Создание префиксов IP-адресов и управление ими

В этой статье описываются основные операции управления для префиксов IP-адресов и правил префикса IP в Операторе Azure Nexus.

Операции префикса IP

Создание префикса IP-адреса

Чтобы создать ресурс префикса IP, выполните следующие действия.

1. Укажите свойства и правила ресурса префикса IP. Следующая команда azcli можно использовать в качестве ссылки:

   az networkfabric ipprefix create--resource-group myResourceGroup \
     --name myIpPrefix \
     --location eastus \
     --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \
     --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20
   

   Свойства и правила ресурса префикса IP:

   • resource-group: имя группы ресурсов, в которой требуется создать ресурс префикса IP. 

   • name: имя ресурса префикса IP. 

   • location: регион Azure, в котором требуется создать ресурс префикса IP. 

   • ip-prefix-rules: список правил, определяющих критерии соответствия и действия для ресурса префикса IP. Каждое правило имеет следующие свойства:

     • action: действие, которое необходимо предпринять при выполнении условия. Это может быть либо Permit либо Deny. Permit означает разрешить маршрут и Deny означает отклонить маршрут. 

     • condition: условие для сравнения префикса сети маршрута с префиксом сети правила. Это может быть одно из следующих значений:

       • EqualTo: условие имеет значение true, если префикс сети маршрута равен префиксу сети правила. 

       • NotEqualTo: условие имеет значение true, если префикс сети маршрута не равен префиксу сети правила. 

       • GreaterThanOrEqualTo: условие имеет значение true, если префикс сети маршрута больше или равен префиксу сети правила.

     • networkPrefix: сегмент сети для сопоставления. Это IP-адрес и длина префикса, например 10.10.10.0/28 или 2001:db8::/64. Для IPv4 длина префикса должна быть равна 1–32. Для IPv6 длина префикса должна быть равна 1–128.

     • sequenceNumber: порядок оценки правила от самого низкого до самого высокого. Правило с наименьшим порядковым номером вычисляется первым, а правило с самым высоким порядковым номером вычисляется последним. Если правило соответствует маршруту, оценка останавливается и выполняется действие правила. Если правило не соответствует маршруту, действие по умолчанию — "Запретить". 

2. Создайте ресурс префикса IP с помощью команды azcli. Вы можете использовать ту же команду, что и на предыдущем шаге, или изменить ее в соответствии с вашими требованиями.

3. Убедитесь, что ресурс префикса IP успешно создан. Команду можно использовать az networkfabric ipprefix show для отображения сведений о ресурсе префикса IP. В качестве ссылки можно использовать следующий пример:

   az networkfabric ipprefix show \
     --resource-group myResourceGroup \
     --name myIpPrefix 
   

В этом примере имя группы ресурсов, myResourceGroup в которой вы создали ресурс префикса IP, и myIpPrefix является именем ресурса префикса IP. 

Ответ должен содержать свойства и правила ресурса префикса IP, например идентификатор, тип, ipPrefixRules, location, name, provisioningState, resourceGroup и теги. 

Отображение ресурса префикса IP

Чтобы получить сведения о существующем ресурсе префикса IP по его идентификатору или имени, используйте следующую команду:

# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix

Текст ответа REST API выглядит следующим образом:

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
  "location": "eastus",
  "name": "myIpPrefix",
  "properties": {
    "ipPrefixRules": [
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "10.10.10.0/28",
        "sequenceNumber": 10
      },
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "20.20.20.0/24",
        "sequenceNumber": 20
      }
    ]
  }
}

Обновление ресурса префикса IP

Чтобы обновить ресурс префикса IP-адресов, выполните следующие действия.

1. Укажите свойства и правила ресурса префикса IP, который требуется обновить. Вы можете использовать тот же шаблон JSON, что и в предыдущем разделе, или изменить его в соответствии с вашими требованиями. 

2. Обновите ресурс префикса IP с помощью команды Azure CLI или метода REST API. В качестве ссылки можно использовать следующие примеры:

   az networkfabric ipprefix update  \
     -g "example-rg" \
     --resource-name "example-ipprefix" \
     --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"
   

В этом примере имя группы ресурсов, resourceGroupName в которой вы создали ресурс префикса IP, ipPrefixName — это имя ресурса префикса IP, а параметр --add добавляет новое правило в свойство ipPrefixRules. Новое правило запрещает маршруты с префиксом сети 30.30.30.30.0/24 и имеет порядковый номер 30. 

Удаление ресурса префикса IP

Чтобы удалить существующий ресурс префикса IP по идентификатору или имени, выполните следующую команду:

# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
  --resource-group myResourceGroup \
  --name myIpPrefix

Текст запроса REST API для удаления ресурса префикса IP по идентификатору выглядит следующим образом:

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}

Примеры ресурсов префикса IP

ipprefixv4-externalnetwork1-export

Этот ресурс используется для управления правилами сетевого трафика для определенной внешней сети в группе ресурсов. Он содержит правила, разрешающие трафик к префиксам сети 20.20.20.0/24 и 50.50.50.0/24, но запрещают трафик префиксу сети 10.10.10.0/28. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
  "ipPrefixRules": [
    {
      "action": "Deny",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "50.50.50.0/24",
      "sequenceNumber": 13
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-externalnetwork1-export",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Этот ресурс запрещает трафик к префиксу сети 10.10.10.0/28 и разрешает трафик к префиксам сети 20.20.20.0/24 и 50.50.50.0/24.

ipprefixv4-1204-cn1

Этот ресурс используется для управления правилами сетевого трафика для определенной сети в группе ресурсов. Он содержит правила, разрешающие трафик к префиксам сети 10.10.10.0/28 и 20.20.20.0/24. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-1204-cn1",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Этот ресурс разрешает трафик к префиксам сети 10.10.10.0/28 и 20.20.20.0/24.

ipprefix-v6-ingress

Этот ресурс расположен в регионе eastus и является частью группы ресурсов. Она настроена, но в настоящее время отключена. Ресурс имеет тип microsoft.managednetworkfabric/ipprefixes.

Ресурс имеет два правила префикса IP:

1. Разрешает трафик от сетевых префиксов, которые больше или равно fda0:d59c:db12::/59 с длиной маски подсети 59. 

2. Разрешает трафик из сетевых префиксов, которые больше или равно fc00:f853:ccd:e793::/64 с длиной маски подсети 64. 

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fda0:d59c:db12::/59",
      "sequenceNumber": 10,
      "subnetMaskLength": "59"
    },
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fc00:f853:ccd:e793::/64",
      "sequenceNumber": 20,
      "subnetMaskLength": "64"
    }
  ],
  "location": "eastus",
  "name": "ipprefix-v6-ingress",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Этот ресурс настроен для разрешения трафика IPv6 из указанных префиксов сети.