Erstellen eines benutzerdefinierten IPv4-Adresspräfixes mithilfe von Azure PowerShell

  • Artikel

Mit einem benutzerdefinierten IPv4-Adresspräfix können Sie Ihre eigenen IPv4-Bereiche auf Microsoft-Ressourcen verwenden und Ihrem Azure-Abonnement zuordnen. Sie sind weiterhin im Besitz des Bereichs, aber Microsoft ist es gestattet, ihn im Internet anzukündigen. Ein benutzerdefiniertes IP-Adresspräfix fungiert als regionale Ressource, die einen zusammenhängenden Block kundeneigener IP-Adressen darstellt.

Dieser Artikel bietet ausführliche Anleitungen für folgende Aufgaben:

  • Vorbereiten eines Bereichs für die Bereitstellung

  • Bereitstellen des Bereichs für die IP-Zuweisung

  • Aktivieren des Bereichs für die Ankündigung durch Microsoft

Voraussetzungen

  • Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
  • Azure PowerShell (lokale Installation) oder Azure Cloud Shell.
  • Melden Sie sich bei Azure PowerShell an, und stellen Sie sicher, dass Sie das Abonnement ausgewählt haben, mit dem Sie dieses Feature verwenden möchten. Weitere Informationen finden Sie unter Anmelden mit Azure PowerShell.
  • Verwenden Sie mindestens Version 5.1.1 des Az.Network-Moduls. Um das installierte Modul zu überprüfen, verwenden Sie den Befehl Get-InstalledModule -Name "Az.Network". Falls das Modul ein Update erfordert, verwenden Sie bei Bedarf den Befehl Update-Module -Name "Az.Network".
  • Ein IPv4-Adressbereich im Besitz des Kunden, der in Azure bereitgestellt werden soll.
    • Für dieses Beispiel wird ein Beispielkundenbereich (1.2.3.0/24) verwendet. Dieser Bereich wird von Azure nicht validiert. Ersetzen Sie den Beispielbereich durch Ihren eigenen.

Wenn Sie PowerShell lokal installieren und verwenden möchten, müssen Sie für diesen Artikel mindestens Version 5.4.1 des Azure PowerShell-Moduls verwenden. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Wenn Sie ein Upgrade ausführen müssen, finden Sie unter Installieren des Azure PowerShell-Moduls Informationen dazu. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um eine Verbindung mit Azure herzustellen.

Hinweis

Hilfe bei Problemen während des Bereitstellungsprozesses finden Sie unter Problembehandlung für benutzerdefinierte IP-Präfixe.

Vor der Bereitstellung auszuführende Schritte

Um das BYOIP-Feature von Azure zu nutzen, müssen Sie vor der Bereitstellung Ihres IPv4-Adressbereichs folgende Schritte ausführen.

Anforderungen und Präfixbereitschaft

  • Der Adressbereich muss Ihnen gehören und unter Ihrem Namen mit dem eines der fünf wichtigsten regionalen Internetregister registriert sein:

  • Der Adressbereich darf nicht kleiner als ein /24 sein, damit er von Internetdienstanbietern akzeptiert wird.

  • Ein ROA-Dokument (Route Origin Authorization), das Microsoft autorisiert, den Adressbereich anzukündigen, muss vom Kunden auf der Webseite der entsprechenden Routing Internet Registry (RIR) oder über deren API ausgefüllt werden. Die RIR erfordert, dass die ROA digital mit der Resource Public Key Infrastructure (RPKI) Ihrer RIR signiert wird.

    Für diese ROA gelten folgende Anforderungen:

    • Der Origin AS muss für die öffentliche Cloud als 8075 aufgeführt werden. (Wenn der Bereich in die US Gov Cloud integriert wird, muss der Origin AS als 8070 aufgeführt werden.)

    • Das Gültigkeitsenddatum (Ablaufdatum) muss den Zeitraum berücksichtigen, für den das Präfix von Microsoft angekündigt werden soll. Einige RIRs bieten keine Auswahl des Gültigkeitsenddatums und/oder wählen das Datum für Sie aus.

    • Die Präfixlänge sollte genau mit den Präfixen übereinstimmen, die von Microsoft angekündigt werden können. Wenn Sie beispielsweise 1.2.3.0/24 und 2.3.4.0/23 mit Microsoft verwenden möchten, sollten beide benannt werden.

    • Nachdem die ROA abgeschlossen und übermittelt wurde, müssen Sie mindestens 24 Stunden warten, damit sie Microsoft zur Verfügung steht, wo sie überprüft wird, um ihre Echtheit und Richtigkeit im Rahmen des Bereitstellungsprozesses zu ermitteln.

Hinweis

Es wird auch empfohlen, eine ROA für alle vorhandenen ASN zu erstellen, die den Bereich ankündigt, um Probleme während der Migration zu vermeiden.

Wichtig

Obwohl Microsoft die Werbung für den Bereich nach dem angegebenen Datum nicht einstellt, wird dringend empfohlen, unabhängig davon einen Folge-ROA zu erstellen, wenn das ursprüngliche Ablaufdatum überschritten ist, um zu vermeiden, dass externe Anbieter die Werbung ablehnen.

Zertifikatbereitschaft

Um Microsoft zu autorisieren, ein Präfix einem Kundenabonnement zuzuordnen, muss ein öffentliches Zertifikat mit einer signierten Nachricht verglichen werden.

Mit den folgenden Schritten bereiten Sie die Bereitstellung des Kundenbereichs (im Beispiel 1.2.3.0/24) für die öffentliche Cloud vor.

Hinweis

Führen Sie die folgenden Befehle in PowerShell aus. OpenSSL muss installiert sein.

  1. Ein selbstsigniertes X509-Zertifikat muss erstellt werden, um es dem Whois/RDAP-Datensatz für das Präfix hinzuzufügen. Weitere Informationen zu RDAP finden Sie auf den Websites von ARIN, RIPE, APNIC und AFRINIC.

    Unten sehen Sie ein Beispiel, in dem das OpenSSL-Toolkit verwendet wird. Die folgenden Befehle generieren ein RSA-Schlüsselpaar und erstellen ein X509-Zertifikat mit dem Schlüsselpaar, das in sechs Monaten abläuft:

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. Nachdem das Zertifikat erstellt wurde, tragen Sie es in den Bereich für öffentliche Kommentare des Whois/RDAP-Datensatzes für das Präfix ein. Verwenden Sie den Befehl cat byoippublickey.cer, um das Zertifikat zum Kopieren anzuzeigen – einschließlich BEGIN-Kopfzeile und END-Fußzeile mit Strichen. Sie sollten diesen Befehl über die IRR (Internet Routing Registry) ausführen können.

    Nachstehend finden Sie Anleitungen für die jeweiligen Registrierungsstellen:

    • ARIN: Bearbeiten Sie die „Comments“ (Kommentare) des Präfixeintrags

    • RIPE: Bearbeiten Sie die „Remarks“ (Bemerkungen) des inetnum-Eintrags

    • APNIC: Bearbeiten Sie die „Remarks“ (Bemerkungen) des inetnum-Eintrags mit MyAPNIC.

    • AFRINIC: Bearbeiten Sie die „Remarks“ (Bemerkungen) des inetnum-Eintrags mit MyAFRINIC.

    • Bei Bereichen der Registrierungsstelle LACNIC erstellen Sie ein Supportticket bei Microsoft.

    Nachdem die öffentlichen Kommentare ausgefüllt wurden, sollte der Whois/RDAP-Datensatz wie das folgende Beispiel aussehen. Stellen Sie sicher, dass keine Leerzeichen oder Zeilenumbrüche enthalten sind. Schließen Sie alle Striche ein:

    Screenshot of example certificate comment

  3. Um die Nachricht zu erstellen, die an Microsoft übergeben wird, erstellen Sie eine Zeichenfolge, die relevante Informationen zu Ihrem Präfix und Abonnement enthält. Signieren Sie diese Nachricht mit dem Schlüsselpaar, das in den Schritten oben generiert wurde. Verwenden Sie das unten dargestellte Format mit Ihrer eignen Abonnement-ID, Ihrem eigenen bereitzustellenden Präfix sowie dem mit der ROA übereinstimmenden Gültigkeitsdatum. Stellen Sie sicher, dass das Format diese Reihenfolge aufweist.

    Verwenden Sie den folgenden Befehl, um eine signierte Nachricht zu erstellen, die zur Überprüfung an Microsoft übermittelt wird.

    Hinweis

    Wenn das Gültigkeitsenddatum nicht in die ursprüngliche ROA eingetragen wurde, wählen Sie das Datum aus, zu dem Sie das Präfix von Azure ankündigen lassen möchten.

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. Um den Inhalt der signierten Nachricht anzuzeigen, geben Sie die Variable ein, die aus der zuvor erstellten signierten Nachricht erstellt wurde, und drücken Sie an der PowerShell-Eingabeaufforderung die EINGABETASTE:

    $byoipauthsigned
dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==

Bereitstellungsschritte

Mit den folgenden Schritte stellen Sie den Kunden-IP-Adressbereich (im Beispiel 1.2.3.0/24) in der Region „USA, Westen 2“ bereit.

Hinweis

Die Schritte zum Bereinigungen und Löschen werden auf dieser Seite aufgrund der Art der Ressource nicht beschrieben. Informationen zum Entfernen eines bereitgestellten benutzerdefinierten IP-Präfixes finden Sie unter Verwalten eines benutzerdefinierten IP-Präfixes.

Erstellen einer Ressourcengruppe und Angeben der Präfix- und Autorisierungsnachrichten

Erstellen Sie eine Ressourcengruppe am gewünschten Standort für die Bereitstellung des BYOIP-Bereichs.

$rg =@{
    Name = 'myResourceGroup'
    Location = 'WestUS2'
}
New-AzResourceGroup @rg

Bereitstellen eines benutzerdefinierten IP-Adresspräfixes

Der folgende Befehl erstellt ein benutzerdefiniertes IP-Adresspräfix in der angegebenen Region und Ressourcengruppe. Geben Sie das genaue Präfix in CIDR-Notation als Zeichenfolge an, um sicherzustellen, dass keine Syntaxfehler auftreten. Ersetzen Sie die Werte im -AuthorizationMessage-Parameter durch Ihre eigne Abonnement-ID, Ihr eigenes bereitzustellendes Präfix sowie das mit der ROA übereinstimmende Gültigkeitsdatum. Stellen Sie sicher, dass das Format diese Reihenfolge aufweist. Verwenden Sie die Variable $byoipauthsigned für den -SignedMessage-Parameter, der im Abschnitt „Zertifikatbereitschaft“ erstellt wurde.

$prefix =@{
    Name = 'myCustomIPPrefix'
    ResourceGroupName = 'myResourceGroup'
    Location = 'WestUS2'
    CIDR = '1.2.3.0/24'
    AuthorizationMessage = 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd'
    SignedMessage = $byoipauthsigned
}
$myCustomIpPrefix = New-AzCustomIPPrefix @prefix -Zone 1,2,3

Der Bereich wird an die Azure-IP-Bereitstellungspipeline gepusht. Der Bereitstellungsprozess ist asynchron. Führen Sie den folgenden Befehl aus, um den Status zu ermitteln:

Get-AzCustomIpPrefix -ResourceId $myCustomIpPrefix.Id

Die Beispielausgabe wird unten angezeigt (einige Felder wurden der Übersichtlichkeit halber entfernt):

Name              : myCustomIpPrefix
ResourceGroupName : myResourceGroup
Location          : westus2
Id                : /subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/MyCustomIPPrefix
Cidr              : 1.2.3.0/24
Zones             : {1, 2, 3}
CommissionedState : Provisioning

Das Feld CommissionedState sollte den Bereich zunächst als Provisioning (Wird bereitgestellt). Dieser Wert ändert sich später in Provisioned (Bereitgestellt).

Hinweis

Der Bereitstellungsvorgang dauert etwa 30 Minuten.

Wichtig

Nachdem sich das benutzerdefinierte IP-Präfix im Zustand Bereitgestellt befindet, kann ein untergeordnetes Präfix für öffentliche IP-Adressen erstellt werden. Diese öffentlichen IP-Präfixe und alle öffentlichen IP-Adressen können Netzwerkressourcen zugewiesen werden, z. B. VM-Netzwerkschnittstellen oder Front-Ends für den Lastenausgleich. Die IP-Adressen werden nicht angekündigt und sind daher nicht erreichbar. Informationen zur Migration eines aktiven Präfixes finden Sie unter Verwalten eines benutzerdefinierten IP-Präfixes.

Aktivieren des benutzerdefinierten IP-Adresspräfixes

Wenn sich das benutzerdefinierte IP-Präfix im Zustand Bereitgestellt befindet, aktualisieren Sie das Präfix mit dem folgenden Befehl, um mit der Ankündigung des Bereichs durch Azure zu beginnen.

Update-AzCustomIpPrefix -ResourceId $myCustomIPPrefix.Id -Commission

Auch dieser Vorgang ist wieder asynchron. Verwenden Sie Get-AzCustomIpPrefix, um den Status abzurufen. Der Status des Präfix wird im Feld CommissionedState zunächst als Commissioning (Wird aktiviert) angezeigt und ändert sich später in Commissioned (Aktiviert). Der Rollout der Ankündigung erfolgt inkrementell, und der Bereich wird teilweise angekündigt, während der Status noch Commissioning (Wird aktiviert) lautet.

Hinweis

Die geschätzte Zeit, um den Inbetriebnahmeprozess vollständig abzuschließen, beträgt 3-4 Stunden.

Wichtig

Sobald das benutzerdefinierte IP-Präfix zum Zustand Kommissioniert übergeht, wird der Bereich von Microsoft aus der lokalen Azure-Region und global für das Internet durch das WAN von Microsoft unter der Autonomous System Number (ASN) 8075 angekündigt. Denselben Bereich im Internet von einem anderen Standort als Microsoft aus gleichzeitig anzukündigen könnte instabiles BGP-Routing-Instabilität oder verlorenen Traffic zur Folge haben. Etwa von einem Kundenstandort aus. Planen Sie eine Migration eines aktiven Bereichs während eines Wartungszeitraums, um Beeinträchtigungen zu vermeiden. Darüber hinaus können Sie das Feature der regionalen Kommissionierung nutzen, um ein benutzerdefiniertes IP-Präfix in einen Zustand zu versetzen, in dem es nur innerhalb der Azure-Region angekündigt wird, in der es bereitgestellt wurde. Weitere Informationen finden Sie unter Verwalten eines benutzerdefinierten IP-Adresspräfixes (BYOIP).

Nächste Schritte