Partilhar via

Criar um prefixo de endereço IPv4 personalizado no Azure

  • Artigo

Neste artigo, você aprenderá a criar um prefixo de endereço IPv4 personalizado usando o portal do Azure. Você prepara um intervalo para provisionar, provisionar o intervalo para alocação de IP e habilitar o anúncio de intervalo pela Microsoft.

Um prefixo de endereço IPv4 personalizado permite que você traga seus próprios intervalos IPv4 para a Microsoft e associe-o à sua assinatura do Azure. Você mantém a propriedade do intervalo enquanto a Microsoft teria permissão para anunciá-lo na Internet. Um prefixo de endereço IP personalizado funciona como um recurso regional que representa um bloco contíguo de endereços IP de propriedade do cliente.

Para este artigo, escolha entre o portal do Azure, a CLI do Azure ou o PowerShell para criar um prefixo de endereço IPv4 personalizado.

Modelo global/regional vs unificado

Antes de integrar seu intervalo ao Azure, você precisa decidir sobre o modelo que funcionaria melhor para sua arquitetura. Para o BYOIPv4, o Azure oferece dois modelos de implantação: "global/regional" e "unificado".

  • O modelo Global/Regional utiliza um paradigma pai-filho/. Neste paradigma, a Microsoft Wide Area Network (WAN) anuncia o intervalo global (pai) e as respetivas regiões do Azure publicitam os intervalos regionais (filho). Por padrão, os intervalos globais podem ter de /21 a /24 de tamanho, e os intervalos regionais podem ter de /22 a /26. Os intervalos regionais dependem do tamanho de seu respetivo intervalo pai e devem ser pelo menos um nível menor. Por exemplo, um intervalo global usando /23 permitiria um intervalo regional de /24 a /26. Somente o intervalo global precisa ser validado como parte do provisionamento. Os intervalos regionais são derivados do intervalo global de maneira semelhante à maneira como os prefixos IP públicos são derivados dos prefixos IP personalizados.

  • O modelo unificado é um sistema simplificado em que a Microsoft Wide Area Network (WAN) e a região do Azure anunciam o mesmo intervalo. Por padrão, um intervalo unificado pode ter tamanho de /21 a /24.

  • A escolha do modelo depende do âmbito do onboarding pretendido. Por exemplo, se o seu plano envolver apenas a integração de um intervalo a uma única região do Azure, o modelo unificado é a escolha mais lógica e evita a sobrecarga de gerenciamento. Se, em vez disso, sua organização estiver procurando implantar intervalos BYOIPv4 em várias regiões, potencialmente espalhadas por diferentes equipes dentro da organização e por um longo período de tempo, um modelo global/regional pode fornecer mais flexibilidade.

Nota

Os intervalos não podem ser "migrados" entre os dois modelos uma vez integrados; eles devem ser totalmente desprovisionados e reintegrados para utilizar o outro modelo.

Pré-requisitos

  • Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

  • Um intervalo IPv4 de propriedade do cliente para provisionar no Azure.

    • Um exemplo de intervalo de clientes (1.2.3.0/24) é usado para este exemplo. Esse intervalo não é validado no Azure, portanto, substitua o intervalo de exemplo pelo seu.

Nota

Para problemas encontrados durante o processo de provisionamento, consulte Solução de problemas para prefixo IP personalizado.

Etapas de pré-provisionamento

Para utilizar o recurso BYOIP do Azure, você deve executar as etapas a seguir antes do provisionamento do intervalo de endereços IPv4.

Requisitos e prontidão do prefixo

  • O intervalo de endereços deve ser de sua propriedade e registrado em seu nome em um dos cinco principais Registros Regionais da Internet:

  • O intervalo de endereços não deve ser menor que um /24 para que os provedores de serviços de Internet aceitem.

  • Um documento de Autorização de Origem de Rota (ROA) que autoriza a Microsoft a anunciar o intervalo de endereços deve ser preenchido pelo cliente no site apropriado do RIR (Routing Internet Registry) ou por meio de sua API. O RIR exige que o ROA seja assinado digitalmente com a Infraestrutura de Chave Pública de Recursos (RPKI) do seu RIR.

    Para este ROA:

    • O Origin AS deve ser listado como 8075 para a nuvem pública. (Se o intervalo for integrado ao US Gov Cloud, o Origin AS deve ser listado como 8070.)

    • A data de término da validade (data de validade) precisa levar em conta o tempo que você pretende ter o prefixo anunciado pela Microsoft. Alguns RIRs não apresentam a data de término da validade como uma opção e ou escolhem a data para você.

    • O comprimento do prefixo deve corresponder exatamente aos prefixos anunciados pela Microsoft. Por exemplo, se você planeja trazer 1.2.3.0/24 e 2.3.4.0/23 para a Microsoft, ambos devem ser nomeados.

    • Depois que o ROA for concluído e enviado, aguarde pelo menos 24 horas para que ele fique disponível para a Microsoft, onde será verificado para determinar sua autenticidade e correção como parte do processo de provisionamento.

Nota

Também é recomendável criar um ROA para qualquer ASN existente que esteja anunciando o intervalo para evitar problemas durante a migração.

Importante

Embora a Microsoft não pare de anunciar o intervalo após a data especificada, é altamente recomendável criar de forma independente um ROA de acompanhamento se a data de expiração original tiver passado para evitar que operadoras externas não aceitem o anúncio.

Prontidão do certificado

Para autorizar a Microsoft a associar um prefixo a uma assinatura de cliente, um certificado público deve ser comparado com uma mensagem assinada.

As etapas a seguir mostram as etapas necessárias para preparar o intervalo de cliente de amostra (1.2.3.0/24) para provisionamento para a nuvem pública. Você pode executar esses comandos com o Windows PowerShell ou em um console do Linux. Ambos requerem OpenSSL para ser instalado.

  1. Um certificado X509 autoassinado deve ser criado para adicionar ao registro Whois/RDAP para o prefixo. Para obter informações sobre RDAP, consulte os sites ARIN, RIPE, APNIC e AFRINIC.

    Utilizando o kit de ferramentas OpenSSL, os comandos a seguir geram um par de chaves RSA e criam um certificado X509 usando o par de chaves que expira em seis meses.

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Depois que o certificado for criado, atualize a seção de comentários públicos do registro Whois/RDAP para o prefixo. Para exibir para cópia, incluindo o cabeçalho/rodapé BEGIN/END com traços, use o comando cat byoippublickey.cer Você deve ser capaz de executar este procedimento através do seu Registro de Internet de Roteamento.

    Eis as instruções para cada registo:

    • ARIN - edite os Comentários do registro de prefixo.

    • RIPE - edite as Observações do registo inetnum.

    • APNIC - edite as Observações do registro inetnum usando MyAPNIC.

    • AFRINIC - edite as Observações do registo inetnum usando MyAFRINIC.

    • Para intervalos do registro LACNIC, crie um tíquete de suporte com a Microsoft.

    Depois que os comentários públicos forem preenchidos, o registro Whois/RDAP deve se parecer com o exemplo a seguir. Ao copiar, verifique se não há espaços ou retornos de carro e inclua todos os traços:

    Captura de tela do exemplo de comentário do certificado.

  3. Para criar a mensagem passada para a Microsoft, crie uma cadeia de caracteres que contenha informações relevantes sobre seu prefixo e assinatura. Assine esta mensagem com o par de chaves gerado anteriormente. Use o seguinte formato, substituindo o ID da assinatura, o prefixo a ser provisionado e a data de expiração correspondentes à Data de Validade no ROA. Verifique se o formato está nessa ordem.

    Use o comando a seguir para criar uma mensagem assinada passada para a Microsoft para verificação.

    Nota

    Se a data de Término da Validade não tiver sido incluída no ROA original, escolha uma data que corresponda à hora em que você pretende que o prefixo seja anunciado pelo Azure.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Para exibir o conteúdo da mensagem assinada, insira a variável criada a partir da mensagem assinada criada anteriormente e selecione Enter no prompt:

    $byoipauthsigned

# Output
ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==

Provisionamento e comissionamento de um prefixo IPv4 personalizado

As etapas a seguir exibem o procedimento de provisionamento e comissionamento de um prefixo de endereço IPv4 personalizado com uma escolha de dois modelos: Unificado e Global/Regional. As etapas podem ser executadas com o portal do Azure, a CLI do Azure ou o Azure PowerShell.

Use o portal do Azure para provisionar e comissionar um prefixo de endereço IPv4 personalizado com o portal do Azure.

As etapas a seguir exibem o procedimento para provisionar um intervalo de cliente de amostra (1.2.3.0/24) para a região Oeste dos EUA 2.

Nota

As etapas de limpeza ou exclusão não são mostradas nesta página, dada a natureza do recurso. Para obter informações sobre como remover um prefixo IP personalizado provisionado, consulte Gerenciar prefixo IP personalizado.

Iniciar sessão no Azure

Inicie sessão no portal do Azure.

Criar e provisionar um prefixo de endereço IP personalizado unificado

  1. Na caixa de pesquisa na parte superior do portal, digite IP personalizado.

  2. Nos resultados da pesquisa, selecione Prefixos IP personalizados.

  3. Selecione + Criar.

  4. Em Criar um prefixo IP personalizado, insira ou selecione as seguintes informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição
    Grupo de recursos Selecione Criar novo.
    Insira myResourceGroup.
    Selecione OK.
    Detalhes da instância
    Nome Digite myCustomIPPrefix.
    País/Região Selecione E.U.A. Oeste 2.
    Versão do IP Selecione IPv4.
    Prefixo IPv4 (CIDR) Digite 1.2.3.0/24.
    Data de validade do ROA Insira a data de validade do ROA no formato aaaammdd .
    Mensagem assinada Cole na saída de $byoipauthsigned da seção de pré-provisionamento.
    Zonas de Disponibilidade Selecione Zona redundante.

    Captura de ecrã da página de criação de prefixo IP personalizado no portal do Azure.

  5. Selecione o separador Rever + criar ou o botão azul Rever + criar na parte inferior da página.

  6. Selecione Criar.

O intervalo é enviado por push para o Pipeline de Implantação IP do Azure. O processo de implantação é assíncrono. Você pode verificar o status examinando o campo Estado comissionado para o prefixo IP personalizado.

Nota

O tempo estimado para concluir o processo de provisionamento é de 30 minutos.

Importante

Depois que o prefixo IP personalizado estiver em um estado "Provisionado", um prefixo IP público filho poderá ser criado. Esses prefixos IP públicos e quaisquer endereços IP públicos podem ser anexados aos recursos de rede. Por exemplo, interfaces de rede de máquina virtual ou front-ends de balanceador de carga. Os IPs não serão anunciados e, portanto, não serão acessíveis. Para obter mais informações sobre uma migração de um prefixo ativo, consulte Gerenciar um prefixo IP personalizado.

Criar um prefixo IP público a partir do prefixo IP personalizado unificado

Ao criar um prefixo, você deve criar endereços IP estáticos a partir do prefixo. Nesta seção, você cria um endereço IP estático a partir do prefixo criado anteriormente.

  1. Na caixa de pesquisa na parte superior do portal, digite IP personalizado.

  2. Nos resultados da pesquisa, selecione Prefixos IP personalizados.

  3. Em Prefixos IP personalizados, selecione myCustomIPPrefix.

  4. Em Visão geral de myCustomIPPrefix, selecione + Adicionar um prefixo IP público.

  5. Insira ou selecione as seguintes informações na guia Noções básicas de Criar um prefixo IP público.

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione myResourceGroup.
    Detalhes da instância
    Nome Digite myPublicIPPrefix.
    País/Região Selecione E.U.A. Oeste 2. A região do prefixo IP público deve corresponder à região do prefixo IP personalizado.
    Versão do IP Selecione IPv4.
    Propriedade do prefixo Selecione Prefixo personalizado.
    Prefixo IP personalizado Selecione myCustomIPPrefix.
    Tamanho do prefixo Selecione um tamanho de prefixo. O tamanho pode ser tão grande quanto o prefixo IP personalizado.

  6. Selecione Rever + criar e, em seguida , Criar na página seguinte.

  7. Repita as etapas 1 a 3 para retornar à página Visão geral de myCustomIPPrefix. Você vê myPublicIPPrefix listado na seção Prefixos IP públicos associados. Agora você pode alocar endereços IP públicos SKU padrão a partir desse prefixo. Para obter mais informações, consulte Criar um endereço IP público estático a partir de um prefixo.

Comissionar o prefixo de endereço IP personalizado unificado

Quando o prefixo IP personalizado estiver no estado Provisionado, atualize o prefixo para iniciar o processo de publicidade do intervalo do Azure.

  1. Na caixa de pesquisa na parte superior do portal, digite IP personalizado e selecione Prefixos IP personalizados.

  2. Verifique e aguarde, se necessário, se myCustomIPPrefix está listado em um estado Provisionado .

  3. Em Prefixos IP personalizados, selecione myCustomIPPrefix.

  4. Em Visão geral de myCustomIPPrefix, selecione o menu suspenso Comissão e escolha Global.

A operação é assíncrona. Você pode verificar o status examinando o campo Estado comissionado para o prefixo IP personalizado. Inicialmente, o status mostrará o prefixo como Comissionamento, seguido no futuro por Comissionado. A distribuição do anúncio não é concluída de uma só vez. A gama é parcialmente anunciada enquanto ainda está no status de Comissionamento .

Nota

O tempo estimado para concluir totalmente o processo de comissionamento é de 3 a 4 horas.

Importante

À medida que o prefixo IP personalizado transita para um estado Comissionado , o intervalo está sendo anunciado com a Microsoft da região local do Azure e globalmente para a Internet pela rede de longa distância da Microsoft sob o Número de Sistema Autônomo (ASN) 8075. Anunciar esse mesmo intervalo na Internet a partir de um local diferente da Microsoft ao mesmo tempo pode potencialmente criar instabilidade de roteamento BGP ou perda de tráfego. Por exemplo, um edifício local do cliente. Planeje qualquer migração de um intervalo ativo durante um período de manutenção para evitar impactos. Para evitar esses problemas durante a implantação inicial, você pode escolher a opção de comissionamento somente regional em que seu prefixo IP personalizado só será anunciado dentro da região do Azure em que está implantado. Para obter mais informações, consulte Gerenciar um prefixo de endereço IP personalizado (BYOIP).

Próximos passos