自備 IP 位址

自備 IP 位址 (BYOIP) 可讓您為 Google Cloud 資源佈建及使用自己的公開 IP 位址。匯入 IP 位址後,Google Cloud 會以與 Google 提供的 IP 位址相同的方式管理這些位址,但有以下例外狀況:

  • 只有攜入 IP 位址的客戶才能使用這些位址。

  • 閒置或使用中的 IP 位址不會產生費用。

總覽

如要將自有 IP 帶到 Google,請建立公開通告前置字串 (PAP)。系統會使用 ROA 和反向 DNS 驗證,驗證這個公開 advertise 前置碼的擁有權。驗證完成後,我們會設定向網際網路公告這個前置字串,但前置字串必須經過佈建,才會開始發布。公開 advertise 的前置字串佈建約需四週。

等待公開通告前置字串佈建完成時,您可以將前置字串分割為公開委派前置字串 (PDP)。然後,您可以進一步分割公開委派前置字串,或使用該字串建立可指派的 IP 位址。公開委派前置字串的佈建作業約需四週。

公開委派前置字串佈建完成後,系統會向網際網路發布公開通告的前置字串。

圖 1. 建立公開通告前置字串和公開委派前置字串的工作流程。

公開 advertise 的前置碼

公開通告前置字串 (PAP) 是 Compute Engine 中的資源,代表您帶入 Google Cloud的 IP 前置字串。這可讓您從自己的前置字串將 IP 位址分配給 Google Cloud 資源。公開 advertise 的前置碼是單一路徑通告單元。Google 的全球骨幹會從所有存在點通告公開通告的前置字串。公開通告前置字串中的 IP 位址一律使用網路服務等級的進階級。

公開通告的前置字串可用於建立全域或區域性的公開委派前置字串,但不能同時建立這兩種字串。

如果您的公開通告前置字串是在 2023 年 7 月 10 日前建立,請參閱「自備 IP 的行為變更」。

公開委派前置字串

公開委派前置字串 (PDP) 是公開通告前置字串中的 IP 位址區塊,可在單一範圍 (特定區域或全球) 內設定。您必須先將 IP 區塊委派及指派給範圍,才能將 IP 位址分配給專案或機構。

全域公開委派前置字串的建立作業由允許清單控管。詳情請參閱「全域公開委派前置字串」。

您可以將單一委派的公開前置字串拆成多個較小的區塊,但這些區塊必須與父項區塊具有相同的範圍。您可以在指定範圍內設定多個不連續的公開委派前置字串。這些較小的區塊是公開委派前置字串,但也可稱為子前置字串。

全域公開委派前置字串

如要建立全域公開委派前置字串,您必須使用公開通告前置字串,該字串只能用於建立全域公開委派前置字串。您必須在已獲權建立全域前置字串的專案中,建立公開委派前置字串。

如要申請存取權,請提出支援案件,要求將專案加入全域公開委派前置字串建立作業的許可清單。

IP 位址

從公開委派前置字串或子前置字串建立 IP 位址時,這些 IP 位址只能在分配到的專案和範圍內使用。公開委派前置碼或子前置碼中的所有 IP 位址都會提供使用,沒有保留的網路位址或廣播位址。舉例來說,如果您使用/28公開委派前置字串或子前置字串建立 IP 位址,系統會建立 16 個 IP 位址資源。

只要使用者在專案中具備適當的 IAM 權限,即可使用 IP 位址:

  • compute.addresses.* (適用於區域 IP 位址)
  • compute.globalAddresses.* 全域 IP 位址

自備 IP 設定

下表摘要說明可用的自備 IP 設定。

設定 區域 (v2) 區域 (第 1 版) 全球 (第 1 版)
可用性 建議的區域設定 不建議用於新的區域設定 必須要求將專案加入許可清單
公開 advertise 前置碼的佈建時間 約 2 週 約 4 週 約 4 週
公開委派前置字串佈建時間 幾分鐘 4 週

可與公開 advertise 前置碼佈建時間重疊

4 週

可與公開 advertise 前置碼佈建時間重疊

子前置碼佈建時間 幾分鐘 幾分鐘 幾分鐘
BGP 公告 公開通告前置字串佈建完成後,不會自動發布。您可以自行決定何時發布或撤回廣告。 佈建完成後,系統會自動發布公開通告的前置碼。 佈建完成後,系統會自動發布公開通告的前置碼。
IP 堆疊
  • IPv4
  • IPv6 (僅適用於外部直通式網路負載平衡器和專門用於代管 VM 的子網路)
IPv4 IPv4

IPv4 前置碼

下表摘要說明 IPv4 前置碼的 CIDR 範圍規定。

設定 區域 (v2) 區域 (第 1 版) 全球 (第 1 版)
公開 advertise 的前置碼 /16/24 /16/24 /16/24
公開委派前置字串 (頂層,而非子前置字串)

/16/28

可與公開 advertise 的前置碼大小相同或較小 (前置碼長度較長)

/17/28

必須小於公開 advertise 的前置碼 (前置碼長度較長)

/17/28

必須小於公開 advertise 的前置碼 (前置碼長度較長)
子前置碼

可與父項公開委派前置字串大小相同或較小 (前置字串長度較長)

最小大小 (最大前置字串長度) 為 /28

可與父項公開委派前置字串大小相同或較小 (前置字串長度較長)

最小大小 (最大前置字串長度) 為 /28

可與父項公開委派前置字串大小相同或較小 (前置字串長度較長)

最小大小 (最大前置字串長度) 為 /28

IPv6 前置碼

下表摘要說明 IPv6 前置碼的 CIDR 範圍規定。

設定 區域 (v2)
公開 advertise 的前置碼 最小大小 (最大前置字串長度) 為 /48
公開委派前置字串

(頂層,而非子前置碼)

可與父項公開 advertise 的前置碼大小相同或較小 (前置碼長度較長)

有效長度:/32/40/48/56

頂層公開委派前置碼與上層公開通告前置碼的前置碼長度差異不得超過 24
子前置碼

可與父項公開委派前置字串大小相同或較小 (前置字串長度較長)

有效長度:

  • 委派或轉送規則建立模式:/32/40/48/56/64/72
  • 子網路建立模式:/32/40/48/56
  • 子網路建立模式子前置字元的父項:/32/40/48/56

子前置字串的前置字串長度與父項公開委派前置字串的前置字串長度差異,不得大於 24
轉送規則的可分配前置字串長度

決定轉送規則使用的 IPv6 位址範圍前置字串長度

為轉送規則建立 IPv6 子前置字串時,由「可分配的前置字串長度」欄位指定

必須小於相關聯的子前置字串,可分配前置字串長度和子前置字串長度之間的差異必須至少為 8,且不得大於 32

有效長度:/48/56/64/72/80/88/96

預設長度:

  • 如果父項子前置字串的長度為 /64/72,則預設可分配的前置字串長度為 /96
  • 否則,預設可分配的前置字串長度為 /64

限制

  • 佈建作業需要數週時間,無法加快速度。如要進一步瞭解佈建時間,請參閱「自備 IP 設定」。

  • 公開委派前置字串最多可從公開通告前置字串次委派三次。詳情請參閱建立子字首

  • 從公開委派前置字串建立 IPv4 位址時,位址群組的長度可以是 /17/28。您無法建立較小的地址群組,例如單一 /32 地址。

  • 如果您在虛擬私有雲網路的任何子網路中使用私用公開 IP 位址範圍,匯入的 BYOIP 前置字元不得與這些 IP 位址範圍重疊。請勿使用匯入的 BYOIP 前置碼的任何部分,做為主要或次要 IPv4 子網路範圍。

  • 您無法建立全域 IPv6 BYOIP 位址。IPv6 BYOIP 前置字串僅支援區域位址,可用於下列用途:

    • 外部直通式網路負載平衡器的轉送規則
    • 子網路的外部 IP 位址範圍,只能用於代管虛擬機器 (VM) 執行個體

  • 並非所有資源都支援使用 BYOIP 位址。詳情請參閱支援自備 IP 位址

支援自備 IP 位址

IPv4 BYOIP 位址可與大多數支援靜態外部 IP 位址的資源搭配使用。但有以下例外情況:

  • Cloud VPN 支援使用 IPv4 BYOIP 位址做為傳統 VPN 閘道通道的對等互連 IP 位址。不過,您無法使用 BYOIP 位址做為高可用性 VPN 閘道通道的對等互連 IP 位址。

  • Cloud VPN 不支援將 IPv4 BYOIP 位址做為傳統 VPN 或高可用性 VPN 閘道通道的外部 IP 位址。

  • 您可以在共用虛擬私有雲主專案中建立 IPv4 BYOIP 位址,並在服務專案中使用主專案 IP 位址。不過,共用虛擬私有雲不支援在服務專案中建立 BYOIP 位址。

  • 您可以使用 IPv4 BYOIP 位址建立外部轉送規則,搭配 GKE Ingress 使用,適用於外部應用程式負載平衡器。不過,Google Kubernetes Engine 節點和 Pod 不支援 BYOIP 位址。

  • 具狀態代管執行個體群組 (MIG) 支援使用 IPv4 BYOIP 位址,在 MIG 中建立 VM 時設定靜態 IP 位址。不過,如果 MIG 會自動將 IP 位址分配給 VM,則不支援 BYOIP。

IPv6 BYOIP 位址只能用於下列用途:

  • 外部直通式網路負載平衡器的轉送規則
  • 只能代管 VM 的子網路外部 IP 位址範圍

Public IP 管理員角色

您可以指派 Compute Public IP 管理員角色 (roles/compute.publicIpAdmin),為自有 IP 前置字元和位址指派管理員。這個角色可讓管理員管理貴機構中可公開路由傳送的 IP 位址。

公開 IP 管理員可以執行下列工作:

  • 在所屬專案中設定公開通告的前置字串。
  • 在所屬專案中,將公開 advertise 的前置字串設定為公開委派前置字串。
  • 將公開委派前置字串的子前置字串委派給機構中的特定專案。
  • 撤銷先前從公開委派前置字串委派給機構中特定專案的子前置字串。
  • 刪除公開委派前置字串。

在自有 IP 位址上開啟通訊埠

在 BYOIP 位址上執行連接埠掃描時,可能會傳回非預期的結果。全球 BYOIP 位址是由稱為 Google Front End (GFE) 的基礎架構服務實作。即使 BYOIP 位址未使用,也可能會顯示開放的通訊埠,因為這些通訊埠是由其他也共用 GFE 的 Google 服務使用。系統會捨棄這些通訊埠的流量,且不會記錄。

只有支援的負載平衡器才能使用全域 IP 位址。如要進一步瞭解負載平衡器上的開放通訊埠,請參閱下列文章:

配額與限制

公開委派前置字串和公開 advertise 前置字串都有配額和限制。詳情請參閱 VPC 配額與限制

後續步驟