你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure 中创建自定义 IPv4 地址前缀

在本文中,你将学习如何使用 Azure 门户创建自定义 IPv4 地址前缀。 准备一个要预配的范围,预配 IP 分配的范围,并启用 Microsoft 的范围播发。

使用自定义 IPv4 地址前缀,可以将你自己的 IPv4 范围引入 Microsoft,并将其关联到 Azure 订阅。 你将保留该范围的所有权,而 Microsoft 可以将它播发到 Internet。 自定义 IP 地址前缀用作区域资源,代表客户拥有的 IP 地址的连续块。

在本文中,可以选择 Azure 门户、Azure CLI 或 PowerShell 来创建自定义 IPv4 地址前缀。

全局/地区模型与统一模型

在将范围加入 Azure 之前,需要确定最适合你的体系结构的模型。 对于 BYOIPv4,Azure 提供两种部署模型:“全局/地区”和“统一”。

  • 全局/地区模型使用父/子范例。 在此范例中,Microsoft 广域网 (WAN) 播发全局(父)范围,相应的 Azure 区域播发地区(子)范围。 默认情况下,全局范围的大小可以是 /21 到 /24 之间的任意值,而地区范围的大小可以是 /22 到 /26 之间的任意值。 地区范围取决于其各自的父范围的大小,并且必须至少小一个级别。 例如,使用 /23 的全局范围允许地区范围 /24 到 /26。 只有全局范围需要作为预配的一部分进行验证。 地区范围派生自全局范围,所用方式从自定义 IP 前缀派生公共 IP 前缀的方式类似。

  • 统一模型是一个简化的系统,其中 Microsoft 广域网 (WAN) 和 Azure 区域播发相同的范围。 默认情况下,统一范围的大小可以是从 /21 到 /24 的任意值。

  • 模型的选择取决于所需加入的范围。 例如,如果计划仅涉及将范围加入到单个 Azure 区域,则统一模型是更合理的选择,并且可以避免管理开销。 如果组织希望将 BYOIPv4 范围部署到多个区域(可能分布在组织内的不同团队中,并持续较长时间),那么全局/地区模型可以提供更大的灵活性。

注意

加入后,范围将无法在两个模型之间“迁移”;必须完全取消预配并重新加入才能使用另一个模型。

先决条件

  • 具有活动订阅的 Azure 帐户。 免费创建帐户

  • 要在 Azure 中预配的客户拥有的 IPv4 范围。

    • 本示例使用了一个示例客户范围 (1.2.3.0/24)。 此范围未在 Azure 中验证,因此请用你的范围替换示例范围。

注意

对于在预配过程中遇到的问题,请参阅自定义 IP 前缀故障排除

预配前的步骤

为了利用 Azure BYOIP 功能,必须在预配 IPv4 地址范围之前执行以下步骤。

要求和前缀就绪情况

  • 地址范围必须归你所有,并在五个主要区域 Internet 注册机构之一以你的名义注册:

  • 地址范围不能小于 /24,这样才能被 Internet 服务提供商接受。

  • 客户必须在相应的路由互联网注册机构 (RIR) 网站上或通过其 API 填写授权 Microsoft 播发地址范围的路由来源授权 (ROA) 文档。 RIR 要求 ROA 使用 RIR 的资源公钥基础结构 (RPKI) 进行数字签名。

    对于此 ROA:

    • 对于公有云,源 AS 必须列为 8075。 (如果范围将加入 US Gov 云,则源 AS 必须列为 8070。)

    • 有效期结束日期(到期日期)需要考虑到你打算让 Microsoft 播发前缀的时间。 一些 RIR 不提供有效期结束日期作为一个选项,或者为你选择一个日期。

    • 前缀长度应与 Microsoft 播发的前缀完全匹配。 例如,如果你计划将 1.2.3.0/24 和 2.3.4.0/23 引入 Microsoft,应该同时为它们命名。

    • ROA 完成并提交后,至少要等待 24 小时才可供 Microsoft 使用,可在预配过程中对其进行验证以确定其真实性和正确性。

注意

还建议为所有现有的 ASN(该 ASN 正在播发范围)创建 ROA,以避免在迁移过程中出现问题。

重要

虽然 Microsoft 不会在指定日期后停止推广该系列,但如果原始到期日期已过,则强烈建议独立创建后续 ROA,以避免外部运营商不接受广告。

证书就绪情况

为了授权 Microsoft 将前缀与客户订阅相关联,必须将公共证书与签名消息进行比较。

以下步骤演示了准备示例客户范围 (1.2.3.0/24) 以预配到公有云所需的步骤。 可以使用 Windows PowerShell 或在 Linux 控制台中执行这些命令。 两者都需要安装 OpenSSL。

  1. 必须创建一个自签名 X509 证书,以添加到前缀的 Whois/RDAP 记录中。 有关 RDAP 的信息,请参阅 ARINRIPEAPNICAFRINIC 站点。

    使用 OpenSSL 工具包,以下命令生成了一个 RSA 密钥对,并使用该密钥对创建了一个 6 个月后到期的 X509 证书。

    ./openssl genrsa -out byoipprivate.key 2048
    Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
    
  2. 在证书创建后,更新前缀 Whois/RDAP 记录的公共注释部分。 若要显示内容以进行复制(包括带短划线的 BEGIN/END 头部/尾部),请使用命令 cat byoippublickey.cer。你应该可以通过路由互联网注册机构执行此过程。

    下面是每个注册机构的说明:

    • ARIN - 编辑前缀记录的“注释”。

    • RIPE - 编辑 inetnum 记录的“注解”

    • APNIC - 使用 MyAPNIC 编辑 inetnum 记录的“注解”

    • AFRINIC - 使用 MyAFRINIC 编辑 inetnum 记录的“注解”。

    • 对于来自 LACNIC 注册机构的范围,请创建 Microsoft 支持票证。

    填写公共注释后,Whois/RDAP 记录应如下例所示。 复制时,请确保没有空格或回车符,并包括所有短划线:

    示例证书注释的屏幕截图。

  3. 若要创建传递给 Microsoft 的消息,请创建一个包含前缀和订阅的相关信息的字符串。 使用之前生成的密钥对为此消息签名。 使用以下格式,替换你的订阅 ID、要预配的前缀以及与 ROA 上的有效期日期匹配的到期日期。 确保格式采用该顺序。

    使用以下命令创建传递给 Microsoft 进行验证的已签名消息。

    注意

    如果原始 ROA 中未包括有效期结束日期,请选择一个日期,该日期对应于你打算让 Azure 播发前缀的时间。

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
    Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
    ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
    $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
    
  4. 若要查看已签名消息的内容,请输入根据之前创建的已签名消息创建的变量,然后在提示符下选择 Enter

    $byoipauthsigned
    
    # Output
    ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==
    

预配和委托自定义 IPv4 前缀

以下步骤显示预配和委托具有以下两种模型选择的自定义 IPv4 地址前缀的过程:统一模型和全局/地区模型。 可以使用 Azure 门户、Azure CLI 或 Azure PowerShell 执行这些步骤。

通过 Azure 门户使用 Azure 门户预配和委托自定义 IPv4 地址前缀。

  • 统一模型
  • 全局/地区模型

以下步骤展示了将示例客户范围 (1.2.3.0/24) 预配到区域美国西部 2 区域的过程。

注意

考虑到资源的性质,此页上未显示清理或删除步骤。 有关删除预配的自定义 IP 前缀的信息,请参阅管理自定义 IP 前缀

登录 Azure

登录 Azure 门户

创建和预配统一自定义 IP 地址前缀

  1. 在门户顶部的搜索框中,输入“自定义 IP”。

  2. 在搜索结果中,选择“自定义 IP 前缀”。

  3. 选择“+ 新建”。

  4. 在“创建自定义 IP 前缀”中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择订阅
    资源组 选择“新建”。
    输入“myResourceGroup”。
    选择“确定”。
    实例详细信息
    名称 输入“myCustomIPPrefix”。
    区域 选择“美国西部 2” 。
    IP 版本 选择 IPv4。
    IPv4 前缀 (CIDR) 输入“1.2.3.0/24”。
    ROA 过期日期 以 yyyymmdd 格式输入 ROA 过期日期。
    已签名的消息 粘贴“预配”部分中 $byoipauthsigned 的输出。
    可用性区域 选择“区域冗余”。

    Azure 门户中“创建自定义 IP 前缀”页的屏幕截图。

  5. 选择“查看 + 创建”选项卡,或选择页面底部的“查看 + 创建”蓝色按钮 。

  6. 选择创建

该范围将推送到 Azure IP 部署管道。 部署过程是异步的。 可以通过查看自定义 IP 前缀的“委托状态”字段来检查状态。

注意

完成预配过程预计需要 30 分钟。

重要

自定义 IP 前缀处入“已预配”状态后,可以创建子公共 IP 前缀。 可将这些公共 IP 前缀和任何公共 IP 地址附加到网络资源。 例如,虚拟机网络接口或负载均衡器前端。 IP 不会被播发,因此无法进行访问。 有关迁移活动前缀的详细信息,请参阅管理自定义 IP 前缀

根据统一自定义 IP 前缀创建公共 IP 前缀

创建某个前缀时,必须从该前缀创建静态 IP 地址。 在本部分,你将根据先前创建的前缀创建一个静态 IP 地址。

  1. 在门户顶部的搜索框中,输入“自定义 IP”。

  2. 在搜索结果中,选择“自定义 IP 前缀”。

  3. 在“自定义 IP 前缀”中选择“myCustomIPPrefix”。

  4. 在 myCustomIPPrefix 的“概述”中,选择“+ 添加公共 IP 前缀”。

  5. 在“创建公共 IP 前缀”的“基本信息”选项卡中,输入或选择以下信息。

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择“myResourceGroup”。
    实例详细信息
    名称 键入 myPublicIPprefix。
    区域 选择“美国西部 2” 。 公共 IP 前缀的区域必须与自定义 IP 前缀的区域匹配。
    IP 版本 选择“IPv4”。
    前缀所有权 选择“自定义前缀”。
    自定义 IP 前缀 选择“myCustomIPPrefix”。
    前缀大小 选择前缀大小。 该大小可与自定义 IP 前缀一样大。
  6. 选择“查看 + 创建”,然后在下一页上选择“创建”。

  7. 重复步骤 1-3 以返回 myCustomIPPrefix 的“概述”页。 你将看到,“关联的公共 IP 前缀”部分下面列出了“myPublicIPPrefix”。 现在可以从此前缀分配标准 SKU 公共 IP 地址。 有关详细信息,请参阅从前缀创建静态公共 IP 地址

委托统一自定义 IP 地址前缀

当自定义 IP 前缀处于“已预配”状态时,请更新前缀以开始执行从 Azure 播发范围的过程。

  1. 在门户顶部的搜索框中,输入“自定义 IP”,然后选择“自定义 IP 前缀”。

  2. 进行验证,并在必要时等待 myCustomIPPrefix 以“已预配”状态列出。

  3. 在“自定义 IP 前缀”中选择“myCustomIPPrefix”。

  4. 在 myCustomIPPrefix 的“概述”中,选择“委托”下拉菜单,然后选择“全局”。

该操作是异步的。 可以通过查看自定义 IP 前缀的“委托状态”字段来检查状态。 状态最初会将前缀显示为“正在委托”,然后显示为“已委托”。 播发推出不会一次性完成。 范围仍处于“委托中”状态时将部分播发

注意

完全完成委托过程预计需要 3-4 小时。

重要

随着自定义 IP 前缀转换为“已委托”状态,范围将由 Microsoft 从本地 Azure 区域播发,并以自治系统号 (ASN) 8075 由 Microsoft 的广域网播发到全球。 如果同时从 Microsoft 以外的位置将此同一范围播发到 Internet,可能会造成 BGP 路由不稳定或流量损失。 例如,客户本地生成。 请将活动范围的任何迁移安排在维护期间,以避免产生影响。 若要在初始部署期间防止这些问题,可以选择仅限区域的委托选项,其中的自定义 IP 前缀将仅在部署它的 Azure 区域中播发。 有关详细信息,请参阅管理自定义 IP 地址前缀 (BYOIP)

后续步骤