パブリック アドバタイズド プレフィックスを作成する
Google Cloud にお客様所有 IP アドレス(BYOIP)を移行できます。Google でお客様が IP 範囲を所有することが確認され、IP アドレスが Google Cloud にインポートされると、これらの IP アドレスをサポートされるリソースに割り振ることができます。
IPv4 アドレス範囲と IPv6 アドレス範囲を Google Cloud にインポートできます。IPv4 アドレスは、外部 IP アドレスをサポートするほとんどの Google Cloud リソースで使用できます。IPv6 アドレスは、外部パススルー ネットワーク ロードバランサでのみ使用できます。詳細については、BYOIP アドレスのサポートをご覧ください。
お客様所有 IP アドレスを使用する際の最初の手順は、パブリック アドバタイズド プレフィックスを作成することです。次のオプションが用意されています。
構成 | リージョン(v2) | リージョン(v1) | グローバル(v1) |
---|---|---|---|
可用性 | 推奨のリージョン構成 | 新しいリージョン構成にはおすすめしません | 許可リストへのプロジェクトの追加をリクエストする必要があります |
パブリック アドバタイズド プレフィックスのプロビジョニング時間 | 約 2 週間 | 約 4 週間 | 約 4 週間 |
パブリック委任プレフィックスのプロビジョニング時間 | 数分間 | 4 週間 パブリック アドバタイズド プレフィックスのプロビジョニング時間と重複する可能性があります |
4 週間 パブリック アドバタイズド プレフィックスのプロビジョニング時間と重複する可能性があります |
サブプレフィックスのプロビジョニング時間 | 数分間 | 数分間 | 数分間 |
BGP アナウンスメント | パブリック アドバタイズド プレフィックスは、プロビジョニングされたときに自動的にアナウンスされません。アドバタイジングをアナウンスまたは取り消すタイミングはユーザーが決定します。 | パブリック アドバタイズド プレフィックスは、プロビジョニングの完了後に自動的にアナウンスされます。 | パブリック アドバタイズド プレフィックスは、プロビジョニングの完了後に自動的にアナウンスされます。 |
IP スタック |
|
IPv4 | IPv4 |
始める前に
- お客様所有 IP アドレスを Google Cloud に移行する場合は、慎重に計画する必要があります。詳細については、お客様所有 IP アドレスの使用の計画をご覧ください。
- 組織を使用して、BYOIP アドレスを管理する専用のプロジェクトを作成することを検討します。詳細については、プロジェクト アーキテクチャをご覧ください。
- インポートするプレフィックスの一部がアドバタイズされていないことを確認します。アドバタイズされている場合は、別のソースからアドバタイズされている間、Google Cloud がアドバタイズしないようにする必要があります。
- リージョン アドレスに v2 パブリック アドバタイズド プレフィックスを作成する場合、プレフィックスのアナウンスメントを制御できます。パブリック アドバタイズド プレフィックスとパブリック委任プレフィックスは作成できますが、Google Cloud からアナウンスする前に、プレフィックスが他の場所でアドバタイズされていないことを確認する必要があります。
- グローバル アドレスに v1 パブリック アドバタイズド プレフィックスを作成する場合、パブリック委任プレフィックスのプロビジョニングが完了すると、プレフィックスは自動的にアナウンスされます。プレフィックスが別のソースからアナウンスされなくなるまで、パブリック委任プレフィックスを作成しないでください。
ロール
このガイドのタスクを行うために必要な権限を取得するには、プロジェクトに対する Compute パブリック IP 管理者(roles/compute.publicIpAdmin
)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
プレフィックスの所有権を検証する
パブリック アドバタイズド プレフィックスを作成する場合、次の 2 つのタスクを完了します。これにより、Google はお客様がこのプレフィックスを所有していることを検証します。
- プレフィックスに ROA(Route Origin Authorization)を作成する。
- プレフィックスの IP アドレスに PTR レコードを作成する。
これらの検証タスクの詳細については、次のセクションで説明します。
検証が完了してから、パブリック アドバタイズド プレフィックスの構成が完了するまでに約 4 週間かかります。
ROA リクエストを作成する
プレフィックスの所有権を証明するには、ROA(Route Origin Authorization)リクエストを作成します。
Google がアドバタイズするプレフィックスのリージョン レジストリを指定して、ROA リクエストを送信します。リクエストには、プレフィックス、プレフィックス長、Google の ASN(396982
)が含まれます。
パブリック アドバタイズド プレフィックスを作成するときに、このプレフィックスの ROA が存在している必要があります。これは、Google の ASN を参照し、パブリック アドバタイズド プレフィックスを削除した後しばらくの間、有効でなければなりません。詳細については、ROA の削除をご覧ください。
同じプレフィックスとプレフィックス長を持ち、オリジンとしてお客様所有の ASN を使用する別の ROA リクエストを送信することをおすすめします。プレフィックスをアドバタイズする必要がある場合は、ROA で独自の ASN を使用することで、リソース公開鍵基盤(RPKI)を使用するネットワークでも、プレフィックスが無効とみなされなくなります。これは、Google のオリジン ASN でもアドバタイズされているためです。
ROA リクエストは、ローカル リージョンのインターネット レジストリによって処理されます。詳しくは、以下のリンク先をご覧ください。
パブリック アドバタイズド プレフィックスを作成する
Google で使用するプレフィックス用としてパブリック アドバタイズド プレフィックスを作成できます。
パブリック アドバタイズド プレフィックスの名前は、リソースを削除して再作成しない限り変更できません。このため、変更する必要がない汎用名で作成することをおすすめします。たとえば、pap-203-0-113-0-24
のようにします。ここで、pap
はリソースタイプ、203-0-113-0-24
は特定のプレフィックスとその長さを示します。
パブリック アドバタイズド プレフィックスを使用してグローバル パブリック委任プレフィックスを作成する場合は、プロジェクトを許可リストに追加する必要があります。詳細については、グローバル パブリック委任プレフィックスをご覧ください。
DNS の検証のために未使用の IP アドレスを選択します。検証では、この IP アドレスの新しい PTR レコードを構成する必要があります。また、パブリック アドバタイズド プレフィックスを作成するまでホスト名は不明です。
コンソール
Google Cloud Console で、[お客様所有 IP アドレスの使用] に移動します。
[Add PAP] をクリックします。
[名前] に、パブリック アドバタイズド プレフィックスの名前を入力します。
[説明] に、パブリック アドバタイズド プレフィックスの任意の説明を入力します。
[IP バージョン] で [IPv4] または [IPv6] を選択します。
インポートするプレフィックスを入力します。
IPv4 プレフィックスをインポートする場合は、パブリック アドバタイズド プレフィックスのスコープ(リージョンまたはグローバル)を選択します。
[次へ] をクリックします。
入力した情報を確認します。このプレフィックスを所有していることを確認するには、[確認] をクリックします。
[IP アドレス] に、追加するプレフィックスの未使用の IP アドレスを入力します。このアドレスは DNS 検証に使用されます。後の手順で、Google 提供のホスト名を使用して PTR レコードを作成する必要があります。
[作成] をクリックします。[検証] 画面に、このリクエストの検証ステータスが表示されます。
gcloud
public-advertised-prefixes create
コマンドを使用します。
グローバル アドレスのパブリック アドバタイズド プレフィックス(v1)を作成するには、次のコマンドを実行します。
gcloud compute public-advertised-prefixes create PAP_NAME \ --range=PAP_IP_RANGE \ --dns-verification-ip=VERIFICATION_IP_ADDRESS
リージョン アドレスのパブリック アドバタイズド プレフィックス(v2)を作成するには、次のコマンドを実行します。
gcloud compute public-advertised-prefixes create PAP_NAME \ --range=PAP_IP_RANGE \ --pdp-scope=REGIONAL \ --dns-verification-ip=VERIFICATION_IP_ADDRESS
リージョン アドレスにパブリック アドバタイズド プレフィックス(v1)を作成することはおすすめしません。代わりに v2 パブリック アドバタイズド プレフィックスを作成します。リージョン アドレスに v1 パブリック アドバタイズド プレフィックスを作成する必要がある場合は、次のコマンドを実行します。
gcloud compute public-advertised-prefixes create PAP_NAME \ --range=PAP_IP_RANGE \ --dns-verification-ip=VERIFICATION_IP_ADDRESS
次のように置き換えます。
PAP_NAME
: 作成するパブリック アドバタイズド プレフィックスの名前。PAP_IP_RANGE
: パブリック アドバタイズド プレフィックスの IP アドレス範囲。範囲は IPv4 アドレス範囲または IPv6 アドレス範囲にできます。VERIFICATION_IP_ADDRESS
: PAP_IP_RANGE から選択された未使用の IP アドレス。このアドレスは DNS 検証に使用されます。後の手順で、Google 提供のホスト名を使用して PTR レコードを作成する必要があります。
PTR レコードに使用する名前を検索する
パブリック アドバタイズド プレフィックスを作成すると、PTR 検証ステップのホスト名として使用する名前が生成されます。
Console
Google Cloud Console で、[お客様所有 IP アドレスの使用] に移動します。
更新するプレフィックスの [ステータスを確認] をクリックします。
PTR 検証に使用する名前と IP アドレスが [DNS 検証] セクションに表示されます。
gcloud
sharedSecret
フィールドから名前を取得するには、public-advertised-prefixes describe
コマンドを使用します。gcloud compute public-advertised-prefixes describe \ PAP_NAME --format='value(sharedSecret)'
必要に応じて、DNS 検証用に指定した IP アドレスを取得できます。
gcloud compute public-advertised-prefixes describe \ PAP_NAME --format='value(dnsVerificationIp)'
両方のコマンドで、PAP_NAME
はパブリック アドバタイズド プレフィックスの名前に置き換えます。
PTR レコードを作成する
Google Cloud にインポートする IP アドレス範囲を所有していることを確認するには、インポートする IP アドレス範囲に使用される DNS ゾーンに一般公開 PTR レコードを作成する必要があります。
PTR レコードで次の値を使用します。
- IP アドレス: パブリック アドバタイズド プレフィックスの作成時に使用した検証用の IP アドレス。
- ホスト名: Google から提供された名前(
sharedSecret
)。 - ドメイン名: インポートする IP アドレス範囲に使用される DNS ゾーンに関連付けられているドメイン名。
例:
IPv4: 検証用の IP アドレスが
203.0.113.144
、203.0.113.0/24
の DNS ドメインがexample.net
、Google から提供された名前が55kk88tt00
の場合、必要な PTR レコードは次のようになります。$ dig +noall +answer -x 203.0.113.144 144.113.0.203.in-addr.arpa. 21599 IN PTR 55kk88tt99.example.net
IPv6: 検証用の IP アドレスが
2001:db8::10
、2001:db8::/32
の DNS ドメインがexample.net
、Google から提供された名前が55kk88tt00
の場合、必要な PTR レコードは次のようになります。$ dig +noall +answer -x 2001:db8::10 0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa 21599 IN PTR 55kk88tt99.example.net.
PTR レコードを検証する
PTR レコードを作成したら、パブリック アドバタイズド プレフィックスを更新して、PTR レコードの検証をトリガーします。
Console
Google Cloud Console で、[お客様所有 IP アドレスの使用] に移動します。
更新するプレフィックスの [ステータスを確認] をクリックします。
[DNS 検証] セクションで、[この PTR レコードを作成しました] チェックボックスをオンにして、[検証] をクリックします。
gcloud
パブリック アドバタイズド プレフィックスのステータスを PTR-CONFIGURED
に変更するには、public-advertised-prefixes update
コマンドを使用します。
ステータスが変わり、PTR レコードの検証がトリガーされます。成功すると、ステータスは VALIDATED
に変わります。失敗した場合、ステータスは REVERSE_DNS_LOOKUP_FAILED
に変わります。
gcloud compute public-advertised-prefixes update PAP_NAME --status=PTR-CONFIGURED
PAP_NAME
は、PTR レコードを作成したパブリック アドバタイズド プレフィックスに置き換えます。
パブリック アドバタイズド プレフィックスのステータスを確認する
Google がパブリック アドバタイズド プレフィックスのプロビジョニングを完了するまでに約 4 週間かかります。プロビジョニングが完了したかどうかは、ステータスで確認できます。
Console
Google Cloud Console で、[お客様所有 IP アドレスの使用] に移動します。
確認するプレフィックスの [ステータスを確認] をクリックします。
[検証] セクションを表示します。
gcloud
パブリック アドバタイズド プレフィックスの説明とそのステータスを取得するには、public-advertised-prefixes describe
コマンドを使用します。
プレフィックスの検証後、ステータス フィールドが VALIDATED
から PREFIX_CONFIGURATION_COMPLETE
に変わります。
gcloud compute public-advertised-prefixes describe PAP_NAME --format='value(status)'
PAP_NAME
は、ステータス情報を取得するパブリック アドバタイズド プレフィックスに置き換えます。