お客様所有 IP アドレスの使用の計画

お客様所有 IP アドレス(BYOIP)を使用すると、Google Cloud リソースに独自のパブリック IPv4 アドレスをプロビジョニングして使用できます。インポートされた IP アドレスは、Google Cloud により、Google 提供の IP アドレスと同じ方法で管理されます。ただし、次の点が異なります。

  • 自社所有の IP アドレスは、取り込んだユーザーだけが利用できます。

  • アイドル状態と使用中の IP アドレスについては課金されません。

デプロイの計画

プロビジョニングと削除のプロセスが完了するまでには数週間かかるため、デプロイを計画しておくことが重要です。プロビジョニングのタイムラインと許可されるプレフィックス サイズの詳細については、制限事項をご覧ください。

デプロイの計画時に考慮すべき事項は次のとおりです。

  • BYOIP アドレス管理の責任者。通常、個々のプロジェクトを管理するユーザーではない管理者またはグループが担当します。IAM のロールと権限を使用して、プロビジョニングするパブリック アドバタイズド プレフィックスとパブリック委任プレフィックスの権限を持つユーザーを区別します。

  • プレフィックスの管理方法。複数のプロジェクトの BYOIP アドレスの使用が必要になる場合があります。IP アドレスの最終的な宛先とは異なるプロジェクト内でプレフィックスを一元的に管理できます。パブリック IP 管理者権限を持つ独自のユーザーとグループを持つ独自のプロジェクトを作成し、プレフィックス管理を分離することをおすすめします。そうすることで、プレフィックス管理における混乱や、プレフィックスの意図されていない使用、不正使用を防げます。詳細については、プロジェクト アーキテクチャをご覧ください。

  • プレフィックスの命名方法。すべての BYOIP リソース(パブリック アドバタイズド プレフィックス、パブリック デリゲート プレフィックス、サブプレフィックス)には名前が必要です。名前は各リソースの管理に使用されます。名前はリソース作成時に割り当てます。この名前は、リソースを削除して再作成しない限り変更できません。このため、変更する必要がない汎用名で作成することをおすすめします。たとえば、pap-203-0-113-0-24pdp-203-0-113-0-25sub-203-0-113-0-28 のようにします。ここで、文字はリソースタイプ、数字は特定のプレフィックスとその長さを示します。

  • IP アドレスがプロビジョニングされる場所。プロビジョニング プロセスは、リージョン(またはグローバル スコープ)に IP を「ストック」するものと考えることができます。IP アドレスをストックするプロビジョニング プロセスが完了するまでには数週間かかります。そのため、パブリック委任プレフィックスは、必要になる前に十分な余裕を持って計画し、デプロイすることが大切です。

    パブリック委任プレフィックスのすべての IP をすぐに使用する必要はありません。どこで必要になるかが不明な場合は、確実に使用するパブリック委任プレフィックスのみをプロビジョニングします。パブリック委任プレフィックスを移動するには、完全に削除して再作成する必要があり、約 8 週間かかります。

    パブリック委任プレフィックスのプロビジョニングが完了したら、プロジェクトにサブプレフィックスを委任し、リソースで使用するアドレスを作成できます。あるリージョンで BYOIP アドレスが必要になると予測している場合、事前にパブリック委任プレフィックスのプロビジョニング プロセスを完了しておくことで、後は必要になったときにアドレスの指定を行うだけで済みます。

    たとえば、us-central1 に IP アドレスが必要で、グローバル ロードバランサにも IP アドレスがいくつか必要で、さらに、将来のためにいくつかの IP アドレスを予約する場合は、次のプランを作成する必要があります。

    プレフィックスの種類 プレフィックス スコープ
    パブリック アドバタイズド プレフィックス 203.0.113.0/24
    パブリック デリゲート プレフィックス 203.0.113.0/28 us-central1
    パブリック委任プレフィックス 203.0.113.16/28 us-east-4
    グローバル ロードバランサのパブリック アドバタイズド プレフィックス 192.0.2.0/24
    パブリック委任プレフィックス 192.0.2.0/28 グローバル

    残りの IP アドレスは、将来の使用のために予約されます。

プロジェクト アーキテクチャ

組織を利用して、組織レベルでの IAM 権限や共有 VPC などの有用な機能を活用することをおすすめします。組織の利用の詳細については、組織の作成と管理をご覧ください。

組織内の BYOIP アドレス管理

この例のように、組織に属するプロジェクトには、BYOIP アドレスの管理に使用される専用のプロジェクト Public IP project があります。組織のパブリック IP 管理者は、Public IP project にパブリック アドバタイズド プレフィックスとパブリック デリゲート プレフィックスを事前に作成します。

VPC project でパブリック IP アドレスが必要な場合は、組織のパブリック IP 管理者が VPC project に IP アドレスを作成します。

組織に複数のプロジェクトを含めることができ、パブリック IP 管理者は Public IP project からすべてのプロジェクトに IP アドレスを委任できます。

図 3. 組織とプロジェクトを使用して BYOIP アドレスを管理できます。

共有 VPC を使用した BYOIP アドレス管理

この例のように、共有 VPC を持つ組織には、BYOIP アドレスの管理に使用される専用のプロジェクト Public IP project があります。組織のパブリック IP 管理者は Public IP project にパブリック アドバタイズド プレフィックスとパブリック委任プレフィックスを事前に作成します。

Shared VPC host project または関連サービス プロジェクトでパブリック IP アドレスが必要な場合は、組織のパブリック IP 管理者が Shared VPC host project に IP アドレスを作成します。ホスト プロジェクトとサービス プロジェクトは、ホスト プロジェクトから BYOIP アドレスにアクセスできます。

共有 VPC サービス プロジェクトでの IP アドレスの作成はサポートされていません。

図 4. 共有 VPC ホスト プロジェクトに BYOIP アドレスを委任することはできますが、共有 VPC サービス プロジェクトに委任することはできません。ただし、サービス プロジェクトはホスト プロジェクトに委任された BYOIP アドレスを使用できます。

組織を使用しない BYOIP アドレス管理

組織に帰属しないプロジェクトを使用する場合、BYOIP アドレス管理用に個別のプロジェクトを作成することはできません。BYOIP アドレスが必要な 1 つのプロジェクトにパブリック アドバタイズド プレフィックスとパブリック デリゲート プレフィックスを作成します。

次のステップ