管理自訂 IP 位址前置詞
自訂 IP 位址前置詞是外部客戶擁有並佈建到訂用帳戶中的連續 IP 位址範圍。 客戶擁有該範圍,並允許 Microsoft 公告範圍。 如需詳細資訊,請參閱自訂 IP 位址前置詞概觀。
本篇文章說明如何︰
使用區域委任功能安全地將使用中前置詞移轉至 Azure
從佈建的自訂 IP 前置詞建立公用 IP 前置詞
從 Microsoft 外部移轉使用中的 IP 前置詞
檢視自訂 IP 前置詞相關資訊
解除自訂 IP 前置詞
取消佈建/刪除自訂 IP 前置詞
如需佈建 IP 位址的資訊,請參閱建立自訂 IP 位址前置詞 - Azure 入口網站 (機器翻譯)、建立自訂 IP 位址前置詞 - Azure PowerShell (機器翻譯),或建立自訂 IP 位址前置詞 - Azure CLI (機器翻譯)。
從自訂 IP 前置詞建立公用 IP 前置詞
當統一的(或地區)模型自定義IP前置詞處於 「布建」、 「委託」或 「 委託」狀態時,可以建立連結的公用IP前置詞。 以自訂 IP 前置詞範圍的子集或整個範圍形式。
使用下列 CLI 和 PowerShell 命令,以指向現有自訂 IP 前置詞的 --custom-ip-prefix-name (CLI) 和 -CustomIpPrefix (PowerShell) 參數,建立公用 IP 前置詞。
| 工具 | 命令 |
|---|---|
| CLI | az network custom-ip prefix update |
| PowerShell | New-AzPublicIpPrefix |
注意
公用 IP 前置詞可以衍生自另一個具適當權限的訂用帳戶中的自訂 IP 前置詞,使用 Azure PowerShell 或 Azure 入口網站。
使用 PowerShell 從自訂 IP 前置詞衍生公用 IP 前置詞的範例如下所示:
Set-AzContext -Subscription xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
$customprefix = Get-AzCustomIpPrefix -Name myBYOIPPrefix -ResourceGroupName myResourceGroup
Set-AzContext -Subscription yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy
New-AzPublicIpPrefix -Name myPublicIpPrefix -ResourceGroupName myResourceGroup2 -Location eastus -PrefixLength 30 -CustomIpPrefix $customprefix
建立後,子公用 IP 前置詞中的 IP 可以與資源相關聯,就像任何其他標準 SKU 靜態公用 IP 一樣。 若要深入了解如何從公用 IP 前置詞使用 IP,包括從範圍中選取特定 IP,請參閱從前置詞建立靜態公用 IP 位址。
從 Microsoft 外部移轉使用中的前置詞
如果另一個網路向網際網路公告佈建的範圍,您應該規劃移轉至 Azure 以避免非計劃性的停機。 不論您選擇的方法為何,請使用維護時段來進行轉換。
方法 1:自訂 IP 前置詞處於「已佈建」狀態時,從前置詞建立公用 IP 前置詞和公用 IP 位址。
- 公用 IP 可以與網路資源相關聯,但不會公告且無法連線。 執行將自訂 IP 前置詞更新為 [已佈建] 狀態的命令時,IP 會從 Microsoft 的網路公告。 來自 Microsoft 以外位置的任何此相同範圍公告,都可能會造成 BGP 路由不穩定或流量遺失。 例如,客戶內部部署組建。 一旦確認 Azure 基礎結構可運作,就應停用公告。
方法 2:從使用 Microsoft 範圍的前置詞,建立公用 IP 前置詞和公用 IP 位址。 在您的訂用帳戶中部署基礎結構,並驗證其可運作.
自訂 IP 前置詞處於 [已佈建] 狀態時,從前置詞建立第二組鏡像公用 IP 前置詞和公用 IP 位址。 將佈建的 IP 新增至現有基礎結構。 例如,將另一個網路介面新增至虛擬機器或負載平衡器的另一個前端。 對所需的 IP 執行變更,再發出命令,將自訂 IP 前置詞改為 [已委任] 狀態。
或者,可以先委任範圍再變更。 此程序不適用具有公用 IP 的所有資源類型。 在那些情況下,必須建立具已佈建公用 IP 的新資源。
使用區域調試功能進行統一模型自定義IP前置詞
當統一模型自定義IP前綴轉換為完全 受委託 狀態時,範圍會透過Microsoft的廣域網,透過Microsoft的廣域網,向因特網公告Microsoft。 如果該範圍目前正同時從 Microsoft 以外的位置向網際網路公告,則可能會有 BGP 路由不穩定或流量遺失。 為了簡化目前在 Azure 外部「上線」的範圍轉換,您可以使用區域委任功能,將上線的範圍置於 CommissionedNoInternetAdvertise 狀態,在其中,它僅會從單一 Azure 區域內公告。 此狀態會允許先在此區域內測試所有連結的基礎結構,再將此範圍對網際網路公告,且完全符合上一節中的方法 1。
在 Azure 入口網站中使用下列步驟,將自訂 IP 前置詞置於此狀態:
在 Azure 入口網站頂端的搜尋方塊中,輸入 [自訂IP],然後選取 [自訂 IP 前置詞]。
在 [自訂 IP 前置詞] 中,驗證您的自訂 IP 前置詞已列在 [已佈建] 狀態。 視需要重新整理狀態,直到狀態正確為止。
從資源清單中選取您的自訂 IP 前置詞。
在自訂 IP 前置詞的 [概觀] 中,選取 [委任] 下拉式功能表,然後選擇 [僅限 <Resource_Region>]。
作業是非同步。 您可以檢閱自訂 IP 前置詞的 [委派狀態] 欄位來檢查狀態。 一開始,狀態會將前置詞顯示為 [委任中] 狀態,未來則接著為 [已委任]。 公告推出不是二進位的,而且範圍將會部分公告,同時仍處於 [委任中] 狀態。
使用下列範例 PowerShell 將自訂 IP 前置詞範圍置於此狀態。
Update-AzCustomIpPrefix
(other arguments)
-Commission
-NoInternetAdvertise
檢視自訂 IP 前置詞
若要檢視自訂 IP 前置詞,可在 Azure CLI 和 Azure PowerShell 中使用下列命令。 系統會顯示使用該自訂 IP 前置詞建立的所有公用 IP 前置詞。
| 工具 | 命令 |
|---|---|
| CLI | az network custom-ip prefix list 可列出自訂 IP 前置詞 az network custom-ip prefix show 可顯示設定和任何衍生的公用 IP 前置詞 |
| PowerShell | Get-AzCustomIpPrefix 可擷取自訂 IP 前置詞物件,並檢視其設定和任何衍生的公用 IP 前置詞 |
解除自訂 IP 前置詞
必須解除自訂 IP 前置詞,才能關閉公告。
注意
從布建的自定義IP前綴建立的所有公用IP前置詞都必須刪除,才能解除委任自定義IP前置詞。 如果這可能會在移轉程序中造成問題,請參閱下一節關於區域委任的內容。
完成解除流程的預估時間為 3 至 4 小時。
可在 Azure CLI 和 Azure PowerShell 中使用下列命令,開始停止從 Azure 公告範圍的流程。 作業為非同步,請使用檢視命令來擷取狀態。 [CommissionedState] 欄位一開始會將前置詞顯示為 [解除委任中],並隨轉換成先前狀態,接著顯示 [已佈建]。 移除公告是漸進式程序,而當範圍仍處於 [解除委任中] 時會部分公告。
| 工具 | 命令 |
|---|---|
| Azure 入口網站 | 使用自訂 IP 前置詞 [概觀] 區段中的 [解除] 選項 |
| CLI | az network custom-ip prefix update 並將 --state 旗標設為解除委任 |
| PowerShell | Update-AzCustomIpPrefix 並將旗標設為 -Decommission |
或者,可使用自訂 IP 前置詞 [概觀] 區段的 [解除] 按鈕,透過 Azure 入口網站解除自訂 IP 前置詞。
使用區域委任功能協助解除委任
統一的(或地區)模型自定義 IP 前置詞必須先清除公用 IP 前置詞,才能放入 解除委任 狀態。 若要簡化移轉,您可以反轉區域委任功能。 您可以將全域委任範圍變更回區域委任狀態。 此變更可讓您先確保範圍不再公告超出單一區域的範圍,之後才移除其各自資源中的任何公用 IP 位址。
該命令與本頁稍早的命令類似:
Update-AzCustomIpPrefix
(other arguments)
-Decommission
-NoInternetAdvertise
作業是非同步。 您可以檢閱自訂 IP 前置詞的 [委派狀態] 欄位來檢查狀態。 一開始,狀態會將前置詞顯示為 InternetDecommissioningInProgress,後面接著為 CommissionedNoInternetAdvertise。 對網際網路的公告不是二進位,而且範圍會部分公告,同時仍處於 InternetDecommissioningInProgress 狀態。
取消佈建/刪除自訂 IP 前置詞
若要完全移除自訂 IP 前置詞,必須取消佈建再刪除。
重要
強烈建議在修改/刪除您使用路由因特網登錄建立的路由來源授權 (ROA) 之前,將範圍解除委任。 若未這麼做,這表示Microsoft在未獲授權時仍會在您的範圍內發佈廣告。 如需ROA的詳細資訊,請參閱 建立檔 。
注意
如果需要將布建的範圍從某個區域移轉至另一個區域,則必須從第一個區域完全移除原始自定義 IP 前綴,才能在另一個區域中建立具有相同地址範圍的新自定義 IP 前綴。
完成取消佈建程序的估計時間為 30 分鐘到 60 分鐘。
可在 Azure CLI 和 Azure PowerShell 中使用下列命令,從 Microsoft 取消佈建和移除範圍。 取消佈建作業為非同步。 您可以使用檢視命令來擷取狀態。 [CommissionedState] 欄位一開始會將前置詞顯示為 [取消佈建中],並在轉換成先前狀態時顯示 [已取消佈建]。 範圍處於 [Deprovisioned] 狀態時,可以使用命令加以刪除。
| 工具 | 命令 |
|---|---|
| Azure 入口網站 | 使用自訂 IP 前置詞 [概觀] 區段中的 [取消佈建] 選項 |
| CLI | az network custom-ip prefix update 並將 --state 旗標設為取消佈建 az network custom-ip prefix delete 可移除 |
| PowerShell | Update-AzCustomIpPrefix 並將旗標設為 -Deprovision Remove-AzCustomIpPrefix 可移除 |
或者,您可以使用自訂 IP 前置詞 [概觀] 區段中的 [取消佈建] 按鈕,透過 Azure 入口網站解除自訂 IP 前置詞,然後使用相同區段中的 [刪除] 按鈕加以刪除。
權限
如需管理公用 IP 位址前置詞的權限,您的帳戶必須指派為網路參與者角色或自訂角色。
| 動作 | 名稱 |
|---|---|
| Microsoft.Network/customIPPrefixes/read | 讀取自訂 IP 位址前置詞 |
| Microsoft.Network/customIPPrefixes/write | 建立或更新自訂 IP 位址前置詞 |
| Microsoft.Network/customIPPrefixes/delete | 刪除自訂 IP 位址前置詞 |
| Microsoft.Network/customIPPrefixes/join/action | 從自訂 IP 前置詞建立公用 IP 前置詞 |
疑難排解和常見問題集
本節提供自訂 IP 前置詞資源及佈建和移除流程的常見問題解答。
建立新自訂 IP 前置詞之後,會傳回 "ValidationFailed" 錯誤
佈建快速失敗很可能是因為前置詞驗證錯誤。 前置詞驗證錯誤表示我們無法驗證範圍的所有權。 驗證錯誤也表示我們無法驗證公告範圍的 Microsoft 權限,以及範圍與指定訂用帳戶的關聯。 若要檢視特定錯誤,請檢閱 自定義 IP 前置詞資源中的 FailedReason 欄位(在入口網站中的 JSON 檢視中),並檢視 下一節中的 [狀態消息] 區段。
更新要公告的自訂 IP 前置詞之後,它會轉換為 "CommissioningFailed" 狀態
如果無法完整公告自訂 IP 前置詞,會改為 [CommissioningFailed] 狀態。 若要檢視特定錯誤,請檢閱 自定義 IP 前置詞資源中的 FailedReason 欄位(在入口網站中的 JSON 檢視中),並檢閱 狀態消息區段,如下所示,這有助於判斷傭金程式失敗的情況。
我無法解除自訂 IP 前置詞
解除自訂 IP 前置詞之前,請確保其沒有公用 IP 前置詞或公用 IP 位址。
我無法刪除自訂 IP 前置詞
若要刪除自訂 IP 前置詞,它必須處於 [已取消佈建] 或 ValidationFailed 狀態。 如果您的範圍處於 ProvisionFailed 狀態,必須先 [取消佈建],才能刪除它。 如果範圍「停滯」在 [佈建中] 或 [取消佈建中] 狀態中一段時間,請連絡 Microsoft 支援服務。
如何將範圍從某個區域移轉至另一個區域
若要移轉自訂 IP 前置詞,必須先從一個區域取消佈建。 接著,可以在另一個區域中建立 CIDR 相同的新自訂 IP 前置詞。
使用 IPv6 時是否有任何特殊考量
是 - 使用 BYOIPv6 時,佈建和委任有多個差異。 如需詳細資訊,請參閱建立自訂 IPv6 位址前置詞 - PowerShell。
狀態訊息
當您從 Azure 上線或移除自訂 IP 前置詞時,系統會更新資源的 FailedReason 屬性。 如果使用 Azure 入口網站,訊息會顯示為最上層橫幅。 下表列出 上線或移除自定義IP前置詞時的狀態消息。
注意
如果 FailedReason 是 OperationNotFailed,則自訂 IP 前置詞處於穩定狀態 (例如已佈建、已委任),且沒有任何明顯的問題。
驗證失敗
| 失敗訊息 | 說明 |
|---|---|
| CustomerSignatureNotVerified | 無法使用 Whois/RDAP 記錄做為前置詞對照驗證訊息來驗證已簽署的訊息。 |
| NotAuthorizedToAdvertiseThisPrefix 或 ASN8075NotAllowedToAdvertise |
ASN8075 未獲授權公告此前置詞。 請確定已正確提交路由原始授權 (ROA)。 |
| PrefixRegisteredInAfricaAndSouthAmericaNotAllowedInOtherRegion | IP 首碼已向 AFRINIC 或 LACNIC 註冊。 這些前置詞無法在非洲/南美洲以外使用。 |
| NotFindRoutingRegistryToGetCertificate | 使用區域網際網路註冊機構 (RIR) 的註冊資料存取通訊協定 (RDAP) 找不到 IP 前置詞的公開金鑰。 |
| CIDRInAuthorizationMessageNotMatchCustomerIP | 授權訊息中的 CIDR 不符合提交的 IP 位址。 |
| ExpiryDateFormatInvalidOrNotInThefuture | 授權訊息中提供的到期日格式錯誤或過期。 預期的格式為 yyyymmdd。 |
| AuthMessageFormatInvalid | 授權訊息格式無效。 預期的格式為 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx1.2.3.0/24yyyymmdd。 |
| CannotParseValidCertificateFromRIRPage | 使用區域網際網路註冊機構 (RIR) 的註冊資料存取通訊協定 (RDAP) 無法剖析 IP 前置詞的公開金鑰。 |
| ROANotFound | 找不到路由原始授權 (ROA) 以進行驗證。 |
| CertFromRIRPageExpired | 區域網際網路註冊機構 (RIR) 的註冊資料存取通訊協定 (RDAP) 提供的公開金鑰已過期。 |
| InvalidPrefixLengthInROA | 提供的前置詞長度不符合路由來源授權 (ROA) 中的前置詞。 |
| RIRNotSupport | 僅支援在 ARIN、RIPE、APNIC、AFRINIC 和 LACNIC 註冊的首碼。 |
| InvalidCIDRFormat | CIDR 格式無效。 預期的格式為 10.10.10.0/16。 |
| InvalidCIDRFormatInAuthorizationMessage | 授權訊息中的 CIDR 格式無效。 預期的格式為 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx1.2.3.0/24yyyymmdd。 |
| OperationFailedPleaseRetryLaterOrContactSupport | 未知的誤差。 請連絡支援人員。 |
注意
在委任或解除委任程序期間顯示的訊息並非全部都表示失敗,有些只是提供詳細狀態。
委派狀態
| 狀態訊息 | 說明 |
|---|---|
| RegionalCommissioningInProgress | 正在委派範圍在 Azure 內做區域性公告。 |
| CommissionedNoInternetAdvertise | 該範圍現在會於 Azure 內區域公告。 |
| InternetCommissioningInProgress | 此範圍現在正在 Azure 內做區域性公告,且正委派向網際網路公告。 |
解除委任狀態
| 狀態訊息 | 說明 |
|---|---|
| InternetDecommissioningInProgress | 正在解除委任範圍。 該範圍不再向網際網路公告。 |
| RegionalDecommissioningInProgress | 範圍不再向網際網路公告,且目前正在解除委任。 該範圍不再於 Azure 內區域公告。 |
委派失敗
| 失敗訊息 | 說明 |
|---|---|
| CommissionFailedRangeNotAdvertised | 範圍無法在 Azure 內做區域性公告或向網際網路公告。 |
| CommissionFailedRangeRegionallyAdvertised | 範圍無法向網際網路公告,但正在 Azure 內公告。 |
| CommissionFailedRangeInternetAdvertised | 範圍無法以最佳方式公告,但正在向網際網路和在 Azure 內公告。 |
解除委任失敗
| 失敗訊息 | 說明 |
|---|---|
| DecommissionFailedRangeInternetAdvertised | 範圍無法解除委任,但仍向網際網路和在 Azure 內公告。 |
| DecommissionFailedRangeRegionallyAdvertised | 範圍無法解除委任,仍在 Azure 內公告,但不再向網際網路公告。 |
下一步
若要瞭解使用自訂 IP 前置詞的情節和優點,請參閱自訂 IP 位址前置詞 (BYOIP)。
若要使用 Azure 入口網站建立自訂 IP 位址前置詞,請參閱使用 Azure 入口網站建立自訂 IP 位址前置詞 (機器翻譯)。
若要使用 PowerShell 建立自訂 IP 位址前置詞,請參閱使用 Azure PowerShell 建立自訂 IP 位址前置詞 (機器翻譯)。