Поделиться через

Создание пользовательского префикса IPv4-адреса в Azure

  • Статья

В этой статье вы узнаете, как создать настраиваемый префикс IPv4-адреса с помощью портал Azure. Вы подготавливаете диапазон для подготовки, подготавливаете диапазон для выделения IP-адресов и включаете объявление диапазона корпорацией Майкрософт.

Настраиваемый префикс IPv4-адреса позволяет перенести собственные диапазоны IPv4 в Корпорацию Майкрософт и связать его с подпиской Azure. Вы сохраняете владение диапазоном, пока корпорация Майкрософт может объявить его в Интернете. Пользовательский префикс IP-адресов функционирует как региональный ресурс, представляющий непрерывный блок IP-адресов, принадлежащих клиенту.

В этой статье выберите между портал Azure, Azure CLI или PowerShell, чтобы создать настраиваемый префикс IPv4-адреса.

Глобальная или региональная модель и единая модель

Прежде чем подключить диапазон к Azure, необходимо выбрать модель, которая будет лучше всего подходит для вашей архитектуры. Для BYOIPv4 Azure предлагает две модели развертывания: global/regional и unified.

  • Глобальная или региональная модель использует родительскую дочернюю/ парадигму. В этой парадигме сеть Microsoft Wide Area Network (WAN) объявляет глобальный (родительский) диапазон, а соответствующие регионы Azure объявляют региональные (дочерние) диапазоны. По умолчанию глобальные диапазоны могут находиться в любом месте от /21 до /24 в размерах, а региональные диапазоны могут иметь размер от /22 до /26. Региональные диапазоны зависят от размера соответствующего родительского диапазона, и они должны быть по крайней мере на одном уровне меньше. Например, глобальный диапазон, использующий /23, разрешает региональный диапазон от /24 до /26. В рамках подготовки необходимо проверить только глобальный диапазон. Региональные диапазоны производны от глобального диапазона аналогично тому, как префиксы общедоступных IP-адресов являются производными от пользовательских префиксов IP-адресов.

  • Унифицированная модель — это упрощенная система, в которой как глобальная сеть (глобальная сеть Майкрософт) так и регион Azure объявляют один и тот же диапазон. По умолчанию унифицированный диапазон может находиться в любом месте от /21 до /24 в размере.

  • Выбор модели зависит от области требуемого подключения. Например, если план включает только подключение диапазона к одному региону Azure, единая модель является более логическим выбором и позволяет избежать затрат на управление. Если ваша организация вместо этого ищет развертывание диапазонов BYOIPv4 в нескольких регионах, потенциально распространяемых по разным командам в организации и в течение длительного периода времени, то глобальная или региональная модель может обеспечить большую гибкость.

Примечание.

Диапазоны нельзя перенести между двумя моделями после их подключения; Они должны быть полностью отозваны и повторно подключены для использования другой модели.

Необходимые компоненты

  • Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

  • Клиент, принадлежащий диапазону IPv4 для подготовки в Azure.

    • В этом примере используется образец диапазона клиента (1.2.3.0/24). Этот диапазон не проверяется в Azure, поэтому замените пример диапазона вашими.

Примечание.

Сведения о проблемах, возникающих во время подготовки, см. в статье Устранение неполадок с пользовательским префиксом IP-адресов.

Шаги предварительной подготовки

Чтобы использовать функцию AZURE BYOIP, перед подготовкой диапазона адресов IPv4 необходимо выполнить следующие действия.

Требования и готовность префикса

  • Диапазон адресов должен принадлежать вам и зарегистрирован под вашим именем с одним из пяти основных региональных реестров Интернета:

  • Диапазон адресов должен быть не меньше /24, чтобы поставщики услуг Интернета приняли.

  • Документ авторизации источника маршрутов (ROA), который разрешает корпорации Майкрософт объявлять диапазон адресов, должен быть завершен клиентом на соответствующем веб-сайте реестра маршрутизации (RIR) или через api. RiR требует, чтобы roA была цифрово подписана с помощью инфраструктуры открытых ключей ресурса (RPKI) вашего RIR.

    Для этого документа ROA:

    • Источник AS должен быть указан как 8075 для общедоступного облака. (Если диапазон будет подключен к us gov Cloud, источник AS должен быть указан как 8070.)

    • Дата окончания срока действия должна быть указана с учетом времени, когда корпорация Майкрософт должна объявить префикс в соответствии с вашими планами. Некоторые RIR не предоставляют возможность указания даты окончания срока действия и не устанавливают ее самостоятельно.

    • Длина префикса должна точно соответствовать префиксам, объявленным корпорацией Майкрософт. Например, если вы планируете передать в корпорацию Майкрософт префиксы 1.2.3.0/24 и 2.3.4.0/23, необходимо указать оба этих префикса.

    • После заполнения и отправки ROA понадобится по крайней мере 24 часа, чтобы информация стала доступной корпорации Майкрософт для проверки ее подлинности и правильности в ходе процесса подготовки.

Примечание.

Кроме того, рекомендуется создать ROA для любого существующего ASN, который объявляет диапазон, чтобы избежать проблем во время миграции.

Внимание

Хотя корпорация Майкрософт не остановит рекламу диапазона после указанной даты, настоятельно рекомендуется независимо создать последующие roA, если исходная дата окончания срока действия прошла, чтобы избежать принятия рекламы внешним перевозчикам.

Готовность сертификата

Чтобы корпорация Майкрософт могла связать префикс с подпиской клиента, необходимо сравнить открытый сертификат с подписанным сообщением.

Ниже показаны шаги, необходимые для подготовки примера диапазона клиентов (1.2.3.0/24) для подготовки в общедоступном облаке. Эти команды можно выполнить с помощью Windows PowerShell или в консоли Linux. Для обоих требуется установить OpenSSL.

  1. Для добавления в запись Whois/RDAP для префикса необходимо создать самозаверяющий сертификат X509. Сведения о RDAP см. на сайтах ARIN, RIPE, APNIC и AFRINIC.

    Используя набор средств OpenSSL, следующие команды создают пару ключей RSA и создают сертификат X509 с помощью пары ключей, срок действия которой истекает через шесть месяцев.

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. После создания сертификата обновите раздел общедоступных комментариев записи Whois/RDAP для префикса. Чтобы отобразить сведения для копирования, включая верхний и нижний колонтитулы BEGIN/END с тире, используйте команду cat byoippublickey.cer. Эту команду необходимо выполнить через RIR.

    Ниже приведены инструкции для каждого реестра:

    После заполнения общедоступных комментариев запись Whois/RDAP должна выглядеть следующим образом. При копировании убедитесь, что отсутствуют пробелы или возвращается каретки и включаются все дефисы:

    Снимок экрана: комментарий к примеру сертификата.

  3. Чтобы создать сообщение, переданное корпорации Майкрософт, создайте строку, содержащую соответствующие сведения о префиксе и подписке. Подпишите это сообщение с помощью пары ключей, созданной ранее. Используйте следующий формат, подставив идентификатор подписки, префикс для подготовки и дату окончания срока действия, соответствующую дате действия в ROA. Убедитесь, что формат указан в таком порядке.

    Используйте следующую команду, чтобы создать подписанное сообщение, переданное корпорации Майкрософт для проверки.

    Примечание.

    Если дата окончания срока действия не была включена в исходный документ ROA, выберите дату, соответствующую времени, когда вы планируете объявить префикс в Azure.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Чтобы просмотреть содержимое подписанного сообщения, введите переменную, созданную из подписанного сообщения, созданного ранее, и нажмите клавишу ВВОД в командной строке:

    $byoipauthsigned

# Output
ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==

Подготовка и ввод в эксплуатацию настраиваемого префикса IPv4

Ниже приведена процедура подготовки и создания пользовательского префикса IPv4-адреса с выбором двух моделей: Unified и Global/Regional. Действия можно выполнить с помощью портал Azure, Azure CLI или Azure PowerShell.

Используйте портал Azure для подготовки и создания пользовательского префикса IPv4-адреса с помощью портал Azure.

Ниже описана процедура подготовки примера диапазона клиента (1.2.3.0/24) в регионе "Западная часть США 2".

Примечание.

Учитывая характер ресурса, на этой странице не приводятся действия по очистке или удалению. Сведения об удалении подготовленного префикса пользовательского IP-адреса см. в статье об управлении префиксом пользовательского IP-адреса.

Вход в Azure

Войдите на портал Azure.

Создание и подготовка единого пользовательского префикса IP-адреса

  1. В поле поиска в верхней части портала введите Пользовательский IP-адрес.

  2. В результатах поиска выберите Префиксы пользовательских IP-адресов.

  3. Выберите + Создать.

  4. В разделе "Создание пользовательского префикса IP-адреса" введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите Создать.
    Введите myResourceGroup.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Имя. Введите myCustomIPPrefix.
    Область/регион Выберите Западная часть США 2.
    Версия IP-адреса Выберите IPv4.
    Префикс IPv4 (CIDR) Введите 1.2.3.0/24.
    Дата окончания срока действия ROA Введите дату окончания срока действия ROA в формате ггггммдд.
    Подписанное сообщение Вставьте выходные данные $byoipauthsigned из раздела предварительной подготовки.
    зоны доступности; Выберите Избыточное в пределах зоны.

    Снимок экрана: страница создания пользовательского префикса IP-адреса на портале Azure.

  5. Выберите вкладку Просмотр + создание или синюю кнопку Просмотр + создание в нижней части страницы.

  6. Нажмите кнопку создания.

Диапазон отправляется в конвейер развертывания IP-адресов Azure. Процесс развертывания является асинхронным. Чтобы проверить состояние, просмотрите поле Состояние ввода в эксплуатацию для префикса пользовательского IP-адреса.

Примечание.

Расчетное время завершения процесса подготовки составляет 30 минут.

Внимание

После того как префикс пользовательского IP-адреса будет находится в состоянии "Подготовлен", можно создать дочерний префикс общедоступного IP-адреса. Эти префиксы общедоступных IP-адресов и любые общедоступные IP-адреса можно подключить к сетевым ресурсам. Например, к сетевым интерфейсам виртуальных машин или сетевым интерфейсам подсистемы балансировки нагрузки. IP-адреса не будут объявлены и, следовательно, не будут доступны. Дополнительные сведения о переносе активного префикса см. в статье об управление префиксом пользовательского IP-адреса.

Создание префикса общедоступного IP-адреса из единого пользовательского префикса IP

После создания префикса из него необходимо создать статический IP-адрес. В этом разделе вы создадите статический IP-адрес из префикса, созданного ранее.

  1. В поле поиска в верхней части портала введите Пользовательский IP-адрес.

  2. В результатах поиска выберите Префиксы пользовательских IP-адресов.

  3. В окне Префиксы пользовательских IP-адресов выберите myCustomIPPrefix.

  4. В разделе Обзор префикса myCustomIPPrefix выберите + Добавить префикс общедоступного IP-адреса.

  5. В разделе Создание префикса общедоступного IP-адреса на вкладке Основные сведения введите или выберите следующую информацию.

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите myResourceGroup.
    Сведения об экземпляре
    Имя. Введите myPublicIPPrefix.
    Область/регион Выберите Западная часть США 2. Регион префикса общедоступного IP-адреса должен соответствовать региону префикса пользовательского IP-адреса.
    Версия протокола IP-адресов Выберите IPv4.
    Владение префиксом Выберите Пользовательский префикс.
    Префикс пользовательского IP-адреса Выберите myCustomIPPrefix.
    Размер префикса Выберите размер префикса. Размер должен соответствовать размеру префикса пользовательского IP-адреса.

  6. Выберите Проверить и создать, а щелкните Создать на следующей странице.

  7. Повторите шаги 1-3, чтобы вернуться на страницу обзора myCustomIPPrefix. Вы увидите myPublicIPPrefix , указанный в разделе "Связанные общедоступные префиксы IP-адресов". Теперь из этого префикса можно назначить общедоступные IP-адреса, созданные для SKU "Стандартный". Дополнительные сведения см. в статье Создание статического общедоступного IP-адреса из префикса.

Создание единого префикса пользовательского IP-адреса

Если префикс пользовательского IP-адреса находится в состоянии Подготовлен, обновите его, чтобы начать процесс объявления диапазона из Azure.

  1. В поле поиска в верхней части портала введите настраиваемый IP-адрес и выберите настраиваемые префиксы IP-адресов.

  2. Убедитесь, что при необходимости убедитесь, что myCustomIPPrefix будет указан в состоянии подготовки .

  3. В окне Префиксы пользовательских IP-адресов выберите myCustomIPPrefix.

  4. В разделе "Обзор myCustomIPPrefix" выберите раскрывающееся меню Комиссии и выберите "Глобально".

Операция является асинхронной. Чтобы проверить состояние, просмотрите поле Состояние ввода в эксплуатацию для префикса пользовательского IP-адреса. Первоначально статус будет отображать префикс в качестве комиссии, а затем в будущем комиссией. Развертывание рекламы не завершается сразу. Диапазон частично объявлен в то время как все еще находится в состоянии комиссии .

Примечание.

Расчетное время завершения процесса предоставления составляет 3–4 часа.

Внимание

После перехода пользовательского префикса IP-адресов в состояние Предоставлено диапазон объявляется корпорацией Майкрософт из локального региона Azure и глобально в Интернет через глобальную сеть Майкрософт под номером 8075 в автономной системе (ASN). Объявление этого же диапазона в Интернете из расположения, отличного от используемого корпорацией Майкрософт, может привести к нестабильности маршрутизации BGP или потере трафика. Например, таким расположением может быть локальное здание клиента. Запланируйте миграцию активного диапазона в течение периода обслуживания, чтобы избежать негативных последствий. Чтобы предотвратить эти проблемы во время первоначального развертывания, можно выбрать только региональный вариант ввода в эксплуатацию, в котором будет объявлен только настраиваемый префикс IP-адресов в регионе Azure, в котором он развернут. Дополнительные сведения см. в разделе "Управление префиксом пользовательского IP-адреса ( BYOIP)".

Следующие шаги