Создание пользовательского префикса IPv4-адреса с помощью Azure CLI

Настраиваемый префикс IPv4-адреса позволяет перенести собственные диапазоны IPv4 в Корпорацию Майкрософт и связать его с подпиской Azure. Диапазон адресов будет по-прежнему принадлежать вам, при этом корпорации Майкрософт будет разрешено объявлять его в Интернете. Пользовательский префикс IP-адресов функционирует как региональный ресурс, представляющий непрерывный блок IP-адресов, принадлежащих клиенту.

В этой статье подробно описывается следующее:

• Подготовка диапазона.

• Подготовка диапазона для выделения IP-адресов.

• Включение возможности объявления корпорацией Майкрософт для диапазона адресов

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Необходимые компоненты

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Для работы с этим руководством требуется Azure CLI версии 2.28 или более поздней версии (чтобы определить вашу версию, выполните команду "az version"). Если вы используете Azure Cloud Shell, последняя версия уже установлена.
• Войдите в Azure CLI и выберите подписку, с которой хотите использовать эту функцию, выполнив команду az account.
• Клиент, принадлежащий диапазону IPv4 для подготовки в Azure.
  • В этом примере используется образец диапазона клиента (1.2.3.0/24). Этот диапазон не будет проверяться в Azure. Замените этот диапазон на ваш.

Примечание.

Сведения о проблемах, возникающих во время подготовки, см. в статье Устранение неполадок с пользовательским префиксом IP-адресов.

Шаги предварительной подготовки

Чтобы использовать функцию Azure BYOIP, перед подготовкой диапазона адресов IPv4 необходимо выполнить следующие действия.

Требования и готовность префикса

• Диапазон адресов должен принадлежать вам и зарегистрирован под вашим именем с одним из пяти основных региональных реестров Интернета:

  • Американский реестр для номеров Интернета (ARIN)
  • Центр координации сети Réseaux IP Européens (RIPE NCC)
  • Региональные реестры Интернета в Азиатско-Тихоокеанском регионе (APNIC)
  • Информационный центр сети Латинской Америки и Карибского бассейна (LACNIC)
  • Африканский информационный центр (AFRINIC)

• Чтобы диапазон адресов был принят поставщиками услуг Интернета, он должен быть не меньше /24.

• Документ с разрешением на создание маршрута (Route Origin Authorization, ROA), который разрешает корпорации Майкрософт объявлять диапазон адресов, должен быть заполнен клиентом на соответствующем веб-сайте регистратора интернет-маршрутизации (RIR) или с помощью API. Для RIR потребуется, чтобы ROA имел цифровую подпись от инфраструктуры открытых ключей ресурсов (RPKI) вашего RIR.

  Для этого документа ROA:

  • Источник AS должен быть указан как 8075 для общедоступного облака. (Если диапазон будет подключен к us gov Cloud, источник AS должен быть указан как 8070.)

  • Дата окончания срока действия должна быть указана с учетом времени, когда корпорация Майкрософт должна объявить префикс в соответствии с вашими планами. Некоторые RIR не предоставляют возможность указания даты окончания срока действия и не устанавливают ее самостоятельно.

  • Длина префикса должна точно соответствовать префиксам, которые могут быть объявлены корпорацией Майкрософт. Например, если вы планируете передать в корпорацию Майкрософт префиксы 1.2.3.0/24 и 2.3.4.0/23, необходимо указать оба этих префикса.

  • После заполнения и отправки ROA понадобится по крайней мере 24 часа, чтобы информация стала доступной корпорации Майкрософт для проверки ее подлинности и правильности в ходе процесса подготовки.

Примечание.

Кроме того, рекомендуется создать ROA для любого существующего ASN, который объявляет диапазон, чтобы избежать проблем во время миграции.

Важно!

Хотя корпорация Майкрософт не остановит рекламу диапазона после указанной даты, настоятельно рекомендуется независимо создать последующие roA, если исходная дата окончания срока действия прошла, чтобы избежать принятия рекламы внешним перевозчикам.

Готовность сертификата

Чтобы корпорация Майкрософт могла связать префикс с подпиской клиента, необходимо сравнить открытый сертификат с подписанным сообщением.

Ниже показаны шаги, необходимые для подготовки примера диапазона клиентов (1.2.3.0/24) для подготовки в общедоступном облаке.

Примечание.

Выполните следующие команды в PowerShell с установленным OpenSSL.

1. Для добавления в запись Whois/RDAP для префикса необходимо создать самозаверяющий сертификат X509. Сведения о RDAP см. на сайтах ARIN, RIPE, APNIC и AFRINIC.

   Ниже приведен пример использования набора средств OpenSSL. Следующие команды создают пару ключей RSA, а также сертификат X509 с помощью пары ключей, срок действия которой истекает через шесть месяцев.

   ./openssl genrsa -out byoipprivate.key 2048
   Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline
   

2. После создания сертификата обновите раздел общедоступных комментариев записи Whois/RDAP для префикса. Чтобы отобразить сведения для копирования, включая верхний и нижний колонтитулы BEGIN/END с тире, используйте команду cat byoippublickey.cer. Эту команду необходимо выполнить через RIR.

   Ниже приведены инструкции для каждого реестра.

   • ARIN — измените раздел "Комментарии" для записи префикса.

   • RIPE — измените раздел "Примечания" для записи inetnum.

   • APNIC — измените раздел «Примечаний» записи inetnum с помощью MyAPNIC.

   • AFRINIC — измените "Примечания" записи inetnum с помощью MyAFRINIC .

   • Для диапазонов из реестра LACNIC создайте запрос в службу поддержки с корпорацией Майкрософт.

   После заполнения раздела общедоступных комментариев запись Whois/RDAP должна выглядеть, как в примере ниже. Убедитесь, что символы пробела или возврата каретки отсутствуют. Включите все дефисы.

   

3. Чтобы создать сообщение, которое будет передано в корпорацию Майкрософт, создайте строку, содержащую соответствующие сведения о префиксе и подписке. Подпишите это сообщение с помощью пары ключей, сгенерированной, как описано выше. Используйте приведенный ниже формат, заменив идентификатор подписки, префикс для подготовки и дату окончания срока действия, соответствующую дате окончания срока действия в ROA. Убедитесь, что формат указан в таком порядке.

   Используйте следующую команду, чтобы создать подписанное сообщение, которое будет передано в корпорацию Майкрософт для проверки.

   Примечание.

   Если дата окончания срока действия не была включена в исходный документ ROA, выберите дату, соответствующую времени, когда вы планируете объявить префикс в Azure. Кроме того, обратите внимание, что корпорация Майкрософт не остановит рекламу диапазона после указанной даты, но рекомендуется независимо создать последующий roA, если исходная дата окончания срока действия прошла.

   $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
   Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
   ./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
   $byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''
   

4. Чтобы просмотреть содержимое подписанного сообщения, введите переменную, введите переменную из подписанного сообщения и нажмите клавишу ВВОД в командной строке PowerShell.

   $byoipauthsigned
   dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==
   

Шаги подготовки

Ниже описана процедура подготовки примера диапазона клиента (1.2.3.0/24) в регионе "Западная часть США 2".

Примечание.

Учитывая характер ресурса, на этой странице не приводятся действия по очистке или удалению. Сведения об удалении подготовленного префикса пользовательского IP-адреса см. в статье об управлении префиксом пользовательского IP-адреса.

Создание группы ресурсов и указание префиксов и сообщений авторизации

Создайте группу ресурсов в нужном расположении для подготовки диапазона BYOIP.

  az group create \
    --name myResourceGroup \
    --location westus2

Подготовка пользовательского префикса IP-адресов

Следующая команда создает пользовательский префикс IP-адресов в указанных регионе и группе ресурсов. Укажите точный префикс в нотации CIDR в виде строки, чтобы избежать синтаксических ошибок. В качестве параметра --authorization-message используйте переменную $byoipauth, содержащую идентификатор подписки, префикс для подготовки и дату окончания срока действия, соответствующую дате окончания срока действия в ROA. Убедитесь, что формат указан в таком порядке. Используйте переменную $byoipauthsigned для параметра --signed-message, созданного, как описано в разделе "Готовность сертификата".

  byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
  
  az network custom-ip prefix create \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --location westus2 \
    --cidr ‘1.2.3.0/24’ \
    --zone 1 2 3
    --authorization-message $byoipauth \
    --signed-message $byoipauthsigned

Диапазон будет отправлен в конвейер развертывания IP-адресов Azure. Процесс развертывания является асинхронным. Чтобы определить состояние, выполните следующую команду.

 az network custom-ip prefix show \
   --name myCustomIpPrefix \
   --resource-group myResourceGroup

Ниже приведен пример выходных данных, при этом некоторые поля удалены для ясности.

{
  "cidr": "1.2.3.0/24",
  "commissionedState": "Provisioning",
  "id": "/subscriptions/xxxx/resourceGroups/myResourceGroup/providers/Microsoft.Network/customIPPrefixes/myCustomIpPrefix",
  "location": "westus2",
  "name": myCustomIpPrefix,
  "resourceGroup": "myResourceGroup",
}

Состояние подготовки диапазона в поле CommissionedState должно сначала отображаться как Идет подготовка, а затем должно измениться на Подготовлено.

Примечание.

Расчетное время завершения процесса подготовки составляет 30 минут.

Важно!

После того как пользовательский префикс IP-адресов перейдет в состояние Подготовлено, можно создать дочерний префикс общедоступных IP-адресов. Эти префиксы общедоступных IP-адресов и любые общедоступные IP-адреса можно подключить к сетевым ресурсам. Например, к сетевым интерфейсам виртуальных машин или сетевым интерфейсам подсистемы балансировки нагрузки. IP-адреса не будут объявлены и, следовательно, не будут доступны. Дополнительные сведения о переносе активного префикса см. в статье об управление префиксом пользовательского IP-адреса.

Ввод префикса пользовательского IP-адреса в эксплуатацию

Если префикс пользовательского IP-адреса находится в состоянии Подготовлено, обновите его, чтобы начать процесс объявления диапазона из Azure, выполнив следующую команду.

az network custom-ip prefix update \
    --name myCustomIpPrefix \
    --resource-group myResourceGroup \
    --state commission 

Как и прежде, операция является асинхронной. Чтобы получить состояние, выполните команду az network custom-ip prefix show. Состояние ввода диапазона в эксплуатацию в поле CommissionedState должно отображаться как Идет ввод в эксплуатацию, а затем должно измениться на Ввод в эксплуатацию выполнен. Развертывание объявления не является бинарной операцией, и диапазон будет частично объявлен даже в состоянии Предоставление.

Примечание.

Расчетное время завершения процесса предоставления составляет 3–4 часа.

Важно!

После перехода пользовательского префикса IP-адресов в состояние Предоставлено диапазон объявляется корпорацией Майкрософт из локального региона Azure и глобально в Интернет через глобальную сеть Майкрософт под номером 8075 в автономной системе (ASN). Объявление этого же диапазона в Интернете из расположения, отличного от используемого корпорацией Майкрософт, может привести к нестабильности маршрутизации BGP или потере трафика. Например, таким расположением может быть локальное здание клиента. Запланируйте миграцию активного диапазона в течение периода обслуживания, чтобы избежать негативных последствий. Кроме того, вы можете воспользоваться функцией региональной комиссии, чтобы поместить настраиваемый префикс IP-адреса в состояние, в котором он объявлен только в регионе Azure, в котором он развернут в нем, см . статью "Управление префиксом пользовательского IP-адреса (BYOIP) для получения дополнительных сведений.

Следующие шаги

• Дополнительные сведения о сценариях и преимуществах использования префикса пользовательского IP-адреса см. в разделе Префиксы пользовательских IP-адресов (BYOIP).

• Дополнительные сведения об управлении префиксом пользовательского IP-адреса см. в разделе Управление префиксами пользовательских IP-адресов (BYOIP).

• Сведения о создании префикса пользовательского IP-адреса с помощью Azure CLI см. в разделе Создание префикса пользовательского IP-адреса с помощью Azure CLI.

• Сведения о создании префикса пользовательского IP-адреса с помощью портала Azure см. в разделе Создание префикса пользовательского IP-адреса с помощью портала Azure.