Como criar e gerenciar prefixos IP

  • Artigo

Este artigo explica as principais operações de gerenciamento para prefixos IP e regras de prefixo IP no Azure Operator Nexus.

Operações de prefixo IP

Criar um prefixo IP

Para criar um recurso de prefixo IP, siga estes passos:

  1. Especifique as propriedades e regras do recurso de prefixo IP. Você pode usar o seguinte comando azcli como referência: 

    az networkfabric ipprefix create--resource-group myResourceGroup \
  --name myIpPrefix \
  --location eastus \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=10.10.10.0/28 sequenceNumber=10 \
  --ip-prefix-rules action=Permit condition=EqualTo networkPrefix=20.20.20.0/24 sequenceNumber=20

    As propriedades e regras do recurso de prefixo IP são:

    • resource-group: O nome do grupo de recursos onde você deseja criar o recurso de prefixo IP. 

    • name: O nome do recurso de prefixo IP. 

    • location: A região do Azure onde você deseja criar o recurso de prefixo IP. 

    • ip-prefix-rules: A lista de regras que definem os critérios de correspondência e a ação para o recurso de prefixo IP. Cada regra tem as seguintes propriedades:

      • action: A ação a ser tomada quando a condição é atendida. Pode ser qualquer um Permit ou Deny. Permit significa permitir a rota e Deny significa rejeitar a rota. 

      • condition: A condição para comparar o prefixo de rede da rota com o prefixo de rede da regra. Pode ser um dos seguintes valores:

        • EqualTo: A condição é verdadeira quando o prefixo de rede da rota é igual ao prefixo de rede da regra. 

        • NotEqualTo: A condição é verdadeira quando o prefixo de rede da rota não é igual ao prefixo de rede da regra. 

        • GreaterThanOrEqualTo: A condição é verdadeira quando o prefixo de rede da rota é maior ou igual ao prefixo de rede da regra.

      • networkPrefix: O segmento de rede a ser correspondido. É um endereço IP e um comprimento de prefixo, como 10.10.10.0/28 ou 2001:db8::/64. Para IPv4, o comprimento do prefixo deve ser de 1 a 32. Para IPv6, o comprimento do prefixo deve ser 1-128.

      • sequenceNumber: A ordem de avaliação da regra, da mais baixa para a mais alta. A regra com o menor número de sequência é avaliada primeiro, e a regra com o maior número de sequência é avaliada por último. Se uma regra corresponder à rota, a avaliação será interrompida e a ação da regra será executada. Se nenhuma regra corresponder à rota, a ação padrão será Negar. 

  2. Crie o recurso de prefixo IP usando o comando azcli. Você pode usar o mesmo comando da etapa anterior ou modificá-lo de acordo com suas necessidades.

  3. Verifique se o recurso de prefixo IP foi criado com êxito. Você pode usar o az networkfabric ipprefix show comando para mostrar os detalhes do recurso de prefixo IP. Você pode usar o exemplo a seguir como referência: 

    az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix 

Neste exemplo, myResourceGroup é o nome do grupo de recursos onde você criou o recurso de prefixo IP e myIpPrefix é o nome do recurso de prefixo IP. 

A resposta deve conter as propriedades e regras do recurso de prefixo IP, como ID, type, ipPrefixRules, location, name, provisioningState, resourceGroup e tags. 

Mostrar um recurso de prefixo IP

Para obter os detalhes de um recurso de prefixo IP existente por sua ID ou nome, use o seguinte comando: 

# Get the details of an IP prefix resource by its name
az networkfabric ipprefix show \
  --resource-group myResourceGroup \
  --name myIpPrefix

O corpo de resposta da API REST é o seguinte: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix",
  "location": "eastus",
  "name": "myIpPrefix",
  "properties": {
    "ipPrefixRules": [
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "10.10.10.0/28",
        "sequenceNumber": 10
      },
      {
        "action": "Permit",
        "condition": "EqualTo",
        "networkPrefix": "20.20.20.0/24",
        "sequenceNumber": 20
      }
    ]
  }
}

Atualizando um recurso de prefixo IP

Para atualizar um recurso de prefixo IP, siga estes passos:

  1. Especifique as propriedades e regras do recurso de prefixo IP que você deseja atualizar. Você pode usar o mesmo modelo JSON da seção anterior ou modificá-lo de acordo com suas necessidades. 

  2. Atualize o recurso de prefixo IP usando o comando da CLI do Azure ou o método da API REST. Você pode usar os seguintes exemplos como referência: 

    az networkfabric ipprefix update  \
  -g "example-rg" \
  --resource-name "example-ipprefix" \
  --ip-prefix-rules "[{action:Permit,sequenceNumber:4155123341,networkPrefix:'10.10.10.10/30',condition:GreaterThanOrEqualTo,subnetMaskLength:10}]"

Neste exemplo, resourceGroupName é o nome do grupo de recursos onde você criou o recurso de prefixo IP, ipPrefixName é o nome do recurso de prefixo IP e a --add opção adiciona uma nova regra à propriedade ipPrefixRules. A nova regra nega rotas com prefixo de rede 30.30.30.0/24 e tem um número de sequência de 30. 

Excluindo um recurso de prefixo IP

Para excluir um recurso de prefixo IP existente por sua ID ou nome, use o seguinte comando: 

# Delete an IP prefix resource by its name
az networkfabric ipprefix delete \
  --resource-group myResourceGroup \
  --name myIpPrefix

O corpo da solicitação da API REST para excluir um recurso de prefixo IP por sua ID é o seguinte: 

{
  "id": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.ManagedNetworkFabric/ipPrefixes/myIpPrefix"
}

Exemplo de recursos de prefixo IP

ipprefixv4-externalnetwork1-export

Este recurso é usado para gerenciar regras de tráfego de rede para uma rede externa específica em um grupo de recursos. Ele contém regras que permitem o tráfego para os prefixos de rede 20.20.20.0/24 e 50.50.50.0/24, mas negam o tráfego para o prefixo de rede 10.10.10.0/28. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-externalnetwork1-export",
  "ipPrefixRules": [
    {
      "action": "Deny",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "50.50.50.0/24",
      "sequenceNumber": 13
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-externalnetwork1-export",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Este recurso nega tráfego para o prefixo de rede 10.10.10.0/28 e permite tráfego para os prefixos de rede 20.20.20.0/24 e 50.50.50.0/24.

IPprefixv4-1204-CN1

Este recurso é usado para gerenciar regras de tráfego de rede para uma rede específica em um grupo de recursos. Ele contém regras que permitem o tráfego para os prefixos de rede 10.10.10.0/28 e 20.20.20.0/24. 

{
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipPrefixes/ipprefixv4-1204-cn1",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "10.10.10.0/28",
      "sequenceNumber": 10
    },
    {
      "action": "Permit",
      "condition": "EqualTo",
      "networkPrefix": "20.20.20.0/24",
      "sequenceNumber": 12
    }
  ],
  "location": "eastus",
  "name": "ipprefixv4-1204-cn1",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Este recurso permite o tráfego para os prefixos de rede 10.10.10.0/28 e 20.20.20.0/24.

ipprefix-v6-ingress

Este recurso está localizado na eastus região e faz parte de um grupo de recursos. Está configurado, mas atualmente desativado. O recurso é do tipo microsoft.managednetworkfabric/ipprefixes.

O recurso tem duas regras de prefixo IP:

  1. Permite o tráfego de prefixos de rede maiores ou iguais a fda0:d59c:db12::/59 com um comprimento de máscara de sub-rede de 59. 

  2. Permite o tráfego de prefixos de rede maiores ou iguais a fc00:f853:ccd:e793::/64 com um comprimento de máscara de sub-rede de 64. 

{
  "administrativeState": "Disabled",
  "configurationState": "Succeeded",
  "id": "/subscriptions/.../resourceGroups/.../providers/Microsoft.ManagedNetworkFabric/ipprefixes/ipprefix-v6-ingress",
  "ipPrefixRules": [
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fda0:d59c:db12::/59",
      "sequenceNumber": 10,
      "subnetMaskLength": "59"
    },
    {
      "action": "Permit",
      "condition": "GreaterThanOrEqualTo",
      "networkPrefix": "fc00:f853:ccd:e793::/64",
      "sequenceNumber": 20,
      "subnetMaskLength": "64"
    }
  ],
  "location": "eastus",
  "name": "ipprefix-v6-ingress",
  "provisioningState": "Succeeded",
  "resourceGroup": "...",
  "type": "microsoft.managednetworkfabric/ipprefixes"
}

Este recurso está configurado para permitir o tráfego IPv6 dos prefixos de rede especificados.