次の方法で共有

Azure でカスタム IPv4 アドレス プレフィックスを作成する

  • [アーティクル]

この記事では、Azure portal を使用してカスタム IPv4 アドレス プレフィックスを作成する方法について説明します。 プロビジョニングする範囲を準備し、IP 割り当ての範囲をプロビジョニングし、Microsoft による範囲公開通知を有効にします。

カスタム IPv4 アドレス プレフィックスを使用すると、独自の IPv4 範囲を Microsoft に持ち込み、Azure サブスクリプションに関連付けることができます。 その範囲の所有権はユーザーが保持しますが、Microsoft はそれをインターネットにアドバタイズすることを許可されます。 カスタム IP アドレス プレフィックスは、顧客所有 IP アドレスの連続したブロックを表す、リージョンのリソースとして機能します。

この記事では、Azure portal、Azure CLI、または PowerShell を選択してカスタム IPv4 アドレス プレフィックスを作成します。

グローバル/リージョン モデルと統合モデル

範囲を Azure にオンボードする前に、アーキテクチャに最適なモデルを決定する必要があります。 BYOIPv4 の場合、Azure には "グローバル/リージョン" と "統合" という 2 つのデプロイ モデルが用意されています。

  • グローバル/リージョン モデルでは、/のパラダイムが使用されます。 このパラダイムでは、Microsoft Wide Area Network (WAN) がグローバル (親) 範囲の公開を行い、それぞれの Azure リージョンがリージョン (子) 範囲の公開を行います。 既定では、グローバル範囲は /21 から /24 までの間で、リージョン範囲は /22 から /26 までの間で好きなように選択できます。 リージョン範囲はその親範囲の規模に依存し、少なくとも 1 レベル小さくする必要があります。 たとえば、/23 を使用するグローバル範囲では /24 から /26 までのリージョン範囲が許可されます。 プロビジョニングの一部として検証する必要があるのはグローバル範囲だけです。 リージョン範囲は、パブリック IP プレフィックスがカスタム IP プレフィックスから派生する方法と同様の方法で、グローバル範囲から派生します。

  • 統合モデルは簡略化されたシステムであり、Microsoft ワイド エリア ネットワーク (WAN) と Azure リージョンの両方で同じ範囲を公開します。 既定では、統合範囲は /21 から /24 までの間で好きなように選択できます。

  • モデルの選択は、目的のオンボードの範囲によって異なります。 たとえば、ご利用のプランでは範囲を 1 つの Azure リージョンだけにオンボードする場合、統合モデルが選択肢として理にかなっており、管理オーバーヘッドが回避されます。 組織で代わりに BYOIPv4 範囲を複数のリージョンにデプロイすることを模索しており、おそらくは長期間にわたり、組織内のさまざまなチームに分散する場合、グローバル/リージョン モデルのほうが柔軟性が高くなります。

Note

オンボード後、2 つのモデル間で範囲を "移行" することはできません。他のモデルを活用するには、プロビジョニングを完全に解除し、再度オンボードする必要があります。

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます

  • Azure でプロビジョニングする顧客所有の IPv4 範囲。

    • この例では、サンプルの顧客範囲 (1.2.3.0/24) が使用されています。 この範囲は Azure では検証されないため、サンプルの範囲を自分の範囲に置き換えます。

Note

プロビジョニング プロセス中に発生した問題については、カスタム IP プレフィックスのトラブルシューティングに関するページを参照してください。

プロビジョニング前の手順

Azure BYOIP 機能を利用するには、IPv4 アドレス範囲をプロビジョニングする前に、次の手順を実行する必要があります。

要件とプレフィックスの準備

  • アドレス範囲は、ユーザーが所有し、5 つの主要な地域インターネット レジストリのいずれかに、ユーザー自身の名前で登録されている必要があります。

  • インターネット サービス プロバイダーによって受け入れられるためには、アドレス範囲が /24 より小さくないことが必要です。

  • お客様は、Microsoft によるアドレス範囲の公開を承認する Route Origin Authorization (ROA) ドキュメントに、適切なルーティング インターネット レジストリ (RIR) の Web サイトまたはその API を使用して入力する必要があります。 RIR では、RIR のリソース公開キー基盤 (RPKI) による ROA のデジタル署名が求められます。

    この ROA について:

    • パブリック クラウドの場合、オリジン AS は 8075 と示されている必要があります。 (範囲が US Gov クラウドに組み込まれる場合、オリジン AS は 8070 と示されている必要があります。)

    • 有効期間の終了日 (有効期限) は、プレフィックスが Microsoft によってアドバタイズされる日時を考慮したものである必要があります。 一部の RIR では、有効期間の終了日がオプションとして表示されないか、日付が自動的に選択されます。

    • プレフィックスの長さは、Microsoft が公開するプレフィックスと正確に一致する必要があります。 たとえば、1.2.3.0/24 と 2.3.4.0/23 を Microsoft に持ち込むことを予定している場合は、両方とも名前を示す必要があります。

    • ROA が完了して提出された後、Microsoft で利用できるようになるまでに少なくとも 24 時間みておいてください。そこで、プロビジョニング プロセスの一部としてその信頼性と正確性を判別するために検証されます。

注意

また、移行中の問題を回避するために、範囲をアドバタイズする既存の ASN に対して ROA を作成することもお勧めします。

重要

Microsoft は、指定した日付以降にその範囲の広告を停止しませんが、外部の通信事業者が広告を受け入れないように、元の有効期限が過ぎた場合は個別にフォローアップ ROA を作成することを強くお勧めします。

証明書の準備

Microsoft がプレフィックスを顧客サブスクリプションに関連付けることを承認するには、パブリック証明書を署名付きメッセージと比較することが必要です。

次の手順では、サンプルの顧客範囲 (1.2.3.0/24) をパブリック クラウドへのプロビジョニングのために準備するときに必要な手順を示します。 これらのコマンドは、Windows PowerShell または Linux コンソールで実行できます。 両方とも OpenSSL をインストールする必要があります。

  1. プレフィックスの Whois/RDAP レコードに追加する自己署名 X509 証明書を作成する必要があります。 RDAP の詳細については、ARINRIPEAPNICAFRINIC のサイトを参照してください。

    OpenSSL ツールキットを活用すると、次のコマンドでは、RSA キー ペアが生成され、6 か月で期限切れになるキー ペアで X509 証明書が作成されます。

    ./openssl genrsa -out byoipprivate.key 2048
Set-Content -Path byoippublickey.cer (./openssl req -new -x509 -key byoipprivate.key -days 180) -NoNewline

  2. 証明書が作成されたら、プレフィックスの Whois/RDAP レコードのパブリック コメント セクションを更新します。 コピーするために BEGIN と END のヘッダーおよびフッターとダッシュを含めて表示するには、コマンド cat byoippublickey.cer を使用します。この手順は、ルーティング インターネット レジストリを介して実行できます。

    各レジストリの手順は次のとおりです。

    • ARIN - プレフィックス レコードの Comments を編集します。

    • RIPE - inetnum レコードの Remarks を編集します。

    • APNIC - MyAPNIC を使用して inetnum レコードの Remarks を編集します。

    • AFRINIC - MyAFRINIC を使用して inetnum レコードの Remarks を編集します。

    • LACNIC レジストリの範囲については、Microsoft に対してサポート チケットを作成してください。

    パブリック コメントを入力すると、Whois/RDAP レコードは次の例のようになります。 コピーするとき、スペースや復帰がないことを確認し、すべてのダッシュを含めます。

    サンプル証明書のコメントのスクリーンショット。

  3. Microsoft に渡されるメッセージを作成するには、プレフィックスとサブスクリプションに関する関連情報を含む文字列を作成します。 前に生成されたキーの組を使用してこのメッセージに署名します。 次の形式を使用します。その際、お使いのサブスクリプション ID、プロビジョニングするプレフィックス、ROA の有効期間と一致する有効期限に置き換えます。 形式がその順序になっていることを確認します。

    検証のために Microsoft に渡される署名付きメッセージを作成するには、次のコマンドを使います。

    Note

    有効期間の終了日が元の ROA に含まれていない場合は、プレフィックスが Azure によってアドバタイズされる日時に対応する日付を選択します。

    $byoipauth="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx|1.2.3.0/24|yyyymmdd"
Set-Content -Path byoipauth.txt -Value $byoipauth -NoNewline
./openssl dgst -sha256 -sign byoipprivate.key -keyform PEM -out byoipauthsigned.txt byoipauth.txt
$byoipauthsigned=(./openssl enc -base64 -in byoipauthsigned.txt) -join ''

  4. 署名済みメッセージの内容を表示するには、先ほど作成した署名済みメッセージから作成した変数をプロンプトで入力し、Enter キーを押します。

    $byoipauthsigned

# Output
ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a/1234567a/ABCDEFG0a1b2c0//ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10aABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0/ABCDEFG0a1b2c0a1b2c0a1b21212121212/ABCDEFG0a1b2c0a1b2c0a1b2c0ca1b2c0a1b2c0a10a==

カスタム IPv4 プレフィックスのプロビジョニングと委任

次の手順では、カスタム IPv4 アドレス プレフィックスをプロビジョニングと委任の手続きを示しています。グローバル/リージョン モデルと統合モデルという 2 つのモデルから選択できます。 手順は Azure portal、Azure CLI、または Azure PowerShell で実行できます。

Azure portal でカスタム IPv4 アドレス プレフィックスをプロビジョニングし、委任するには、Azure portal を使用します。

次の手順では、米国西部 2 リージョンにサンプルの顧客範囲 (1.2.3.0/24) をプロビジョニングする方法を示します。

Note

クリーンアップまたは削除の手順は、リソースの性質上、このページには示されていません。 プロビジョニングしたカスタム IP プレフィックスの削除については、「カスタム IP プレフィックスの管理」を参照してください。

Azure へのサインイン

Azure portal にサインインします。

統合カスタム IP アドレスのプレフィックスを作成してプロビジョニングする

  1. ポータルの上部にある検索ボックスに、「カスタム IP」と入力します。

  2. 検索結果から、[カスタム IP プレフィックス] を選びます。

  3. [+ 作成] を選択します。

  4. [カスタム IP プレフィックスの作成] で、次の情報を入力するか選びます。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group [新規作成] を選択します。
    myResourceGroup」と入力します。

    を選択します。
    インスタンスの詳細
    名前 myCustomIPPrefix」と入力します。
    リージョン [米国西部 2] を選択します。
    IP バージョン [IPv4] を選択します。
    IPv4 プレフィックス (CIDR) 1.2.3.0/24」と入力します。
    RoA 有効期限 ROA の有効期限を yyyymmdd の形式で入力します。
    署名付きメッセージ 事前プロビジョニングセクションの $byoipauthsigned の出力を貼り付けます。
    可用性ゾーン [ゾーン冗長] を選択します。

    Azure portal でのカスタム IP プレフィックス ページの作成のスクリーンショット。

  5. [確認と作成] タブを選択するか、ページの下部にある青色の [確認と作成] ボタンを選択します。

  6. [作成] を選択します。

範囲が Azure IP デプロイ パイプラインにプッシュされます。 デプロイ プロセスは非同期です。 カスタム IP プレフィックスの [委任状態] フィールドを調べることで、状態を確認できます。

Note

このプロビジョニング プロセスの推定所要時間は 30 分です。

重要

カスタム IP プレフィックスが "準備済み" 状態になった後、子パブリック IP プレフィックスを作成できます。 これらのパブリック IP プレフィックスとパブリック IP アドレスは、ネットワーク リソースにアタッチできます。 例として、仮想マシンのネットワーク インターフェイスやロード バランサーのフロントエンドがあります。 IP はアドバタイズされないため、到達できません。 アクティブなプレフィックスの移行の詳細については、「カスタム IP プレフィックスの管理」を参照してください。

統合カスタム IP プレフィックスからパブリック IP プレフィックスを作成する

プレフィックスを作成したら、プレフィックスから静的 IP アドレスを作成する必要があります。 このセクションでは、以前に作成したプレフィックスから静的 IP アドレスを作成します。

  1. ポータルの上部にある検索ボックスに、「カスタム IP」と入力します。

  2. 検索結果から、[カスタム IP プレフィックス] を選びます。

  3. [カスタム IP プレフィックス] で、myCustomIPPrefix を選びます。

  4. myCustomIPPrefix[概要] で、[+ パブリック IP プレフィックスの追加] を選びます。

  5. [パブリック IP プレフィックスの作成][基本] タブで、次の情報を入力するか選びます。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group [myResourceGroup] を選択します。
    インスタンスの詳細
    名前 myPublicIPPrefix」と入力します。
    リージョン [米国西部 2] を選択します。 パブリック IP プレフィックスのリージョンは、カスタム IP プレフィックスのリージョンと一致している必要があります。
    IP バージョン [IPv4] を選択します。
    Prefix ownership (プレフィックスの所有権) [Custom prefix](カスタム プレフィックス) を選びます。
    カスタム IP プレフィックス myCustomIPPrefix を選びます。
    プレフィックス サイズ プレフィックスのサイズを選びます。 サイズは、カスタム IP プレフィックスと同じ大きさにできます。

  6. [確認および作成] を選び、次のページで [作成] を選びます。

  7. ステップ 1 から 3 を繰り返して、myCustomIPPrefix[概要] ページに戻ります。 [関連付けられたパブリック IP プレフィックス] セクションの一覧に myPublicIPPrefix が表示されます。 このプレフィックスから Standard SKU のパブリック IP アドレスを割り当てることができるようになります。 詳しくは、「プレフィックスから静的パブリック IP アドレスを作成する」をご覧ください。

統合カスタム IP アドレス プレフィックスを委任する

カスタム IP プレフィックスが [準備済み] 状態のとき、プレフィックスを更新して、Azure から範囲をアドバタイズするプロセスを開始します。

  1. ポータルの上部にある検索ボックスに「カスタム IP」と入力し、[Custom IP Prefixes] (カスタム IP プレフィックス) を選びます。

  2. myCustomIPPrefix[プロビジョニング済み] 状態に一覧表示されることを確認し、必要に応じて待ちます。

  3. [カスタム IP プレフィックス] で、myCustomIPPrefix を選びます。

  4. myCustomIPPrefix[概要] で、[Commission] (委任) ドロップダウン メニューを選んで、[Globally] (グローバル) を選びます。

操作は非同期です。 カスタム IP プレフィックスの [委任状態] フィールドを調べることで、状態を確認できます。 最初、状態は、プレフィックスを [委任中] として示し、その後 [委任済み] になります。 公開通知ロールアウトは一度で完了されません。 [委任中] の間でも、範囲は部分的に公開されます。

Note

委任プロセスを完全に完了するための推定所要時間は 3 - 4 時間です。

重要

カスタム IP プレフィックスが Commissioned 状態に移行すると、範囲はローカル Azure リージョンから Microsoft にアドバタイズされ、自律システム番号 (ASN) 8075 の下にある Microsoft のワイド エリア ネットワークによってインターネットにグローバルにアドバタイズされます。 この同じ範囲を Microsoft 以外の場所からインターネットに同時にアドバタイズすると、BGP ルーティングが不安定になり、トラフィックが失われる可能性があります。 例として、お客様のオンプレミスの建物があります。 影響を回避するために、アクティブな範囲の移行はメンテナンス期間中に行うことを計画します。 初期デプロイ中にこれらの問題を防ぐために、カスタム IP プレフィックスがデプロイされている Azure リージョン内でのみ公開されるリージョン限定の委任オプションを選ぶことができます。 詳細については、「カスタム IP アドレス プレフィックス (BYOIP) の管理」を参照してください。

次の手順