Erstellen eines benutzerdefinierten IPv4-Adresspräfixes mithilfe von Azure PowerShell
Mit einem benutzerdefinierten IPv4-Adresspräfix können Sie Ihre eigenen IPv4-Bereiche auf Microsoft-Ressourcen verwenden und Ihrem Azure-Abonnement zuordnen. Sie sind weiterhin im Besitz des Bereichs, aber Microsoft ist es gestattet, ihn im Internet anzukündigen. Ein benutzerdefiniertes IP-Adresspräfix fungiert als regionale Ressource, die einen zusammenhängenden Block kundeneigener IP-Adressen darstellt.
Dieser Artikel bietet ausführliche Anleitungen für folgende Aufgaben:
Vorbereiten eines Bereichs für die Bereitstellung
Bereitstellen des Bereichs für die IP-Zuweisung
Aktivieren des Bereichs für die Ankündigung durch Microsoft
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
- Azure PowerShell (lokale Installation) oder Azure Cloud Shell.
- Melden Sie sich bei Azure PowerShell an, und stellen Sie sicher, dass Sie das Abonnement ausgewählt haben, mit dem Sie dieses Feature verwenden möchten. Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.
- Verwenden Sie mindestens Version 5.1.1 des
Az.Network
-Moduls. Um das installierte Modul zu überprüfen, verwenden Sie den BefehlGet-InstalledModule -Name "Az.Network"
. Falls das Modul ein Update erfordert, verwenden Sie bei Bedarf den BefehlUpdate-Module -Name "Az.Network"
. - Ein IPv4-Adressbereich im Besitz des Kunden, der in Azure bereitgestellt werden soll.
- Für dieses Beispiel wird ein Beispielkundenbereich (1.2.3.0/24) verwendet. Dieser Bereich wird von Azure nicht validiert. Ersetzen Sie den Beispielbereich durch Ihren eigenen.
Wenn Sie PowerShell lokal installieren und verwenden möchten, müssen Sie für diesen Artikel mindestens Version 5.4.1 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az
aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount
ausführen, um eine Verbindung mit Azure herzustellen.
Hinweis
Hilfe bei Problemen während des Bereitstellungsprozesses finden Sie unter Problembehandlung für benutzerdefinierte IP-Präfixe.
Vor der Bereitstellung auszuführende Schritte
Um das BYOIP-Feature von Azure zu nutzen, müssen Sie vor der Bereitstellung Ihres IPv4-Adressbereichs folgende Schritte ausführen.
Anforderungen und Präfixbereitschaft
Der Adressbereich muss Ihnen gehören und unter Ihrem Namen mit dem eines der fünf wichtigsten regionalen Internetregister registriert sein:
Der Adressbereich darf nicht kleiner als ein /24 sein, damit er von Internetdienstanbietern akzeptiert wird.
Ein ROA-Dokument (Route Origin Authorization), das Microsoft autorisiert, den Adressbereich anzukündigen, muss vom Kunden auf der Webseite der entsprechenden Routing Internet Registry (RIR) oder über deren API ausgefüllt werden. Die RIR erfordert, dass die ROA digital mit der Resource Public Key Infrastructure (RPKI) Ihrer RIR signiert wird.
Für diese ROA gelten folgende Anforderungen:
Der Origin AS muss für die öffentliche Cloud als 8075 aufgeführt werden. (Wenn der Bereich in die US Gov Cloud integriert wird, muss der Origin AS als 8070 aufgeführt werden.)
Das Gültigkeitsenddatum (Ablaufdatum) muss den Zeitraum berücksichtigen, für den das Präfix von Microsoft angekündigt werden soll. Einige RIRs bieten keine Auswahl des Gültigkeitsenddatums und/oder wählen das Datum für Sie aus.
Die Präfixlänge sollte genau mit den Präfixen übereinstimmen, die von Microsoft angekündigt werden können. Wenn Sie beispielsweise 1.2.3.0/24 und 2.3.4.0/23 mit Microsoft verwenden möchten, sollten beide benannt werden.
Nachdem die ROA abgeschlossen und übermittelt wurde, müssen Sie mindestens 24 Stunden warten, damit sie Microsoft zur Verfügung steht, wo sie überprüft wird, um ihre Echtheit und Richtigkeit im Rahmen des Bereitstellungsprozesses zu ermitteln.
Hinweis
Es wird auch empfohlen, eine ROA für alle vorhandenen ASN zu erstellen, die den Bereich ankündigt, um Probleme während der Migration zu vermeiden.
Wichtig
Obwohl Microsoft die Werbung für den Bereich nach dem angegebenen Datum nicht einstellt, wird dringend empfohlen, unabhängig davon einen Folge-ROA zu erstellen, wenn das ursprüngliche Ablaufdatum überschritten ist, um zu vermeiden, dass externe Anbieter die Werbung ablehnen.
Zertifikatbereitschaft
Um Microsoft zu autorisieren, ein Präfix einem Kundenabonnement zuzuordnen, muss ein öffentliches Zertifikat mit einer signierten Nachricht verglichen werden.
Mit den folgenden Schritten bereiten Sie die Bereitstellung des Kundenbereichs (im Beispiel 1.2.3.0/24) für die öffentliche Cloud vor.
Hinweis
Führen Sie die folgenden Befehle in PowerShell aus. OpenSSL muss installiert sein.
Ein selbstsigniertes X509-Zertifikat muss erstellt werden, um es dem Whois/RDAP-Datensatz für das Präfix hinzuzufügen. Weitere Informationen zu RDAP finden Sie auf den Websites von ARIN, RIPE, APNIC und AFRINIC.
Unten sehen Sie ein Beispiel, in dem das OpenSSL-Toolkit verwendet wird. Die folgenden Befehle generieren ein RSA-Schlüsselpaar und erstellen ein X509-Zertifikat mit dem Schlüsselpaar, das in sechs Monaten abläuft:
./openssl genrsa -out byoipprivate.key 2048 Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
Nachdem das Zertifikat erstellt wurde, tragen Sie es in den Bereich für öffentliche Kommentare des Whois/RDAP-Datensatzes für das Präfix ein. Verwenden Sie den Befehl
cat byoippublickey.cer
, um das Zertifikat zum Kopieren anzuzeigen – einschließlich BEGIN-Kopfzeile und END-Fußzeile mit Strichen. Sie sollten diesen Befehl über die IRR (Internet Routing Registry) ausführen können.Nachstehend finden Sie Anleitungen für die jeweiligen Registrierungsstellen:
ARIN: Bearbeiten Sie die „Comments“ (Kommentare) des Präfixeintrags
RIPE: Bearbeiten Sie die „Remarks“ (Bemerkungen) des inetnum-Eintrags
APNIC: Bearbeiten Sie die „Remarks“ (Bemerkungen) des inetnum-Eintrags mit MyAPNIC.
AFRINIC: Bearbeiten Sie die „Remarks“ (Bemerkungen) des inetnum-Eintrags mit MyAFRINIC.
Bei Bereichen der Registrierungsstelle LACNIC erstellen Sie ein Supportticket bei Microsoft.
Nachdem die öffentlichen Kommentare ausgefüllt wurden, sollte der Whois/RDAP-Datensatz wie das folgende Beispiel aussehen. Stellen Sie sicher, dass keine Leerzeichen oder Zeilenumbrüche enthalten sind. Schließen Sie alle Striche ein:
Um die Nachricht zu erstellen, die an Microsoft übergeben wird, erstellen Sie eine Zeichenfolge, die relevante Informationen zu Ihrem Präfix und Abonnement enthält. Signieren Sie diese Nachricht mit dem Schlüsselpaar, das in den Schritten oben generiert wurde. Verwenden Sie das unten dargestellte Format mit Ihrer eignen Abonnement-ID, Ihrem eigenen bereitzustellenden Präfix sowie dem mit der ROA übereinstimmenden Gültigkeitsdatum. Stellen Sie sicher, dass das Format diese Reihenfolge aufweist.
Verwenden Sie den folgenden Befehl, um eine signierte Nachricht zu erstellen, die zur Überprüfung an Microsoft übermittelt wird.
Hinweis
Wenn das Gültigkeitsenddatum nicht in die ursprüngliche ROA eingetragen wurde, wählen Sie das Datum aus, zu dem Sie das Präfix von Azure ankündigen lassen möchten.
$byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd" Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
Um den Inhalt der signierten Nachricht anzuzeigen, geben Sie die Variable ein, die aus der zuvor erstellten signierten Nachricht erstellt wurde, und drücken Sie an der PowerShell-Eingabeaufforderung die EINGABETASTE:
$byoipauthsigned dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
Bereitstellungsschritte
Mit den folgenden Schritte stellen Sie den Kunden-IP-Adressbereich (im Beispiel 1.2.3.0/24) in der Region „USA, Westen 2“ bereit.
Hinweis
Die Schritte zum Bereinigungen und Löschen werden auf dieser Seite aufgrund der Art der Ressource nicht beschrieben. Informationen zum Entfernen eines bereitgestellten benutzerdefinierten IP-Präfixes finden Sie unter Verwalten eines benutzerdefinierten IP-Präfixes.
Erstellen einer Ressourcengruppe und Angeben der Präfix- und Autorisierungsnachrichten
Erstellen Sie eine Ressourcengruppe am gewünschten Standort für die Bereitstellung des BYOIP-Bereichs.
$rg =@{
Name = 'myResourceGroup'
Location = 'WestUS2'
}
New-AzResourceGroup @rg
Bereitstellen eines benutzerdefinierten IP-Adresspräfixes
Der folgende Befehl erstellt ein benutzerdefiniertes IP-Adresspräfix in der angegebenen Region und Ressourcengruppe. Geben Sie das genaue Präfix in CIDR-Notation als Zeichenfolge an, um sicherzustellen, dass keine Syntaxfehler auftreten. Ersetzen Sie die Werte im -AuthorizationMessage
-Parameter durch Ihre eigne Abonnement-ID, Ihr eigenes bereitzustellendes Präfix sowie das mit der ROA übereinstimmende Gültigkeitsdatum. Stellen Sie sicher, dass das Format diese Reihenfolge aufweist. Verwenden Sie die Variable $byoipauthsigned für den -SignedMessage
-Parameter, der im Abschnitt „Zertifikatbereitschaft“ erstellt wurde.
$prefix =@{
Name = 'myCustomIPPrefix'
ResourceGroupName = 'myResourceGroup'
Location = 'WestUS2'
CIDR = '1.2.3.0/24'
AuthorizationMessage = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd'
SignedMessage = $byoipauthsigned
}
$myCustomIpPrefix = New-AzCustomIPPrefix @prefix -Zone 1,2,3
Der Bereich wird an die Azure-IP-Bereitstellungspipeline gepusht. Der Bereitstellungsprozess ist asynchron. Führen Sie den folgenden Befehl aus, um den Status zu ermitteln:
Get-AzCustomIpPrefix -ResourceId $myCustomIpPrefix.Id
Die Beispielausgabe wird unten angezeigt (einige Felder wurden der Übersichtlichkeit halber entfernt):
Name : myCustomIpPrefix
ResourceGroupName : myResourceGroup
Location : westus2
Id : /subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/MyCustomIPPrefix
Cidr : 1.2.3.0/24
Zones : {1, 2, 3}
CommissionedState : Provisioning
Das Feld CommissionedState sollte den Bereich zunächst als Provisioning (Wird bereitgestellt). Dieser Wert ändert sich später in Provisioned (Bereitgestellt).
Hinweis
Der Bereitstellungsvorgang dauert etwa 30 Minuten.
Wichtig
Nachdem sich das benutzerdefinierte IP-Präfix im Zustand Bereitgestellt befindet, kann ein untergeordnetes Präfix für öffentliche IP-Adressen erstellt werden. Diese öffentlichen IP-Präfixe und alle öffentlichen IP-Adressen können Netzwerkressourcen zugewiesen werden, z. B. VM-Netzwerkschnittstellen oder Front-Ends für den Lastenausgleich. Die IP-Adressen werden nicht angekündigt und sind daher nicht erreichbar. Informationen zur Migration eines aktiven Präfixes finden Sie unter Verwalten eines benutzerdefinierten IP-Präfixes.
Aktivieren des benutzerdefinierten IP-Adresspräfixes
Wenn sich das benutzerdefinierte IP-Präfix im Zustand Bereitgestellt befindet, aktualisieren Sie das Präfix mit dem folgenden Befehl, um mit der Ankündigung des Bereichs durch Azure zu beginnen.
Update-AzCustomIpPrefix -ResourceId $myCustomIPPrefix.Id -Commission
Auch dieser Vorgang ist wieder asynchron. Verwenden Sie Get-AzCustomIpPrefix, um den Status abzurufen. Der Status des Präfix wird im Feld CommissionedState zunächst als Commissioning (Wird aktiviert) angezeigt und ändert sich später in Commissioned (Aktiviert). Der Rollout der Ankündigung erfolgt inkrementell, und der Bereich wird teilweise angekündigt, während der Status noch Commissioning (Wird aktiviert) lautet.
Hinweis
Die geschätzte Zeit, um den Inbetriebnahmeprozess vollständig abzuschließen, beträgt 3-4 Stunden.
Wichtig
Sobald das benutzerdefinierte IP-Präfix zum Zustand Kommissioniert übergeht, wird der Bereich von Microsoft aus der lokalen Azure-Region und global für das Internet durch das WAN von Microsoft unter der Autonomous System Number (ASN) 8075 angekündigt. Denselben Bereich im Internet von einem anderen Standort als Microsoft aus gleichzeitig anzukündigen könnte instabiles BGP-Routing-Instabilität oder verlorenen Traffic zur Folge haben. Etwa von einem Kundenstandort aus. Planen Sie eine Migration eines aktiven Bereichs während eines Wartungszeitraums, um Beeinträchtigungen zu vermeiden. Darüber hinaus können Sie das Feature der regionalen Kommissionierung nutzen, um ein benutzerdefiniertes IP-Präfix in einen Zustand zu versetzen, in dem es nur innerhalb der Azure-Region angekündigt wird, in der es bereitgestellt wurde. Weitere Informationen finden Sie unter Verwalten eines benutzerdefinierten IP-Adresspräfixes (BYOIP).
Nächste Schritte
Weitere Informationen zu Szenarien und Vorteilen der Verwendung eines benutzerdefinierten IP-Präfixes finden Sie unter Benutzerdefiniertes IP-Adresspräfix (BYOIP).
Weitere Informationen zum Verwalten eines benutzerdefinierten IP-Präfixes finden Sie unter Verwalten eines benutzerdefinierten IP-Adresspräfixes (BYOIP).
Informationen zum Erstellen eines benutzerdefinierten IP-Adresspräfixes mithilfe der Azure-Befehlszeilenschnittstelle finden Sie unter Erstellen eines benutzerdefinierten IP-Adresspräfixes mithilfe der Azure-Befehlszeilenschnittstelle.
Informationen zum Erstellen eines benutzerdefinierten IP-Adresspräfixes mithilfe des Azure-Portals finden Sie unter Erstellen eines benutzerdefinierten IP-Adresspräfixes mithilfe des Azure-Portals.