwe knop Controleren + maken onder aan de pagina.

  6. Selecteer Maken.

Het bereik wordt gepusht naar de Azure IP-implementatiepijplijn. Het implementatieproces is asynchroon. U kunt de status controleren door het veld Geprovisiestatus te bekijken voor het aangepaste IP-voorvoegsel.

Notitie

De geschatte tijd voor het voltooien van het inrichtingsproces is 30 minuten.

Belangrijk

Nadat het aangepaste IP-voorvoegsel de status Ingericht heeft, kan er een onderliggend openbaar IP-voorvoegsel worden gemaakt. Deze openbare IP-voorvoegsels en eventuele openbare IP-adressen kunnen worden gekoppeld aan netwerkresources. Bijvoorbeeld netwerkinterfaces voor virtuele machines of front-ends van load balancer. De IP-adressen worden niet geadverteerd en zijn daarom niet bereikbaar. Zie Een aangepast IP-voorvoegsel beheren voor meer informatie over een migratie van een actief voorvoegsel.

Een openbaar IP-voorvoegsel maken op basis van een uniform aangepast IP-voorvoegsel

Wanneer u een voorvoegsel maakt, moet u statische IP-adressen maken op basis van het voorvoegsel. In deze sectie maakt u een statisch IP-adres op basis van het voorvoegsel dat u eerder hebt gemaakt.

  1. Voer in het zoekvak boven aan de portal aangepast IP-adres in.

  2. Selecteer aangepaste IP-voorvoegsels in de zoekresultaten.

  3. Selecteer myCustomIPPrefix in aangepaste IP-voorvoegsels.

  4. Selecteer + Een openbaar IP-voorvoegsel toevoegen in overzicht van myCustomIPPrefix.

  5. Voer de volgende informatie in of selecteer deze op het tabblad Basisbeginselen van Het openbare IP-voorvoegsel maken.

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer myResourceGroup.
    Exemplaardetails
    Naam Voer myPublicIPPrefix in.
    Regio Selecteer VS - west 2. De regio van het openbare IP-voorvoegsel moet overeenkomen met de regio van het aangepaste IP-voorvoegsel.
    IP-versie Selecteer IPv4.
    Eigendom van voorvoegsel Selecteer Aangepast voorvoegsel.
    Aangepast IP-voorvoegsel Selecteer myCustomIPPrefix.
    Grootte van voorvoegsel Selecteer een voorvoegselgrootte. De grootte kan zo groot zijn als het aangepaste IP-voorvoegsel.

  6. Selecteer Beoordelen en maken en selecteer vervolgens Maken op de volgende pagina.

  7. Herhaal stap 1-3 om terug te keren naar de overzichtspagina voor myCustomIPPrefix. U ziet dat myPublicIPPrefix wordt vermeld onder de sectie Gekoppelde openbare IP-voorvoegsels . U kunt nu openbare IP-adressen van de standaard-SKU toewijzen vanuit dit voorvoegsel. Zie Een statisch openbaar IP-adres maken op basis van een voorvoegsel voor meer informatie.

Commissie het voorvoegsel van het geïntegreerde aangepaste IP-adres

Wanneer het aangepaste IP-voorvoegsel de status Ingericht heeft, werkt u het voorvoegsel bij om te beginnen met het adverteren van het bereik van Azure.

  1. Voer in het zoekvak boven aan de portal aangepast IP-adres in en selecteer aangepaste IP-voorvoegsels.

  2. Controleer en wacht zo nodig tot myCustomIPPrefix wordt vermeld in een inrichtingsstatus .

  3. Selecteer myCustomIPPrefix in aangepaste IP-voorvoegsels.

  4. Selecteer in Overzicht van myCustomIPPrefix de vervolgkeuzelijst Van de Commissie en kies Globaal.

De bewerking is asynchroon. U kunt de status controleren door het veld Geprovisiestatus te bekijken voor het aangepaste IP-voorvoegsel. In eerste instantie toont de status het voorvoegsel als Commissie, gevolgd door Commissie. De implementatie van de advertentie is niet in één keer voltooid. Het bereik wordt gedeeltelijk geadverteerd terwijl het nog steeds in de status van de Commissie staat .

Notitie

De geschatte tijd om het inbedrijfstellingsproces volledig te voltooien is 3-4 uur.

Belangrijk

Naarmate het aangepaste IP-voorvoegsel overgaat naar een geprovisieeerde status, wordt het bereik geadverteerd met Microsoft van de lokale Azure-regio en wereldwijd naar internet via het Wide Area Network van Microsoft onder ASN 8075 (Autonomous System Number). Het adverteren van hetzelfde bereik naar internet vanaf een andere locatie dan Microsoft kan mogelijk leiden tot instabiliteit van BGP-routering of verkeersverlies. Bijvoorbeeld een on-premises gebouw van een klant. Plan een migratie van een actief bereik tijdens een onderhoudsperiode om impact te voorkomen. Als u deze problemen tijdens de eerste implementatie wilt voorkomen, kunt u de optie voor alleen regionale inbedrijfstelling kiezen waarbij uw aangepaste IP-voorvoegsel alleen wordt geadverteerd binnen de Azure-regio waarin het wordt geïmplementeerd. Zie Een aangepast IP-adresvoorvoegsel (BYOIP) beheren voor meer informatie.

Volgende stappen