Vytváření a správa předpon IP adres

  • Článek

Tento článek vysvětluje hlavní operace správy pro předpony IP adres a pravidla předpon IP adres v Azure Operator Nexus.

Operace předpon IP adres

Vytvoření předpony IP adresy

Pokud chcete vytvořit prostředek předpony IP adres, postupujte takto:

  1. Zadejte vlastnosti a pravidla prostředku předpony IP. Jako referenci můžete použít následující příkaz azcli: 

    az networkfabric ipprefix create--resource-group myResourceGroup \
  --name myIpPrefix \
  --location eastus \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20

    Vlastnosti a pravidla prostředku předpony IP adresy jsou:

    • resource-group: Název skupiny prostředků, ve které chcete vytvořit prostředek předpony IP adresy. 

    • name: Název prostředku předpony IP adresy. 

    • location: Oblast Azure, ve které chcete vytvořit prostředek předpony IP adresy. 

    • ip-prefix-rules: Seznam pravidel, která definují kritéria shody a akci pro prostředek předpony IP adresy. Každé pravidlo má následující vlastnosti:

      • action: Akce, která se má provést při splnění podmínky. Může to být buď Permit nebo Deny. Permit znamená povolit trasu a Deny znamená odmítnout trasu. 

      • condition: Podmínka pro porovnání síťové předpony trasy s předponou sítě pravidla. Může to být jedna z následujících hodnot:

        • EqualTo: Podmínka je pravdivá, pokud je předpona sítě trasy rovna síťové předponě pravidla. 

        • NotEqualTo: Podmínka platí, pokud se předpona sítě trasy nerovná předponě sítě pravidla. 

        • GreaterThanOrEqualTo: Podmínka platí, pokud je předpona sítě trasy větší nebo rovna předponě sítě pravidla.

      • networkPrefix: Segment sítě, který se má shodovat. Jedná se o IP adresu a délku předpony, například 10.10.10.0/28 nebo 2001:db8::/64. U protokolu IPv4 musí být délka předpony 1–32. U protokolu IPv6 musí být délka předpony 1–128.

      • sequenceNumber: Pořadí vyhodnocení pravidla od nejnižšího po nejvyšší. Pravidlo s nejnižším pořadovým číslem se vyhodnotí jako první a pravidlo s nejvyšším pořadovým číslem se vyhodnotí jako poslední. Pokud pravidlo odpovídá trase, vyhodnocení se zastaví a provede se akce pravidla. Pokud žádné pravidlo neodpovídá trase, výchozí akce je Odepřít. 

  2. Vytvořte prostředek předpony IP pomocí příkazu azcli. Můžete použít stejný příkaz jako v předchozím kroku nebo ho upravit podle svých požadavků.

  3. Ověřte, že se prostředek předpony IP adresy úspěšně vytvořil. Pomocí az networkfabric ipprefix show příkazu můžete zobrazit podrobnosti o prostředku předpony IP adresy. Jako odkaz můžete použít následující příklad: 

    az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix 

V tomto příkladu je název skupiny prostředků, myResourceGroup ve které jste vytvořili prostředek předpony IP adresy, a myIpPrefix je to název prostředku předpony IP. 

Odpověď by měla obsahovat vlastnosti a pravidla prostředku předpony IP adresy, jako je ID, typ, ipPrefixRules, umístění, název, provisioningState, resourceGroup a značky. 

Zobrazení prostředku předpony IP adresy

Pokud chcete získat podrobnosti o existujícím prostředku předpony IP podle jeho ID nebo názvu, použijte následující příkaz: 

# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix

Text odpovědi rozhraní REST API je následující: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
  "location": "eastus",
  "name": "myIpPrefix",
  "properties": {
    "ipPrefixRules": [
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "10.10.10.0/28",
        "sequenceNumber": 10
      },
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "20.20.20.0/24",
        "sequenceNumber": 20
      }
    ]
  }
}

Aktualizace prostředku předpony IP adresy

Pokud chcete aktualizovat prostředek předpony IP adres, postupujte takto:

  1. Zadejte vlastnosti a pravidla prostředku předpony PROTOKOLU IP, který chcete aktualizovat. Můžete použít stejnou šablonu JSON jako v předchozí části nebo ji podle svých požadavků upravit. 

  2. Aktualizujte prostředek předpony IP pomocí příkazu Azure CLI nebo metody rozhraní REST API. Jako referenci můžete použít následující příklady: 

    az networkfabric ipprefix update  \
  -g "example-rg" \
  --resource-name "example-ipprefix" \
  --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"

V tomto příkladu je název skupiny prostředků, resourceGroupName ve které jste vytvořili prostředek předpony IP adresy, ipPrefixName je název prostředku předpony IP adresy a --add možnost přidá nové pravidlo do vlastnosti ipPrefixRules. Nové pravidlo zakazuje trasy s předponou sítě 30.30.30.0/24 a má pořadové číslo 30. 

Odstranění prostředku předpony IP adresy

Pokud chcete odstranit existující prostředek předpony IP adresy podle jeho ID nebo názvu, použijte následující příkaz: 

# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
  --resource-group myResourceGroup \
  --name myIpPrefix

Text požadavku rozhraní REST API pro odstranění prostředku předpony IP adresy podle jeho ID je následující: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}

Příklady prostředků předpon IP adres

ipprefixv4-externalnetwork1-export

Tento prostředek slouží ke správě pravidel síťového provozu pro konkrétní externí síť ve skupině prostředků. Obsahuje pravidla, která povolují provoz na předpony sítě 20.20.20.0/24 a 50.50.0/24, ale zamítnou provoz na předponu sítě 10.10.10.0/28. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
  "ipPrefixRules": [
    {
      "action": "Deny",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "50.50.50.0/24",
      "sequenceNumber": 13
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-externalnetwork1-export",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Tento prostředek odmítne provoz na předponu sítě 10.10.10.0/28 a povolí provoz na předpony sítě 20.20.20.0/24 a 50.50.50.0/24.

ipprefixv4-1204-cn1

Tento prostředek slouží ke správě pravidel síťového provozu pro konkrétní síť ve skupině prostředků. Obsahuje pravidla, která povolují provoz na předpony sítě 10.10.10.0/28 a 20.20.20.0/24. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-1204-cn1",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Tento prostředek umožňuje provoz na předpony sítě 10.10.10.0/28 a 20.20.20.0/24.

ipprefix-v6-ingress

Tento prostředek se nachází v eastus oblasti a je součástí skupiny prostředků. Je nakonfigurovaná, ale aktuálně zakázaná. Zdroj je typu microsoft.managednetworkfabric/ipprefixes.

Prostředek má dvě pravidla předpon IP adres:

  1. Povoluje provoz z předpon sítě, které jsou větší nebo rovny fda0:d59c:db12::/59 s délkou masky podsítě 59. 

  2. Povoluje provoz z předpon sítě, které jsou větší nebo rovny fc00:f853:ccd:e793::/64 s délkou masky podsítě 64. 

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fda0:d59c:db12::/59",
      "sequenceNumber": 10,
      "subnetMaskLength": "59"
    },
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fc00:f853:ccd:e793::/64",
      "sequenceNumber": 20,
      "subnetMaskLength": "64"
    }
  ],
  "location": "eastus",
  "name": "ipprefix-v6-ingress",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Tento prostředek je nakonfigurovaný tak, aby umožňoval provoz IPv6 ze zadaných předpon sítě.