使用 Azure CLI 建立自訂 IPv6 位址首碼
自訂 IPv6 位址首碼可讓您將自己的 IPv6 範圍帶入 Microsoft,並將其與 Azure 訂用帳戶產生關聯。 您仍會繼續擁有範圍,但 Microsoft 可以將其公告給網際網路。 自訂 IP 位址前置詞可做為區域資源,代表客戶擁有之 IP 位址的連續區塊。
本文中的步驟詳細說明下列程序:
準備要佈建的範圍
佈建 IP 配置的範圍
委託 IPv6 首碼以向網際網路公告範圍
使用 BYOIPv4 與 BYOIPv6 之間的差異
重要
上線的自訂 IPv6 位址首碼有數個唯一屬性,使其與自訂 IPv4 位址首碼不同。
自訂 IPv6 首碼會使用父/子模型。 在此模型中,Microsoft Wide Area Network (WAN) 會公告全域 (父代) 範圍,而個別的 Azure 區域會公告區域 (子系) 範圍。 全域範圍的大小必須是 /48,而區域範圍的大小則一律必須是 /64。 每個區域可以有多個 /64 範圍。
只有全域範圍必須使用建立自訂 IP 位址首碼一文中詳述的步驟加以驗證。 區域範圍是衍生自全域範圍,其方式與公用 IP 首碼衍生自自訂 IP 首碼的方式類似。
公用 IPv6 首碼必須衍生自區域範圍。 只有每個區域 /64 自訂 IP 首碼的前 2048 個 IPv6 位址,才能作為有效的 IPv6 空間使用。 嘗試建立超出此空間的公用 IPv6 首碼會導致錯誤。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
- 此教學課程需要 2.37 版或更新版本的 Azure CLI (您可以執行 az version 來判斷您擁有的版本)。 如果您是使用 Azure Cloud Shell,就已安裝最新版本。
- 登入 Azure CLI,並確定您已使用
az account選取要使用此功能的訂閱。 - 可在 Azure 中佈建的客戶擁有 IPv6 範圍。
- 在此範例中,會使用範例客戶範圍 (2a05:f500:2::/48)。 Azure 不會驗證此範圍。 將範例範圍取代為您的值。
注意
針對佈建流程期間遇到的問題,請參閱自訂 IP 前置詞的疑難排解。
佈建前步驟
若要利用 Azure BYOIP 功能,您必須在佈建 IPv6 位址範圍之前執行準備步驟。 如需詳細資料,請參閱 IPv4 指示。 應該要針對 IPv6 全域 (父代) 範圍完成所有這些步驟。
針對 IPv6 進行佈建
下列步驟會顯示佈建範例全域 (父代) IPv6 範圍 (2a05:f500:2::/48) 與區域 (子系) IPv6 範圍的已修改步驟。 IPv4 指示中的某些步驟已加以精簡或壓縮,以專注於 IPv4 與 IPv6 之間的差異。
建立資源群組並指定前置詞和授權訊息
在佈建全域範圍資源的所需位置中建立資源群組。
重要
雖然全域範圍的資源會與某個區域相關聯,但首碼會由 Microsoft WAN 全域公告。
az group create \
--name myResourceGroup \
--location westus2
佈建全域自訂 IPv6 位址首碼
下列命令會在指定的區域和資源群組中建立自訂 IP 前置詞。 將 CIDR 標記法中的確切前置詞指定為字串,以確保沒有語法錯誤。 (-authorization-message 和 -signed-message 參數的建構方式與 IPv4 相同;如需詳細資訊,請參閱建立自訂 IP 首碼 - CLI。)不會提供任何區域屬性,因為全域範圍未與任何特定區域相關聯 (因此沒有區域可用性區域)。
byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|2a05:f500:2::/48|yyyymmdd"
az network custom-ip prefix create \
--name myCustomIPv6GlobalPrefix \
--resource-group myResourceGroup \
--location westus2 \
--cidr ‘2a05:f500:2::/48’ \
--authorization-message $byoipauth \
--signed-message $byoipauthsigned
佈建區域自訂 IPv6 位址首碼
在全域自訂 IP 首碼處於已佈建狀態之後,就可以建立區域自訂 IP 首碼。 這些範圍的大小必須一律為 /64,才能視為有效。 範圍可以在任何區域中建立 (不需要與全域自訂 IP 首碼相同),但請留意與原始全域範圍相關聯的任何地理位置限制。 「子系」自訂 IP 首碼會從其建立所在的區域於本機加以公告。 由於只會針對全域自訂 IP 首碼佈建進行驗證,因此不需要授權或簽署訊息。 (因為這些範圍將會從特定區域 (Region) 公告,所以可以使用區域 (Zone)。)
az network custom-ip prefix create \
--name myCustomIPv6RegionalPrefix \
--resource-group myResourceGroup \
--location westus2 \
--cidr ‘2a05:f500:2:1::/64’ \
--zone 1 2 3
類似於 IPv4 自訂 IP 首碼,在區域自訂 IP 首碼處於已佈建狀態之後,公用 IP 首碼便可以衍生自區域自訂 IP 首碼。 這些公用 IP 首碼和衍生自其中的任何公用 IP 位址都可以附加到網路資源,即便其尚未公告。
重要
衍生自區域自訂 IPv6 首碼的公用 IPv6 首碼只能利用 /64 範圍的前 2048 個 IP。
委派自訂 IPv6 位址首碼
在委派自訂 IPv6 首碼時,會個別處理全域和區域首碼。 換句話說,委派區域自訂 IPv6 首碼與委派全域自訂 IPv6 首碼之間並無關聯。
範圍移轉最安全的策略如下:
- 將所有必要的區域自訂 IPv6 首碼佈建到其個別的區域。 建立公用 IPv6 首碼與公用 IP 位址並附加至資源。
- 委派每個區域自訂 IPv6 首碼,並測試對區域內 IP 的連線能力。 針對每個區域自訂 IPv6 首碼重複此動作。
- 在確認所有區域自訂 IPv6 首碼 (與衍生的首碼/IP) 都能如預期般運作之後,請委派全域自訂 IPv6 首碼,其將會向網際網路公告較大的範圍。
使用上述範例範圍,命令順序將會是:
az network custom-ip prefix update \
--name myCustomIPv6GlobalPrefix \
--resource-group myResourceGroup \
--state commission
接著執行:
az network custom-ip prefix update \
--name myCustomIPv6RegionalPrefix \
--resource-group myResourceGroup \
--state commission
注意
完整完成自訂 IPv6 全域首碼的調試流程估計時間為 3-4 小時。 完成自訂 IPv6 區域首碼調試流程的預估時間為 30 分鐘。
在區域自訂 IPv6 首碼之前,可以委託全域自訂 IPv6 首碼。 這麼做會在區域首碼就緒之前,向網際網路公告全域範圍,因此不建議移轉使用中範圍。 您可以解除委任全域自訂 IPv6 首碼,同時仍有作用中 (委託) 區域自訂 IPv6 首碼。 此外,當全域首碼仍在作用中 (已委任) 時,您可以解除委任區域自訂 IP 首碼。
重要
當全域自訂 IPv6 首碼轉換為 [已委任] 狀態時,會透過 Microsoft 從本地 Azure 區域公告範圍,並透過 Microsoft 的廣域網路在自發系統號碼 (ASN) 8075 下向網際網路全域公告。 從 Microsoft 以外的位置向網際網路公告此相同範圍,可能會導致 BGP 路由不穩定或流量遺失。 例如,客戶內部部署組建。 規劃維護期間內作用中範圍的任何移轉,以避免造成影響。
下一步
若要瞭解使用自訂 IP 前置詞的情節和優點,請參閱自訂 IP 位址前置詞 (BYOIP)。
如需管理自訂 IP 前置詞的詳細資訊,請參閱管理自訂 IP 位址前置詞 (BYOIP)。