Créer un préfixe d’adresse IPv4 personnalisé à l’aide d’Azure CLI

Un préfixe d’adresse IPv4 personnalisé vous permet d’apporter votre propre plage d’adresses IPv4 à Microsoft, et de l’associer à votre abonnement Azure. La plage continuera de vous appartenir mais Microsoft sera autorisé à la publier sur Internet. Un préfixe d’adresse IP personnalisé fonctionne comme une ressource régionale représentant un bloc contigu d’adresses IP appartenant à un client.

Les étapes décrites dans cet article détaillent le processus pour :

• Préparer une plage à approvisionner

• Approvisionner la plage pour l’allocation d’adresse IP

• Activer la plage que Microsoft doit publier

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de commencer.

Prérequis

• Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations, consultez Démarrage rapide pour Bash dans Azure Cloud Shell.

  

• Si vous préférez exécuter les commandes de référence de l’interface de ligne de commande localement, installez l’interface Azure CLI. Si vous exécutez sur Windows ou macOS, envisagez d’exécuter Azure CLI dans un conteneur Docker. Pour plus d’informations, consultez Guide pratique pour exécuter Azure CLI dans un conteneur Docker.

  • Si vous utilisez une installation locale, connectez-vous à Azure CLI à l’aide de la commande az login. Pour finir le processus d’authentification, suivez les étapes affichées dans votre terminal. Pour connaître les autres options de connexion, consultez Se connecter avec Azure CLI.

  • Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des extensions avec Azure CLI.

  • Exécutez az version pour rechercher la version et les bibliothèques dépendantes installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az upgrade.

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.
• Ce tutoriel nécessite Azure CLI version 2.28 ou ultérieure (vous pouvez exécuter la commande az version pour déterminer ce que vous avez). Si vous utilisez Azure Cloud Shell, la version la plus récente est déjà installée.
• Connectez-vous à Azure CLI et vérifiez que vous avez sélectionné l’abonnement avec lequel vous souhaitez utiliser cette fonctionnalité à l’aide de la commande az account.
• Plage d’adresses IPv4 appartenant à un client à approvisionner dans Azure.
  • Un exemple de plage de client (1.2.3.0/24) est utilisé pour cet exemple. Cette plage ne sera pas validée par Azure. Remplacez l’exemple de plage par le vôtre.

Notes

Pour les problèmes rencontrés pendant le processus d’approvisionnement, consultez Résolution des problèmes de préfixe d’adresse IP personnalisé.

Étapes de pré-approvisionnement

Pour utiliser la fonctionnalité Azure BYOIP, vous devez effectuer les étapes suivantes avant le provisionnement de votre plage d’adresses IPv4.

Configuration requise et préparation du préfixe

• La plage d’adresses doit être détenue par vous et inscrite sous votre nom auprès de l’un des cinq principaux registres Internet régionaux :

  • American Registry for Internet Numbers (ARIN)
  • Réseaux IP Européens Network Coordination Centre (RIPE NCC)
  • Registres Internet régionaux du Centre d’information sur les réseaux d’Asie-Pacifique (APNIC)
  • Centre d’information sur les réseaux des Caraïbes et d’Amérique latine (LACNIC)
  • Centre d'information sur les réseaux africains (AFRINIC)

• La plage d’adresses ne doit pas être inférieure à un /24 afin d’être acceptée par les fournisseurs de services Internet.

• Un document d’autorisation d’origine d’itinéraire (ROA) autorisant Microsoft à publier la plage d’adresses doit être rempli par le client sur le site web du registre Internet de routage (RIR) approprié ou via leur API. Le RIR nécessite que le ROA soit signé numériquement avec l’infrastructure de clé publique des ressources (RPKI) de votre RIR.

  Pour cette ROA :

  • L’AS d’origine doit être défini sur 8075 pour le cloud public. (Si la plage est destinée à être intégrée au cloud US Gov, l’AS d’origine doit être défini sur 8070.)

  • La date de fin de validité (date d’expiration) doit tenir compte de l’heure à laquelle vous souhaitez que Microsoft publie le préfixe. Certains registres Internet de routage ne présentent pas de date de fin de validité en tant qu’option, ou la choisissent pour vous.

  • La longueur du préfixe doit correspondre exactement aux préfixes que Microsoft peut publier. Par exemple, si vous envisagez de soumettre les plages 1.2.3.0/24 et 2.3.4.0/23 à Microsoft, elles doivent toutes deux être nommées.

  • Une fois le ROA terminé et soumis, attendez au moins 24 heures pour qu’il soit disponible pour Microsoft, où il sera vérifié pour déterminer son authenticité et son exactitude dans le cadre du processus d’approvisionnement.

Notes

Il est également recommandé de créer une autorisation ROA pour tout numéro ASN existant qui publie la plage afin d’éviter tout problème lors de la migration.

Important

Bien que Microsoft s’engage à ne pas arrêter pas la publication de la plage après la date spécifiée, il est fortement recommandé de créer indépendamment un ROA de suivi pour éviter que les opérateurs externes n’acceptent pas la publication, si la date d’expiration d’origine est dépassée.

Préparation de certificat

Pour autoriser Microsoft à associer un préfixe à un abonnement client, un certificat public doit être comparé à un message signé.

Les étapes suivantes sont requises pour préparer un exemple de plage client (1.2.3.0/24) en vue du provisionnement dans le cloud public.

Notes

Exécutez les commandes suivantes dans PowerShell avec OpenSSL installé.

1. Un certificat X509 auto-signé doit être créé, à ajouter à l’enregistrement Whois/RDAP pour le préfixe. Pour plus d’informations sur RDAP, consultez les sites ARIN, RIPE, APNIC, et AFRINIC.

   Un exemple utilisant le kit de ressources OpenSSL est présenté ci-dessous. Les commandes suivantes génèrent une paire de clés RSA et créent un certificat X509 à l’aide de la paire de clés qui expirera dans six mois :

   ./openssl genrsa -out byoipprivate.key 2048
   Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
   

2. Une fois le certificat créé, mettez à jour la section des commentaires publics de l’enregistrement Whois/RDAP pour le préfixe. Pour afficher à des fins de copie, y compris l’en-tête/pied de page BEGIN/END avec des tirets, utilisez la commande cat byoippublickey.cer. Vous devriez pouvoir effectuer cette procédure via votre registre Internet de routage.

   Vous trouverez ci-dessous des instructions pour chaque registre :

   • ARIN : modifiez les « commentaires » de l’enregistrement de préfixe.

   • RIPE : modifiez les « remarques » de l’enregistrement inetnum.

   • APNIC : modifiez les « remarques » de l’enregistrement inetnum à l’aide de MyAPNIC.

   • AFRINIC : modifiez les « remarques » de l’enregistrement inetnum à l’aide de MyAFRINIC.

   • Pour les plages provenant de registres LACNIC, créez un ticket de support auprès de Microsoft.

   Une fois les commentaires publics remplis, l’enregistrement Whois/RDAP doit ressembler à l’exemple ci-dessous. Assurez-vous qu’il n’y a pas d’espace ou de retour chariot. Incluez tous les tirets :

   

3. Pour créer le message qui sera transmis à Microsoft, créez une chaîne contenant des informations pertinentes sur votre préfixe et votre abonnement. Signez ce message avec la paire de clés générée aux étapes ci-dessus. Utilisez le format ci-dessous, en remplaçant votre ID d’abonnement, le préfixe à approvisionner et la date d’expiration correspondant à la date de validité indiquée sur la ROA. Vérifiez que le format est dans cet ordre.

   Utilisez la commande suivante pour créer un message signé qui sera transmis à Microsoft pour vérification.

   Notes

   Si la date de fin de validité n’a pas été incluse dans la ROA d’origine, choisissez une date correspondant à l’heure à laquelle vous souhaitez qu’Azure publie le préfixe. Notez également que Microsoft n’arrête pas de publier la plage après la date spécifiée, mais il est recommandé de créer indépendamment un ROA de suivi après la date d’expiration d’origine.

   $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
   Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
   ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
   $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
   

4. Pour afficher le contenu du message signé, entrez la variable créée à partir du message signé créé précédemment, puis sélectionnez Entrée à l’invite PowerShell :

   $byoipauthsigned
   dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
   

Étapes d’approvisionnement

Les étapes suivantes présentent la procédure d’approvisionnement d’un exemple de plage clients (1.2.3.0/24) dans la région USA Ouest 2.

Notes

Les étapes de nettoyage ou de suppression ne sont pas affichées sur cette page, compte tenu de la nature de la ressource. Pour plus d’informations sur la suppression d’un préfixe d’adresse IP personnalisé approvisionné, consultez Gérer un préfixe d’adresse IP personnalisé.

Créer un groupe de ressources et spécifier le préfixe et des messages d’autorisation

Créez un groupe de ressources à l’emplacement souhaité pour approvisionner la plage BYOIP.

  az group create \
    --name myResourceGroup \
    --location westus2

Approvisionner un préfixe d’adresse IP personnalisé

La commande suivante crée un préfixe d’adresse IP personnalisé dans la région et le groupe de ressources spécifiés. Spécifiez le préfixe exact en tant que chaîne dans la notation CIDR pour vous assurer qu’il n’y a pas d’erreur de syntaxe. Pour le paramètre --authorization-message, utilisez la variable $byoipauth qui contient votre ID d’abonnement, le préfixe à approvisionner et la date d’expiration correspondant à la date de validité de la ROA. Vérifiez que le format est dans cet ordre. Utilisez la variable $byoipauthsigned pour le paramètre --signed-message créé dans la section de préparation du certificat.

  byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
  
  az network custom-ip prefix create \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --location westus2 \
    --cidr ‘1.2.3.0/24’ \
    --zone 1 2 3
    --authorization-message $byoipauth \
    --signed-message $byoipauthsigned

La plage est envoyée (push) au pipeline de déploiement d’adresse IP Azure. Le processus de déploiement est asynchrone. Pour déterminer l’état, exécutez la commande suivante :

 az network custom-ip prefix show \
   --name myCustomIpPrefix \
   --resource-group myResourceGroup

L’exemple de sortie est présenté ci-dessous (certains champs ont été supprimés pour plus de clarté) :

{
  "cidr": "1.2.3.0/24",
  "commissionedState": "Provisioning",
  "id": "/subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/myCustomIpPrefix",
  "location": "westus2",
  "name": myCustomIpPrefix,
  "resourceGroup": "myResourceGroup",
}

Le champ CommissionedState devrait afficher initialement la plage comme Approvisionnement, puis Approvisionnée par la suite.

Notes

Le temps estimé pour le processus d’approvisionnement est de 30 minutes.

Important

Une fois le préfixe d’adresse IP personnalisé dans l’état Approvisionné, un préfixe d’adresse IP public enfant peut être créé. Ces préfixes d’adresse IP publics et toutes les adresses IP publiques peuvent être attachés aux ressources de mise en réseau. Par exemple, les interfaces réseau de machine virtuelle ou les serveurs frontaux d’équilibreur de charge. Les adresses IP ne seront pas publiées et ne seront donc pas accessibles. Pour plus d’informations sur la migration d’un préfixe actif, consultez Gérer un préfixe d’adresse IP personnalisé.

Mettre en service le préfixe d’adresse IP personnalisé

Lorsque le préfixe d’adresse IP personnalisé est à l’état Approvisionné, la commande suivante le met à jour pour commencer le processus de publication de la plage à partir d’Azure.

az network custom-ip prefix update \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --state commission 

Comme précédemment, l’opération est asynchrone. Utilisez la commande az network custom-ip prefix show pour récupérer l’état. Le champ CommissionedState affiche initialement l’état du préfixe Mise en service, puis Mis en service par la suite. Le lancement de publication n’est pas binaire, et la plage sera partiellement publiée tout en restant à l’état Mise en service.

Notes

La durée estimée d’accomplissement complet du processus de mise en service est de 3 à 4 heures.

Important

Lorsque le préfixe d’adresse IP personnalisé passe à l’état Mis en service, la plage est publiée avec Microsoft à partir de la région Azure locale et globalement vers l’Internet par le réseau étendu de Microsoft sous le numéro de système autonome (ASN) 8075. La publication de cette même plage sur Internet à partir d’un emplacement autre que Microsoft au même moment risque de créer une instabilité de routage BGP ou une perte de trafic. Par exemple, une génération locale d’un client. Pour éviter tout impact, planifiez toute migration d’une plage active pendant une période de maintenance. En outre, vous pouvez utiliser la fonctionnalité d’activation régionale pour mettre un préfixe d’adresse IP personnalisé dans un état où il pourra être uniquement publié dans la région Azure de déploiement. Pour plus d’informations, consultez Gérer un préfixe d’adresse IP personnalisé (BYOIP).

Étapes suivantes

• Pour en savoir plus sur les scénarios et les avantages d’utilisation d’un préfixe IP personnalisé, consultez Préfixe d’adresse IP personnalisé (BYOIP).

• Pour plus d’informations sur la gestion d’un préfixe d’adresse IP personnalisé, consultez Gérer un préfixe d’adresse IP personnalisé (BYOIP).

• Pour créer un préfixe d’adresse IP personnalisé en utilisant Azure CLI, consultez Créer un préfixe d’adresse IP personnalisé en utilisant Azure CLI.

• Pour créer un préfixe d’adresse IP personnalisé en utilisant le portail Azure, consultez Créer un préfixe d’adresse IP personnalisé en utilisant le portail Azure.