通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Azure 门户创建自定义 IPv4 地址前缀

  • 项目

使用自定义 IPv4 地址前缀,可以将你自己的 IPv4 范围引入 Microsoft,并将其关联到 Azure 订阅。 你将保留该范围的所有权,而 Microsoft 可以将它播发到 Internet。 自定义 IP 地址前缀用作区域资源,代表客户拥有的 IP 地址的连续块。

本文中的步骤详细说明了以下过程:

  • 准备要预配的范围

  • 为 IP 分配预配范围

  • 允许 Microsoft 播发范围

先决条件

  • 具有活动订阅的 Azure 帐户。 免费创建帐户

  • 要在 Azure 中预配的客户拥有的 IPv4 范围。

    • 本示例使用了一个示例客户范围 (1.2.3.0/24)。 Azure 不会验证此范围。 请将示例范围替换为你自己的范围。

注意

对于在预配过程中遇到的问题,请参阅自定义 IP 前缀故障排除

预配前的步骤

为了利用 Azure BYOIP 功能,必须在预配 IPv4 地址范围之前执行以下步骤。

要求和前缀就绪情况

  • 地址范围必须归你所有,并在五个主要区域 Internet 注册机构之一以你的名义注册:

  • 地址范围不能小于 /24,这样才能被 Internet 服务提供商接受。

  • 客户必须在相应的路由互联网注册机构 (RIR) 网站上或通过其 API 填写授权 Microsoft 播发地址范围的路由来源授权 (ROA) 文档。 RIR 要求 ROA 使用 RIR 的资源公钥基础结构 (RPKI) 进行数字签名。

    对于此 ROA:

    • 对于公有云,源 AS 必须列为 8075。 (如果范围将加入 US Gov 云,则源 AS 必须列为 8070。)

    • 有效期结束日期(到期日期)需要考虑到你打算让 Microsoft 播发前缀的时间。 一些 RIR 不提供有效期结束日期作为一个选项,或者为你选择一个日期。

    • 前缀长度应与可以由 Microsoft 播发的前缀完全匹配。 例如,如果你计划将 1.2.3.0/24 和 2.3.4.0/23 引入 Microsoft,应该同时为它们命名。

    • ROA 完成并提交后,至少要等待 24 小时才可供 Microsoft 使用,可在预配过程中对其进行验证以确定其真实性和正确性。

注意

还建议为所有现有的 ASN(该 ASN 正在播发范围)创建 ROA,以避免在迁移过程中出现问题。

重要

虽然 Microsoft 不会在指定日期后停止推广该系列,但如果原始到期日期已过,则强烈建议独立创建后续 ROA,以避免外部运营商不接受广告。

证书就绪情况

为了授权 Microsoft 将前缀与客户订阅相关联,必须将公共证书与签名消息进行比较。

以下步骤演示了准备示例客户范围 (1.2.3.0/24) 以预配到公有云所需的步骤。

注意

在安装了 OpenSSL 的 PowerShell 中执行以下命令。

  1. 必须创建一个自签名 X509 证书,以添加到前缀的 Whois/RDAP 记录中。 有关 RDAP 的信息,请参阅 ARINRIPEAPNICAFRINIC 站点。

    下面是一个利用 OpenSSL 工具包的示例。 以下命令生成了一个 RSA 密钥对,并使用该密钥对创建了一个 6 个月后到期的 X509 证书:

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. 在证书创建后,更新前缀 Whois/RDAP 记录的公共注释部分。 若要显示内容以进行复制(包括带短划线的 BEGIN/END 头部/尾部),请使用命令 cat byoippublickey.cer。你应该可以通过路由互联网注册机构执行此过程。

    下面是每个注册机构的说明:

    • ARIN - 编辑前缀记录的“注释”。

    • RIPE - 编辑 inetnum 记录的“注解”。

    • APNIC - 使用 MyAPNIC 编辑 inetnum 记录的“备注”。

    • AFRINIC - 使用 MyAFRINIC 编辑 inetnum 记录的“备注”。

    • 对于来自 LACNIC 注册机构的范围,请创建 Microsoft 支持票证。

    填写公共注释后,Whois/RDAP 记录应如下例所示。 确保没有空格或回车符。 包括所有短划线:

    Screenshot of example certificate comment

  3. 若要创建将传递给 Microsoft 的消息,请创建一个包含前缀和订阅相关信息的字符串。 使用上述步骤中生成的密钥对对此消息进行签名。 使用如下所示的格式,替换你的订阅 ID、要预配的前缀以及与 ROA 上的有效期日期匹配的到期日期。 确保格式采用该顺序。

    使用以下命令创建将传递给 Microsoft 进行验证的已签名消息。

    注意

    如果原始 ROA 中未包括有效期结束日期,请选择一个日期,该日期对应于你打算让 Azure 播发前缀的时间。

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. 若要查看已签名消息的内容,请输入根据之前创建的已签名消息创建的变量,然后在 PowerShell 提示符下选择 Enter:

    $byoipauthsigned
dIlwFQmbo9ar2GaiWRlSEtDSZoH00I9BAPb2ZzdAV2A/XwzrUdz/85rNkXybXw457//gHNNB977CQvqtFxqqtDaiZd9bngZKYfjd203pLYRZ4GFJnQFsMPFSeePa8jIFwGJk6JV4reFqq0bglJ3955dVz0v09aDVqjj5UJx2l3gmyJEeU7PXv4wF2Fnk64T13NESMeQk0V+IaEOt1zXgA+0dTdTLr+ab56pR0RZIvDD+UKJ7rVE7nMlergLQdpCx1FoCTm/quY3aiSxndEw7aQDW15+rSpy+yxV1iCFIrUa/4WHQqP4LtNs3FATvLKbT4dBcBLpDhiMR+j9MgiJymA==

预配步骤

以下步骤展示了将示例客户范围 (1.2.3.0/24) 预配到区域美国西部 2 区域的过程。

注意

考虑到资源的性质,此页上未显示清理或删除步骤。 有关删除预配的自定义 IP 前缀的信息,请参阅管理自定义 IP 前缀

登录 Azure

登录 Azure 门户

创建和预配自定义 IP 地址前缀

  1. 在门户顶部的搜索框中,输入“自定义 IP”。

  2. 在搜索结果中,选择“自定义 IP 前缀”。

  3. 选择“+ 新建”。

  4. 在“创建自定义 IP 前缀”中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择订阅
    资源组 选择“新建”。
    输入“myResourceGroup”。
    选择“确定”。
    实例详细信息
    名称 输入“myCustomIPPrefix”。
    区域 选择“美国西部 2” 。
    IP 版本 选择 IPv4。
    IPv4 前缀 (CIDR) 输入“1.2.3.0/24”。
    ROA 过期日期 以 yyyymmdd 格式输入 ROA 过期日期。
    已签名的消息 粘贴“预配”部分中 $byoipauthsigned 的输出。
    可用性区域 选择“区域冗余”。

    Screenshot of create custom IP prefix page in Azure portal.

  5. 选择“查看 + 创建”选项卡,或选择页面底部的“查看 + 创建”蓝色按钮 。

  6. 选择创建

该范围将推送到 Azure IP 部署管道。 部署过程是异步的。 可以通过查看自定义 IP 前缀的“委托状态”字段来检查状态。

注意

完成预配过程预计需要 30 分钟。

重要

自定义 IP 前缀处入“已预配”状态后,可以创建子公共 IP 前缀。 可将这些公共 IP 前缀和任何公共 IP 地址附加到网络资源。 例如,虚拟机网络接口或负载均衡器前端。 IP 不会被播发,因此无法进行访问。 有关迁移活动前缀的详细信息,请参阅管理自定义 IP 前缀

从自定义 IP 前缀创建公共 IP 前缀

创建某个前缀时,必须从该前缀创建静态 IP 地址。 在本部分,你将根据先前创建的前缀创建一个静态 IP 地址。

  1. 在门户顶部的搜索框中,输入“自定义 IP”。

  2. 在搜索结果中,选择“自定义 IP 前缀”。

  3. 在“自定义 IP 前缀”中选择“myCustomIPPrefix”。

  4. 在 myCustomIPPrefix 的“概述”中,选择“+ 添加公共 IP 前缀”。

  5. 在“创建公共 IP 前缀”的“基本信息”选项卡中,输入或选择以下信息。

    设置
    项目详细信息
    订阅 选择订阅。
    资源组 选择“myResourceGroup”。
    实例详细信息
    名称 键入 myPublicIPprefix。
    区域 选择“美国西部 2” 。 公共 IP 前缀的区域必须与自定义 IP 前缀的区域匹配。
    IP 版本 选择“IPv4”。
    前缀所有权 选择“自定义前缀”。
    自定义 IP 前缀 选择“myCustomIPPrefix”。
    前缀大小 选择前缀大小。 该大小可与自定义 IP 前缀一样大。

  6. 选择“查看 + 创建”,然后在下一页上选择“创建”。

  7. 重复步骤 1-5 以返回 myCustomIPPrefix 的“概述”页。 你将看到,“关联的公共 IP 前缀”部分下面列出了“myPublicIPPrefix”。 现在可以从此前缀分配标准 SKU 公共 IP 地址。 有关详细信息,请参阅从前缀创建静态公共 IP 地址

委托自定义 IP 地址前缀

当自定义 IP 前缀处于“已预配”状态时,请更新前缀以开始执行从 Azure 播发范围的过程。

  1. 在门户顶部的搜索框中,输入“自定义 IP”,然后选择“自定义 IP 前缀”。

  2. 进行验证,并在必要时等待 myCustomIPPrefix 以“已预配”状态列出。

  3. 在“自定义 IP 前缀”中选择“myCustomIPPrefix”。

  4. 在 myCustomIPPrefix 的“概述”中,选择“委托”下拉菜单,然后选择“全局”。

该操作是异步的。 可以通过查看自定义 IP 前缀的“委托状态”字段来检查状态。 状态最初会将前缀显示为“正在委托”,然后显示为“已委托”。 播发推出不是二进制的,范围仍处于“正在委托”状态时将部分播发。

注意

完全完成委托过程预计需要 3-4 小时。

重要

随着自定义 IP 前缀转换为“已委托”状态,范围将由 Microsoft 从本地 Azure 区域播发,并以自治系统号 (ASN) 8075 由 Microsoft 的广域网播发到全球。 如果同时从 Microsoft 以外的位置将此同一范围播发到 Internet,可能会造成 BGP 路由不稳定或流量损失。 例如,客户本地生成。 请将活动范围的任何迁移安排在维护期间,以避免产生影响。 若要在初始部署期间防止这些问题,可以选择仅限区域的委托选项,其中的自定义 IP 前缀将仅在部署它的 Azure 区域中播发。 有关详细信息,请参阅管理自定义 IP 地址前缀 (BYOIP)

后续步骤