Udostępnij za pośrednictwem

Tworzenie niestandardowego prefiksu adresu IPv4 na platformie Azure

  • Artykuł

Z tego artykułu dowiesz się, jak utworzyć niestandardowy prefiks adresu IPv4 przy użyciu witryny Azure Portal. Przygotowujesz zakres do aprowizowania, aprowizowania zakresu alokacji adresów IP i włączania anonsowania zakresu przez firmę Microsoft.

Niestandardowy prefiks adresu IPv4 umożliwia przenoszenie własnych zakresów IPv4 do firmy Microsoft i kojarzenie go z subskrypcją platformy Azure. Posiadasz własność zakresu, podczas gdy firma Microsoft może anonsować go do Internetu. Niestandardowy prefiks adresu IP działa jako zasób regionalny, który reprezentuje ciągły blok adresów IP należących do klienta.

W tym artykule wybierz między witryną Azure Portal, interfejsem wiersza polecenia platformy Azure lub programem PowerShell, aby utworzyć niestandardowy prefiks adresu IPv4.

Model globalny/regionalny a ujednolicony

Zanim dołączysz zakres do platformy Azure, musisz zdecydować się na model, który będzie najlepiej pasował do twojej architektury. W przypadku protokołu BYOIPv4 platforma Azure oferuje dwa modele wdrażania: "global/regionalny" i "unified".

  • Model globalny/regionalny używa nadrzędnego modelu podrzędnego/. W tym modelu sieć Microsoft Wide Area Network (WAN) anonsuje zakres globalny (nadrzędny), a odpowiednie regiony platformy Azure anonsują zakresy regionalne (podrzędne). Domyślnie zakresy globalne mogą mieć rozmiar od /21 do /24, a zakresy regionalne mogą mieć rozmiar od /22 do /26. Zakresy regionalne są zależne od rozmiaru odpowiedniego zakresu nadrzędnego i muszą być co najmniej jeden poziom mniejszy. Na przykład zakres globalny korzystający z /23 zezwala na zakres regionalny /24 do /26. W ramach aprowizacji należy zweryfikować tylko zakres globalny. Zakresy regionalne pochodzą z zakresu globalnego w podobny sposób, jak prefiksy publicznych adresów IP pochodzą z niestandardowych prefiksów adresów IP.

  • Ujednolicony model jest uproszczonym systemem, w którym zarówno sieć Microsoft Wide Area Network (WAN) jak i region platformy Azure anonsują ten sam zakres. Domyślnie ujednolicony zakres może być w dowolnym miejscu od /21 do /24 w rozmiarze.

  • Wybór modelu zależy od zakresu żądanego dołączania. Jeśli na przykład plan obejmuje dołączanie zakresu tylko do jednego regionu świadczenia usługi Azure, ujednolicony model jest bardziej logicznym wyborem i pozwala uniknąć nakładu pracy związanego z zarządzaniem. Jeśli twoja organizacja zamiast tego chce wdrożyć zakresy BYOIPv4 w wielu regionach — potencjalnie rozłożone między różne zespoły w organizacji i przez dłuższy czas — model globalny/regionalny może zapewnić większą elastyczność.

Uwaga

Nie można "migrować" zakresów między dwoma modelami po ich dołączeniu; muszą zostać w pełni anulowane i ponownie dołączone, aby móc korzystać z innego modelu.

Wymagania wstępne

  • Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

  • Zakres adresów IPv4 należących do klienta do aprowizacji na platformie Azure.

    • W tym przykładzie jest używany przykładowy zakres klientów (1.2.3.0/24). Ten zakres nie jest weryfikowany na platformie Azure, dlatego zastąp przykładowy zakres twoimi.

Uwaga

W przypadku problemów napotkanych podczas procesu aprowizacji zobacz Rozwiązywanie problemów z niestandardowym prefiksem IP.

Kroki wstępnej aprowizacji

Aby korzystać z funkcji BYOIP platformy Azure, przed aprowizowaniem zakresu adresów IPv4 należy wykonać następujące kroki.

Wymagania i gotowość prefiksu

  • Zakres adresów musi być własnością Użytkownika i zarejestrowany pod Twoją nazwą z jednym z pięciu głównych regionalnych rejestrów internetowych:

  • Zakres adresów nie może być mniejszy niż /24, aby dostawcy usług internetowych akceptować.

  • Dokument roA (Route Origin Authorization), który autoryzuje firmę Microsoft do anonsowania zakresu adresów, musi zostać ukończony przez klienta w odpowiedniej witrynie internetowej rejestru internetowego routingu (RIR) lub za pośrednictwem interfejsu API. RIR wymaga, aby roA została podpisana cyfrowo przy użyciu infrastruktury kluczy publicznych zasobów (RPKI) wystąpienia zarezerwowanego.

    W przypadku tego roa:

    • Źródło JAKO musi być wymienione jako 8075 dla chmury publicznej. (Jeśli zakres zostanie dołączony do chmury US Gov, źródło AS musi być wymienione jako 8070).

    • Data zakończenia ważności (data wygaśnięcia) musi uwzględniać czas, w którym zamierzasz anonsować prefiks firmy Microsoft. Niektóre RIR nie przedstawiają daty zakończenia ważności jako opcji i lub wybierają datę dla Ciebie.

    • Długość prefiksu powinna być dokładnie zgodna z prefiksami anonsowanymi przez firmę Microsoft. Jeśli na przykład planujesz przenieść 1.2.3.0/24 i 2.3.4.0/23 do firmy Microsoft, powinny mieć obie nazwy.

    • Po zakończeniu i przesłaniu roA poczekaj co najmniej 24 godziny na udostępnienie go firmie Microsoft, gdzie zostanie zweryfikowana w celu określenia jego autentyczności i poprawności w ramach procesu aprowizacji.

Uwaga

Zaleca się również utworzenie roA dla istniejącej nazwy ASN, która reklamuje zakres, aby uniknąć problemów podczas migracji.

Ważne

Chociaż firma Microsoft nie przestanie reklamować zakresu po określonej dacie, zdecydowanie zaleca się niezależne utworzenie kolejnej umowy ROA, jeśli oryginalna data wygaśnięcia została uchwalona, aby uniknąć nieakceptowania reklam przez zewnętrznych przewoźników.

Gotowość certyfikatu

Aby autoryzować firmę Microsoft do skojarzenia prefiksu z subskrypcją klienta, należy porównać certyfikat publiczny z podpisanym komunikatem.

Poniższe kroki pokazują kroki wymagane do przygotowania przykładowego zakresu klientów (1.2.3.0/24) do aprowizacji w chmurze publicznej. Te polecenia można wykonać za pomocą programu Windows PowerShell lub konsoli systemu Linux. Oba wymagają zainstalowania biblioteki OpenSSL.

  1. Należy utworzyć certyfikat X509 z podpisem własnym, aby dodać go do rekordu Whois/RDAP dla prefiksu. Aby uzyskać informacje o RDAP, zobacz witryny ARIN, RIPE, APNIC i AFRINIC .

    Korzystając z zestawu narzędzi OpenSSL, następujące polecenia generują parę kluczy RSA i tworzą certyfikat X509 przy użyciu pary kluczy wygasającej w ciągu sześciu miesięcy.

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Po utworzeniu certyfikatu zaktualizuj sekcję komentarzy publicznych rekordu Whois/RDAP dla prefiksu. Aby wyświetlić na potrzeby kopiowania, w tym nagłówka BEGIN/END/stopki z kreskami, użyj polecenia cat byoippublickey.cer Powinno być możliwe wykonanie tej procedury za pośrednictwem rejestru internetowego routingu.

    Poniżej przedstawiono instrukcje dla każdego rejestru:

    • ARIN — edytuj komentarze rekordu prefiksu.

    • RIPE — edytuj uwagi rekordu inetnum.

    • APNIC — edytuj uwagi rekordu inetnum przy użyciu myAPNIC.

    • AFRINIC - edytuj uwagi rekordu inetnum przy użyciu MyAFRINIC.

    • W przypadku zakresów z rejestru LACNIC utwórz bilet pomocy technicznej z firmą Microsoft.

    Po wypełnieniu komentarzy publicznych rekord Whois/RDAP powinien wyglądać podobnie do poniższego przykładu. Podczas kopiowania upewnij się, że nie ma spacji ani zwraca karetki i dołącz wszystkie kreski:

    Zrzut ekranu przedstawiający przykładowy komentarz certyfikatu.

  3. Aby utworzyć komunikat przekazany do firmy Microsoft, utwórz ciąg zawierający odpowiednie informacje o prefiksie i subskrypcji. Podpisz ten komunikat przy użyciu pary kluczy wygenerowanej wcześniej. Użyj następującego formatu, zastępując identyfikator subskrypcji, prefiks do aprowizacji i datę wygaśnięcia zgodną z datą ważności w roa. Upewnij się, że format jest w tej kolejności.

    Użyj następującego polecenia, aby utworzyć podpisany komunikat przekazany do firmy Microsoft w celu weryfikacji.

    Uwaga

    Jeśli data zakończenia ważności nie została uwzględniona w oryginalnym roa, wybierz datę odpowiadającą dacie, o której zamierzasz anonsować prefiks przez platformę Azure.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Aby wyświetlić zawartość podpisanej wiadomości, wprowadź zmienną utworzoną wcześniej na podstawie podpisanego komunikatu i wybierz Enter w wierszu polecenia:

    $byoipauthsigned

# Output
ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==

Aprowizowanie i inicjowanie niestandardowego prefiksu IPv4

W poniższych krokach przedstawiono procedurę aprowizowania i uruchamiania niestandardowego prefiksu adresu IPv4 z wyborem dwóch modeli: Unified i Global/Regional. Kroki można wykonać za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Użyj witryny Azure Portal, aby aprowizować i aprowizować niestandardowy prefiks adresu IPv4 w witrynie Azure Portal.

W poniższych krokach przedstawiono procedurę aprowizacji przykładowego zakresu klientów (1.2.3.0/24) do regionu Zachodnie stany USA 2.

Uwaga

Czynności czyszczenia lub usuwania nie są wyświetlane na tej stronie, biorąc pod uwagę charakter zasobu. Aby uzyskać informacje na temat usuwania aprowizowanego niestandardowego prefiksu IP, zobacz Zarządzanie niestandardowym prefiksem adresu IP.

Logowanie się do platformy Azure

Zaloguj się w witrynie Azure Portal.

Tworzenie i aprowizuj ujednolicony niestandardowy prefiks adresu IP

  1. W polu wyszukiwania w górnej części portalu wprowadź niestandardowy adres IP.

  2. W wynikach wyszukiwania wybierz pozycję Niestandardowe prefiksy adresów IP.

  3. Wybierz + Utwórz.

  4. W obszarze Tworzenie niestandardowego prefiksu adresu IP wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz swoją subskrypcję
    Grupa zasobów Wybierz pozycjęUtwórz nowy.
    Wprowadź wartość myResourceGroup.
    Wybierz przycisk OK.
    Szczegóły wystąpienia
    Nazwisko Wprowadź wartość myCustomIPPrefix.
    Region (Region) Wybierz pozycję Zachodnie stany USA 2.
    Wersja protokołu IP Wybierz pozycję IPv4.
    Prefiks IPv4 (CIDR) Wprowadź wartość 1.2.3.0/24.
    Data wygaśnięcia roa Wprowadź datę wygaśnięcia roA w formacie RRRR .
    Podpisana wiadomość Wklej dane wyjściowe $byoipauthsigned z sekcji wstępnej aprowizacji.
    Strefy dostępności Wybierz pozycję Strefowo nadmiarowa.

    Zrzut ekranu przedstawiający tworzenie niestandardowej strony prefiksu IP w witrynie Azure Portal.

  5. Wybierz kartę Przeglądanie + tworzenie lub niebieski przycisk Przejrzyj i utwórz w dolnej części strony.

  6. Wybierz pozycję Utwórz.

Zakres jest wypychany do potoku wdrażania adresów IP platformy Azure. Proces wdrażania jest asynchroniczny. Stan można sprawdzić, przeglądając pole Stanu Komisji dla niestandardowego prefiksu IP.

Uwaga

Szacowany czas ukończenia procesu aprowizacji wynosi 30 minut.

Ważne

Po utworzeniu niestandardowego prefiksu IP w stanie "Aprowizuj" można utworzyć podrzędny prefiks publicznego adresu IP. Te prefiksy publicznych adresów IP i wszystkie publiczne adresy IP mogą być dołączone do zasobów sieciowych. Na przykład interfejsy sieciowe maszyny wirtualnej lub frontony modułu równoważenia obciążenia. Adresy IP nie będą ogłaszane i dlatego nie będą osiągalne. Aby uzyskać więcej informacji na temat migracji aktywnego prefiksu, zobacz Zarządzanie niestandardowym prefiksem IP.

Tworzenie prefiksu publicznego adresu IP na podstawie ujednoliconego niestandardowego prefiksu ip

Podczas tworzenia prefiksu należy utworzyć statyczne adresy IP na podstawie prefiksu. W tej sekcji utworzysz statyczny adres IP na podstawie utworzonego wcześniej prefiksu.

  1. W polu wyszukiwania w górnej części portalu wprowadź niestandardowy adres IP.

  2. W wynikach wyszukiwania wybierz pozycję Niestandardowe prefiksy adresów IP.

  3. W obszarze Niestandardowe prefiksy adresów IP wybierz pozycję myCustomIPPrefix.

  4. W obszarze Przegląd myCustomIPPrefix wybierz pozycję + Dodaj prefiks publicznego adresu IP.

  5. Wprowadź lub wybierz następujące informacje na karcie Podstawy tworzenia prefiksu publicznego adresu IP.

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Wybierz pozycję myResourceGroup.
    Szczegóły wystąpienia
    Nazwisko Wprowadź wartość myPublicIPPrefix.
    Region (Region) Wybierz pozycję Zachodnie stany USA 2. Region prefiksu publicznego adresu IP musi być zgodny z regionem niestandardowego prefiksu IP.
    Wersja protokołu IP Wybierz pozycję IPv4.
    Własność prefiksu Wybierz pozycję Prefiks niestandardowy.
    Niestandardowy prefiks adresu IP Wybierz pozycję myCustomIPPrefix.
    Rozmiar prefiksu Wybierz rozmiar prefiksu. Rozmiar może być tak duży, jak niestandardowy prefiks adresu IP.

  6. Wybierz pozycję Przejrzyj i utwórz, a następnie pozycję Utwórz na poniższej stronie.

  7. Powtórz kroki od 1 do 3, aby powrócić do strony Przegląd myCustomIPPrefix. Zostanie wyświetlony ciąg myPublicIPPrefix na liście w sekcji Skojarzone prefiksy publicznych adresów IP. Teraz można przydzielić standardowe publiczne adresy IP jednostki SKU z tego prefiksu. Aby uzyskać więcej informacji, zobacz Tworzenie statycznego publicznego adresu IP na podstawie prefiksu.

Komisja ujednoliconego niestandardowego prefiksu adresu IP

Gdy niestandardowy prefiks ADRESU IP jest w stanie Aprowizowania , zaktualizuj prefiks, aby rozpocząć proces anonsowania zakresu z platformy Azure.

  1. W polu wyszukiwania w górnej części portalu wprowadź niestandardowy adres IP i wybierz pozycję Niestandardowe prefiksy adresów IP.

  2. Sprawdź i zaczekaj, jeśli to konieczne, aby parametr myCustomIPPrefix był wyświetlany w stanie Aprowizacja .

  3. W obszarze Niestandardowe prefiksy adresów IP wybierz pozycję myCustomIPPrefix.

  4. W obszarze Przegląd myCustomIPPrefix wybierz menu rozwijane Komisja i wybierz pozycję Globally.

Operacja jest asynchroniczna. Stan można sprawdzić, przeglądając pole Stanu Komisji dla niestandardowego prefiksu IP. Początkowo status będzie przedstawiał prefiks jako Komisja, a następnie w przyszłości przez Komisję. Wdrożenie anonsu nie zostało ukończone jednocześnie. Zakres jest częściowo reklamowany, mimo że nadal znajduje się w stanie Komisji .

Uwaga

Szacowany czas pełnego ukończenia procesu prowizji wynosi 3–4 godziny.

Ważne

W miarę przejścia niestandardowego prefiksu IP do stanu Zlecona zakres jest anonsowany z firmą Microsoft z lokalnego regionu platformy Azure i globalnie do Internetu przez sieć rozległą firmy Microsoft w ramach autonomicznego numeru systemu (ASN) 8075. Reklamowanie tego samego zakresu do Internetu z lokalizacji innej niż firma Microsoft w tym samym czasie może potencjalnie spowodować niestabilność routingu BGP lub utratę ruchu. Na przykład budynek lokalny klienta. Zaplanuj migrację aktywnego zakresu w okresie konserwacji, aby uniknąć wpływu. Aby zapobiec tym problemom podczas początkowego wdrażania, możesz wybrać opcję prowizji tylko w regionie regionalnym, w której niestandardowy prefiks IP będzie anonsowany tylko w regionie świadczenia usługi Azure, w którym jest wdrażany. Aby uzyskać więcej informacji, zobacz Zarządzanie niestandardowym prefiksem adresu IP (BYOIP).

Następne kroki