お客様所有 IP アドレスの使用
お客様所有 IP アドレス(BYOIP)を使用すると、Google Cloud リソースに独自のパブリック IPv4 アドレスをプロビジョニングして使用できます。インポートされた IP アドレスは、Google Cloud により、Google 提供の IP アドレスと同じ方法で管理されます。ただし、次の点が異なります。
自社所有の IP アドレスは、取り込んだユーザーだけが利用できます。
アイドル状態と使用中の IP アドレスについては課金されません。
概要
お客様所有 IP アドレスを使用するには、パブリック アドバタイズド プレフィックス(PAP)を作成します。ROA とリバース DNS 検証を使用して、このパブリック アドバタイズド プレフィックスの所有権を検証します。検証が完了したら、このプレフィックスのインターネットへのアナウンスを構成しますが、プレフィックスはプロビジョニングされるまでアドバタイズされません。パブリック アドバタイズド プレフィックスがプロビジョニングされるまでに約 4 週間かかります。
パブリック アドバタイズド プレフィックスがプロビジョニングされるのを待つ間、プレフィックスをパブリック委任プレフィックス(PDP)に分割します。これにより、パブリック委任プレフィックスをさらに分割することも、割り当て可能な IP アドレスの作成に使用することもできます。パブリック委任プレフィックスがプロビジョニングされるまでに約 4 週間かかります。
パブリック委任プレフィックスのプロビジョニングが完了すると、パブリック アドバタイズド プレフィックスがインターネットにアドバタイズされます。
パブリック アドバタイズド プレフィックス
パブリック アドバタイズド プレフィックス(PAP)は、Google Cloud に取り込んだ IP プレフィックスを表す Compute Engine のリソースです。これにより、自社独自のプレフィックスから IP アドレスを Google Cloud リソースに割り振ることができます。パブリック アドバタイズド プレフィックスは、ルート アドバタイズの単一ユニットです。Google のグローバル バックボーンは、すべての接続拠点からパブリック アドバタイズド プレフィックスをアドバタイズします。パブリック アドバタイズド プレフィックスの IP アドレスは常に、Network Service Tiers のプレミアム ティアを使用します。
パブリック アドバタイズド プレフィックスは、グローバル パブリック委任プレフィックスまたはリージョン パブリック委任プレフィックスのいずれかに使用できますが、両方には使用できません。
パブリック アドバタイズド プレフィックスが 2023 年 7 月 10 日より前に作成された場合は、BYOIP の動作変更をご覧ください。
パブリック委任プレフィックス
パブリック委任プレフィックス(PDP)は、単一のスコープ(特定のリージョンまたはグローバル)内で構成されたパブリック アドバタイズド プレフィックス内の IP ブロックです。IP ブロックは、プロジェクトまたは組織に IP アドレスを割り振る前に、委任してスコープに割り当てる必要があります。
グローバル パブリック委任プレフィックスの作成は、許可リストによって制御されます。詳細については、グローバル パブリック委任プレフィックスをご覧ください。
単一のパブリック委任プレフィックスを複数のより小さなブロックに分割することもできます。この場合、分割したブロックのスコープは親ブロックと同じでなければなりません。特定のスコープ内に、連続していない複数のパブリック委任プレフィックスを構成できます。こうしたより小さなブロックもパブリック委任プレフィックスですが、サブプレフィックスとも呼ばれます。
グローバル パブリック委任プレフィックス
グローバル パブリック委任プレフィックスを作成するには、グローバル パブリック委任プレフィックスの作成のみに使用されるパブリック アドバタイズド プレフィックスを使用する必要があります。グローバル プレフィックスを作成するアクセス権が付与されたプロジェクトでは、パブリック委任プレフィックスを作成する必要があります。
アクセス権をリクエストするには、サポートケースを送信して、グローバル パブリック委任プレフィックスを作成するための許可リストにプロジェクトを登録するようにリクエストします。
IP アドレス
パブリック委任プレフィックスまたはサブプレフィックスから IP アドレスを作成する場合、その IP アドレスは、割り振られたプロジェクトとスコープ内でのみ使用できます。パブリック委任プレフィックスまたはサブプレフィックス内の IP アドレスは、すべて使用できます。予約済みのネットワーク アドレスやブロードキャスト アドレスはありません。たとえば、/28
パブリック委任プレフィックスまたはサブプレフィックスを使用して IP アドレスを作成すると、16 個の IP アドレス リソースが作成されます。
この IP アドレスを使用するには、プロジェクトで次の IAM 権限が必要です。
compute.addresses.*
(リージョン IP アドレスの場合)compute.globalAddresses.*
(グローバル IP アドレスの場合)
お客様所有 IP アドレスの使用の構成
次の表に、使用可能な BYOIP 構成をまとめます。
構成 | リージョン(v2) | リージョン(v1) | グローバル(v1) |
---|---|---|---|
可用性 | 推奨のリージョン構成 | 新しいリージョン構成にはおすすめしません | 許可リストへのプロジェクトの追加をリクエストする必要があります |
パブリック アドバタイズド プレフィックスのプロビジョニング時間 | 約 2 週間 | 約 4 週間 | 約 4 週間 |
パブリック委任プレフィックスのプロビジョニング時間 | 数分間 | 4 週間 パブリック アドバタイズド プレフィックスのプロビジョニング時間と重複する可能性があります |
4 週間 パブリック アドバタイズド プレフィックスのプロビジョニング時間と重複する可能性があります |
サブプレフィックスのプロビジョニング時間 | 数分間 | 数分間 | 数分間 |
BGP アナウンスメント | パブリック アドバタイズド プレフィックスは、プロビジョニングされたときに自動的にアナウンスされません。アドバタイジングをアナウンスまたは取り消すタイミングはユーザーが決定します。 | パブリック アドバタイズド プレフィックスは、プロビジョニングの完了後に自動的にアナウンスされます。 | パブリック アドバタイズド プレフィックスは、プロビジョニングの完了後に自動的にアナウンスされます。 |
IP スタック |
|
IPv4 | IPv4 |
IPv4 プレフィックス
次の表に、IPv4 プレフィックスの CIDR 範囲の要件をまとめます。
構成 | リージョン(v2) | リージョン(v1) | グローバル(v1) |
---|---|---|---|
パブリック アドバタイズド プレフィックス | /16 から /24 |
/16 から /24 |
/16 から /24 |
パブリック委任プレフィックス(サブプレフィックスではなく最上位) |
パブリック アドバタイズド プレフィックスと同じサイズか、それよりも小さく(プレフィックス長を長く)することができます。 |
パブリック アドバタイズド プレフィックスより小さく(プレフィックス長を長く)にする必要があります |
パブリック アドバタイズド プレフィックスより小さく(プレフィックス長を長く)にする必要があります |
サブプレフィックス |
親のパブリック委任プレフィックスと同じサイズか、それよりも小さい(プレフィックス長を長く)することができます。 最小サイズ(最大プレフィックス長)は/28 です。 |
親のパブリック委任プレフィックスと同じサイズか、それよりも小さい(プレフィックス長を長く)することができます。 最小サイズ(最大プレフィックス長)は/28 です。 |
親のパブリック委任プレフィックスと同じサイズか、それよりも小さい(プレフィックス長を長く)することができます。 最小サイズ(最大プレフィックス長)は |
IPv6 プレフィックス
次の表に、IPv6 プレフィックスの CIDR 範囲の要件をまとめます。
構成 | リージョン(v2) |
---|---|
パブリック アドバタイズド プレフィックス | 最小サイズ(最大プレフィックス長)は /48 です。 |
パブリック委任プレフィックス(サブプレフィックスではなく最上位) | 親パブリック アドバタイズド プレフィックスと同じサイズか、それよりも小さく(プレフィックス長を長く)することができます。 有効な長さ: 最上位のパブリック委任プレフィックスとその親パブリック アドバタイズド プレフィックスのプレフィックス長の差は 24 以下にする必要があります。 |
サブプレフィックス |
親のパブリック委任プレフィックスと同じサイズか、それよりも小さい(プレフィックス長を長く)することができます。 有効な長さ: サブプレフィックスとその親パブリック委任プレフィックスのプレフィックス長の差は 24 以下にする必要があります。 |
転送ルールに割り当て可能なプレフィックス | 親パブリック委任プレフィックスより小さい値にする必要があります。割り当て可能なプレフィックス長と親サブプレフィックス長の差は 8 から 32 までにする必要があります。 デフォルトの長さ:
|
制限事項
プロビジョニングには数週間かかります。この期間を短縮することはできません。プロビジョニング時間の詳細については、お客様所有 IP の使用の構成をご覧ください。
パブリック委任プレフィックスは、パブリック アドバタイズド プレフィックスから最大 3 回まで委任できます。詳細については、サブプレフィックスを作成するをご覧ください。
パブリック委任プレフィックスから IPv4 アドレスを作成する場合、アドレス グループの長さは
/17
~/28
に設定できます。1 つの/32
アドレスのように、小さなアドレス グループを作成することはできません。VPC ネットワークのサブネットに限定公開のパブリック IP アドレス範囲を使用する場合、インポートされた BYOIP プレフィックスがこれらの IP アドレス範囲と重複しないようにする必要があります。インポートした BYOIP プレフィックスの一部を、プライマリまたはセカンダリの IPv4 サブネット範囲として使用しないでください。
グローバル IPv6 BYOIP アドレスを作成したり、VM で IPv6 BYOIP アドレスを使用することはできません。IPv6 BYOIP プレフィックスはリージョン アドレスのみをサポートし、外部パススルー ネットワーク ロードバランサの転送ルールにのみ使用できます。
すべてのリソースが BYOIP アドレスの使用をサポートしているわけではありません。詳細については、BYOIP アドレスのサポートをご覧ください。
BYOIP アドレスのサポート
IPv4 BYOIP アドレスは、静的外部 IP アドレスをサポートするほとんどのリソースで使用できます。ただし、次のような例外があります。
Cloud VPN では、IPv4 BYOIP アドレスを Classic VPN ゲートウェイ トンネルのピア IP アドレスとして使用できます。ただし、BYOIP アドレスを HA VPN ゲートウェイ トンネルのピア IP アドレスとして使用することはできません。
Cloud VPN では、Classic VPN ゲートウェイ トンネルまたは HA VPN ゲートウェイ トンネルの外部 IP アドレスとして IPv4 BYOIP アドレスを使用することはサポートされていません。
リージョン外部アプリケーション ロードバランサやリージョン外部プロキシ ネットワーク ロードバランサでは、v2 リージョン BYOIP アドレスを使用できません。
共有 VPC ホスト プロジェクトに IPv4 BYOIP アドレスを作成し、サービス プロジェクトでホスト プロジェクトの IP アドレスを使用できます。ただし、共有 VPC では、サービス プロジェクト内に BYOIP アドレスを作成することはサポートされていません。
IPv4 BYOIP アドレスを使用して、外部アプリケーション ロードバランサ用の GKE Ingress で使用される外部転送ルールを作成できます。ただし、Google Kubernetes Engine のノードと Pod は BYOIP アドレスをサポートしていません。
ステートフル マネージド インスタンス グループ(MIG)では、MIG で VM 作成時の静的 IP アドレスを構成する際に IPv4 BYOIP アドレスを使用できます。ただし、VM に IP アドレスを自動的に割り振る MIG は BYOIP をサポートしていません。
IPv6 BYOIP アドレスは、外部パススルー ネットワーク ロードバランサの転送ルールにのみ使用できます。
パブリック IP 管理者のロール
Compute パブリック IP 管理者のロール(roles/compute.publicIpAdmin
)を割り当てると、BYOIP プレフィックスと IP アドレスの管理者を指定できます。このロールを持つ管理者は、組織内で公開ルーティングが可能な IP を管理できます。
パブリック IP 管理者は次の操作を行えます。
- 所有するプロジェクトでパブリック アドバタイズド プレフィックスを構成する。
- パブリック アドバタイズド プレフィックスを、所有するプロジェクトのパブリック デリゲート プレフィックスに構成する。
- パブリック デリゲート プレフィックスから、組織内の特定のプロジェクトにサブプレフィックスを委任する。
- 以前パブリック デリゲート プレフィックスから組織内の特定のプロジェクトに委任されたサブプレフィックスを取り消す。
- パブリック委任プレフィックスを削除する。
BYOIP アドレスでポートを開く
BYOIP アドレスにポートスキャンを実行すると、予期しない結果が返されることがあります。グローバル BYOIP アドレスは、Google Front End(GFE)と呼ばれるインフラストラクチャ サービスによって実装されます。BYOIP アドレスでは、未使用の場合でもオープンポートがあるように見えることがあります。これらのポートが GFE を共有する他の Google サービスで使用されているためです。これらのポートへのトラフィックは破棄され、ログに記録されません。
グローバル IP アドレスは、サポートされているロードバランサのみで使用されます。ロードバランサのオープンポートの詳細については、以下をご覧ください。
割り当てと上限
パブリック委任プレフィックスとパブリック アドバタイズド プレフィックスには、割り当てと上限があります。詳細については、VPC の割り当てと上限をご覧ください。