お客様所有 IP アドレスの使用
お客様所有 IP アドレス(BYOIP)を使用すると、Google Cloud リソースに独自のパブリック IPv4 アドレスをプロビジョニングして使用できます。インポートされた IP アドレスは、Google Cloud により、Google 提供の IP アドレスと同じ方法で管理されます。ただし、次の点が異なります。
自社所有の IP アドレスは、取り込んだユーザーだけが利用できます。
アイドル状態と使用中の IP アドレスについては課金されません。
ライブ マイグレーションを使用すると、Google がプレフィックスのルート アドバタイジングを開始するタイミングを制御できます。デフォルトでは、ライブ マイグレーションは利用できません。アクセス権をリクエストするには、Google Cloud カスタマー エンジニアにお問い合わせください。
概要
お客様所有 IP アドレスを使用するには、パブリック アドバタイズド プレフィックス(PAP)を作成します。ROA とリバース DNS 検証を使用して、このパブリック アドバタイズド プレフィックスの所有権を検証します。検証が完了したら、このプレフィックスのインターネットへのアナウンスを構成しますが、プレフィックスはプロビジョニングされるまでアドバタイズされません。パブリック アドバタイズド プレフィックスがプロビジョニングされるまでに約 4 週間かかります。
パブリック アドバタイズド プレフィックスがプロビジョニングされるのを待つ間、プレフィックスをパブリック委任プレフィックス(PDP)に分割します。これにより、パブリック委任プレフィックスをさらに分割することも、割り当て可能な IP アドレスの作成に使用することもできます。パブリック委任プレフィックスがプロビジョニングされるまでに約 4 週間かかります。
デフォルトでは、パブリック委任プレフィックスのプロビジョニングが完了すると、パブリック アドバタイズド プレフィックスがインターネットにアドバタイズされます。ライブ マイグレーションを使用する場合は、プレフィックスをアナウンスする準備ができたら、追加の手順を完了する必要があります。詳細については、ライブ マイグレーションをご覧ください。
パブリック アドバタイズド プレフィックス
パブリック アドバタイズド プレフィックス(PAP)は、Google Cloud に取り込んだ IP プレフィックスを表す Compute Engine のリソースです。これにより、自社独自のプレフィックスから IP アドレスを Google Cloud リソースに割り振ることができます。パブリック アドバタイズド プレフィックスは、ルート アドバタイズの単一ユニットです。Google のグローバル バックボーンは、すべての接続拠点からパブリック アドバタイズド プレフィックスをアドバタイズします。パブリック アドバタイズド プレフィックスの IP アドレスは常に、Network Service Tiers のプレミアム ティアを使用します。
パブリック アドバタイズド プレフィックスは、グローバル パブリック委任プレフィックスまたはリージョン パブリック委任プレフィックスのいずれかに使用できますが、両方には使用できません。
パブリック アドバタイズド プレフィックスが 2023 年 7 月 10 日より前に作成された場合は、BYOIP の動作変更をご覧ください。
新しいパブリック アドバタイズド プレフィックスを作成する際には、最小サイズ/24の CIDR 範囲を持つ、IPv4 IP 範囲が必要です。たとえば、より小さな CIDR 範囲(/25 など)は、新しいパブリック アドバタイズド プレフィックスとして作成できません。ただし、作成後、/24 や /23 などのパブリック アドバタイズド プレフィックスをより小さなパブリック デリゲート プレフィックスに分割できます。
パブリック委任プレフィックス
パブリック委任プレフィックス(PDP)は、単一のスコープ(特定のリージョンまたはグローバル)内で構成されたパブリック アドバタイズド プレフィックス内の IP ブロックです。IP ブロックは、プロジェクトまたは組織に IP アドレスを割り振る前に、委任してスコープに割り当てる必要があります。
グローバル パブリック委任プレフィックスの作成は、許可リストによって制御されます。詳細については、グローバル パブリック委任プレフィックスをご覧ください。
単一のパブリック委任プレフィックスを複数のより小さなブロックに分割することもできます。この場合、分割したブロックのスコープは親ブロックと同じでなければなりません。特定のスコープ内に、連続していない複数のパブリック委任プレフィックスを構成できます。こうしたより小さなブロックもパブリック委任プレフィックスですが、サブプレフィックスとも呼ばれます。
グローバル パブリック委任プレフィックス
グローバル パブリック委任プレフィックスを作成するには、グローバル パブリック委任プレフィックスの作成のみに使用されるパブリック アドバタイズド プレフィックスを使用する必要があります。グローバル プレフィックスを作成するアクセス権が付与されたプロジェクトでは、パブリック委任プレフィックスを作成する必要があります。
アクセス権をリクエストするには、サポートケースを送信して、グローバル パブリック委任プレフィックスを作成するための許可リストにプロジェクトを登録するようにリクエストします。
IP アドレス
パブリック委任プレフィックスまたはサブプレフィックスから IP アドレスを作成する場合、その IP アドレスは、割り振られたプロジェクトとスコープ内でのみ使用できます。パブリック委任プレフィックスまたはサブプレフィックス内の IP アドレスは、すべて使用できます。予約済みのネットワーク アドレスやブロードキャスト アドレスはありません。たとえば、/28 パブリック委任プレフィックスまたはサブプレフィックスを使用して IP アドレスを作成すると、16 個の IP アドレス リソースが作成されます。
この IP アドレスを使用するには、プロジェクトで次の IAM 権限が必要です。
compute.addresses.*(リージョン IP アドレスの場合)compute.globalAddresses.*(グローバル IP アドレスの場合)
お客様所有 IP の使用の構成
次の表に、使用可能な BYOIP 構成をまとめます。
| 構成 | リージョン(v2) | リージョン(v1) | グローバル(v1) |
|---|---|---|---|
| 可用性 | 推奨のリージョン構成 | 新しいリージョン構成にはおすすめしません | 許可リストへのプロジェクトの追加をリクエストする必要があります |
| パブリック アドバタイズド プレフィックスのプロビジョニング時間 | 約 2 週間 | 約 4 週間 | 約 4 週間 |
| パブリック委任プレフィックスのプロビジョニング時間 | 数分間 | 4 週間 パブリック アドバタイズド プレフィックスのプロビジョニング時間と重複する可能性があります |
4 週間 パブリック アドバタイズド プレフィックスのプロビジョニング時間と重複する可能性があります |
| サブプレフィックスのプロビジョニング時間 | 数分間 | 数分間 | 数分間 |
| BGP アナウンスメント | パブリック アドバタイズド プレフィックスは、プロビジョニングされたときに自動的にアナウンスされません。アドバタイジングをアナウンスまたは取り消すタイミングはユーザーが決定します。 | デフォルトでは、パブリック アドバタイズド プレフィックスは、プロビジョニングの完了後に自動的にアナウンスされます。
BGP アナウンスメント制御は、ライブ マイグレーション(許可リストから利用可能)でのみ使用できます。 |
パブリック アドバタイズド プレフィックスは、プロビジョニングの完了後に自動的にアナウンスされます。 |
| パブリック アドバタイズド プレフィックスのサイズ | /16 から /24 |
/16 から /24 |
/16 から /24 |
| パブリック委任プレフィックスのサイズ |
パブリック アドバタイズド プレフィックスと同じサイズか、それよりも小さくすることができます。 |
パブリック アドバタイズド プレフィックスより小さい値にする必要があります。 |
パブリック アドバタイズド プレフィックスより小さい値にする必要があります。 |
制限事項
プロビジョニングには数週間かかります。この期間を短縮することはできません。プロビジョニング時間の詳細については、お客様所有 IP の使用の構成をご覧ください。
パブリック委任プレフィックスは、パブリック アドバタイズド プレフィックスから最大 3 回まで委任できます。詳細については、サブプレフィックスを作成するをご覧ください。
パブリック委任プレフィックスからアドレスを作成する場合、アドレス グループのサイズは
/17~/28に設定できます。1 つの/32アドレスのように、小さなアドレス グループを作成することはできません。VPC ネットワークのサブネットに限定公開のパブリック IP アドレス範囲を使用する場合、インポートされた BYOIP プレフィックスがこれらの IP アドレス範囲と重複しないようにする必要があります。インポートした BYOIP プレフィックスの一部を、プライマリまたはセカンダリの IPv4 サブネット範囲として使用しないでください。
IPv6 アドレスのインポートはサポートされていません。
BYOIP アドレスのサポート
BYOIP アドレスは静的外部 IP アドレスであり、静的外部 IP アドレスをサポートするほとんどのリソースで使用できますが、いくつかの例外があります。
Cloud VPN では、BYOIP アドレスを Classic VPN ゲートウェイ トンネルのピア IP アドレスとして使用できます。ただし、BYOIP アドレスを HA VPN ゲートウェイ トンネルのピア IP アドレスとして使用することはできません。
Cloud VPN では、Classic VPN ゲートウェイ トンネルまたは HA VPN ゲートウェイ トンネルの外部 IP アドレスとして BYOIP アドレスを使用することはサポートされていません。
共有 VPC ホスト プロジェクトに BYOIP アドレスを作成し、サービス プロジェクトでホスト プロジェクトの IP アドレスを使用できます。ただし、共有 VPC では、サービス プロジェクト内に BYOIP アドレスを作成することはサポートされていません。
BYOIP アドレスを使用して、外部アプリケーション ロードバランサ用の GKE Ingress で使用される外部転送ルールを作成できます。ただし、Google Kubernetes Engine のノードと Pod は BYOIP アドレスをサポートしていません。
ステートフル マネージド インスタンス グループ(MIG)では、MIG で VM 作成時の静的 IP アドレスを構成する際に BYOIP アドレスを使用できます。ただし、VM に IP アドレスを自動的に割り振る MIG は BYOIP をサポートしていません。
パブリック IP 管理者のロール
Compute パブリック IP 管理者のロール(roles/compute.publicIpAdmin)を割り当てると、BYOIP プレフィックスと IP アドレスの管理者を指定できます。このロールを持つ管理者は、組織内で公開ルーティングが可能な IP を管理できます。
パブリック IP 管理者は次の操作を行えます。
- 所有するプロジェクトでパブリック アドバタイズド プレフィックスを構成する。
- パブリック アドバタイズド プレフィックスを、所有するプロジェクトのパブリック デリゲート プレフィックスに構成する。
- パブリック デリゲート プレフィックスから、組織内の特定のプロジェクトにサブプレフィックスを委任する。
- 以前パブリック デリゲート プレフィックスから組織内の特定のプロジェクトに委任されたサブプレフィックスを取り消す。
- パブリック委任プレフィックスを削除する。
BYOIP アドレスでポートを開く
BYOIP アドレスにポートスキャンを実行すると、予期しない結果が返されることがあります。グローバル BYOIP アドレスは、Google Front End(GFE)と呼ばれるインフラストラクチャ サービスによって実装されます。BYOIP アドレスでは、未使用の場合でもオープンポートがあるように見えることがあります。これらのポートが GFE を共有する他の Google サービスで使用されているためです。これらのポートへのトラフィックは破棄され、ログに記録されません。
グローバル IP アドレスは、サポートされているロードバランサのみで使用されます。ロードバランサのオープンポートの詳細については、以下をご覧ください。
割り当てと上限
パブリック委任プレフィックスとパブリック アドバタイズド プレフィックスには、割り当てと上限があります。詳細については、VPC の割り当てと上限をご覧ください。