공지된 공개 프리픽스 만들기

Google Cloud에 사용자 IP 주소를 사용(BYOIP)할 수 있습니다. Google에서 사용자가 IP 범위를 소유하고 있는지 확인한 후 IP 주소를 Google Cloud로 가져오면 지원되는 리소스에 사용자 IP 주소를 할당할 수 있습니다.

IPv4 및 IPv6 주소 범위를 Google Cloud로 가져올 수 있습니다.l IPv4 주소는 외부 IP 주소를 지원하는 대부분의 Google Cloud 리소스에서 사용할 수 있습니다. IPv6 주소는 외부 패스 스루 네트워크 부하 분산기에서만 사용할 수 있습니다. 자세한 내용은 BYOIP 주소 지원을 참조하세요.

사용자 IP 사용을 사용하는 첫 번째 단계는 공지된 공개 프리픽스를 만드는 것입니다. 사용할 수 있는 옵션은 다음과 같습니다.

구성 리전(v2) 리전(v1) 전역(v1)
사용 가능 여부 권장되는 리전 구성 새 리전 구성에는 권장되지 않음 허용 목록에 프로젝트 추가를 요청해야 함
공지된 공개 프리픽스 프로비저닝 시간 약 2주 약 4주 약 4주
공개 위임 프리픽스 프로비저닝 시간 몇 분 4주

공지된 공개 프리픽스 프로비저닝 시간과 겹칠 수 있음

4주

공지된 공개 프리픽스 프로비저닝 시간과 겹칠 수 있음

하위 프리픽스 프로비저닝 시간 몇 분 몇 분 몇 분
BGP 공지 공지된 공개 프리픽스는 프로비저닝될 때 자동으로 공지되지 않습니다. 광고를 공지 또는 철회할 시기를 결정합니다. 공지된 공개 프리픽스는 프로비저닝이 완료된 후 자동으로 공지됩니다. 공지된 공개 프리픽스는 프로비저닝이 완료된 후 자동으로 공지됩니다.
IP 스택
  • IPv4
  • IPv6(외부 패스 스루 네트워크 부하 분산기만 해당)
IPv4 IPv4

시작하기 전에

  • Google Cloud에 사용자 IP 주소를 사용하려면 신중하게 계획해야 합니다. 자세한 내용은 자체 IP 주소 사용 계획을 참조하세요.
  • 조직을 사용하고 BYOIP 주소 관리를 위한 전용 프로젝트를 만드는 것이 좋습니다. 자세한 내용은 프로젝트 아키텍처를 참조하세요.
  • 가져오려는 프리픽스의 일부가 이미 공개적으로 공지되었는지 확인합니다. 그렇다면 다른 소스에서 공지되는 동안 Google Cloud가 공지하지 않도록 해야 합니다.
    • 리전별 주소에 대해 v2 공지된 공개 프리픽스를 만드는 경우 프리픽스 공지를 제어할 수 있습니다. 공지된 공개 프리픽스 및 공개 위임 프리픽스를 만들 수 있지만 Google Cloud에서 공지하기 전에 해당 프리픽스가 다른 곳에서 공지되지 않았는지 확인해야 합니다.
    • 전역 주소에 대해 v1 공지된 공개 프리픽스를 만드는 경우 공개 위임 프리픽스 프로비저닝이 완료되는 즉시 프리픽스가 자동으로 공지됩니다. 프리픽스가 다른 소스에서 더 이상 공지되지 않을 때까지는 공개 위임 프리픽스를 만들지 마세요.

역할

이 가이드의 작업을 완료하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 Compute 공개 IP 관리자(roles/compute.publicIpAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

프리픽스 소유권 검증

공지된 공개 프리픽스를 만들 때 Google은 이러한 프리픽스 소유를 검증하기 위한 두 가지 작업을 수행합니다.

  • 프리픽스의 경로 시작점 승인(ROA) 만들기
  • 프리픽스에 있는 IP 주소의 PTR 레코드 만들기

이러한 검증 작업에 대한 자세한 내용은 다음 섹션에서 자세히 설명합니다.

검증이 완료된 후 공지된 공개 프리픽스 구성이 완료되는 데 약 4주가 걸립니다.

ROA 요청 만들기

프리픽스 소유권이 있음을 증명하려면 경로 시작점 승인(ROA) 요청을 만드세요.

Google에서 공지하려는 프리픽스에 대해 리전 레지스트리와 함께 ROA 요청을 제출합니다. 요청에는 프리픽스, 프리픽스 길이, Google ASN 396982가 포함됩니다.

공지된 공개 프리픽스를 만들 때는 이 프리픽스의 ROA가 있어야 하고 Google의 ASN을 가리켜야 합니다. 공지된 공개 프리픽스를 삭제한 후 일정 시간 동안 효력이 유지됩니다. 자세한 내용은 ROA 삭제를 참조하세요.

동일한 프리픽스 및 프리픽스 길이에 대해 다른 ROA 요청을 제출하되 시작점은 자체 ASN을 사용하는 것이 좋습니다. 프리픽스를 공지해야 하는 경우 Google의 시작점 ASN으로도 공지되므로 ASN이 있는 ROA는 RPKI(리소스 공개 키 인프라)를 사용하는 네트워크가 프리픽스를 무효한 것으로 간주하지 않도록 합니다.

로컬 리전 인터넷 레지스트리는 ROA 요청을 처리합니다. 자세한 내용은 사용자 위치의 링크를 참조하세요.

  • AFRINIC(아프리카)
  • APNIC(아시아 및 오세아니아의 일부)
  • ARIN(북미 및 일부 카리브해 섬)
  • LACNIC(중남미)
  • RIPE NCC(유럽, 중앙 아시아, 중동)

공지된 공개 프리픽스 만들기

Google로 가져올 프리픽스의 공지된 공개 프리픽스를 만들 수 있습니다.

공지된 공개 프리픽스 이름은 리소스를 삭제하고 다시 만들지 않고 변경할 수 없습니다. 이러한 이유로 변경할 필요가 없는 일반적인 이름을 만드는 것이 좋습니다. 예를 들어 pap-203-0-113-0-24의 경우 pap 는 리소스 유형을 나타내고 203-0-113-0-24는 특정 프리픽스와 프리픽스 길이를 나타냅니다.

공지된 공개 프리픽스를 사용하여 전역 공개 위임 프리픽스를 만들려면 프로젝트를 허용 목록에 추가해야 합니다. 자세한 내용은 위임된 전역 공개 프리픽스를 참조하세요.

DNS 검증을 위해 사용되지 않은 IP 주소를 선택합니다. 확인을 위해서는 이 IP 주소에 대한 새 PTR 레코드를 구성해야 하며 공지된 공개 프리픽스를 만들 때까지는 호스트 이름을 알 수 없습니다.

콘솔

  1. Google Cloud 콘솔에서 사용자 IP 사용으로 이동합니다.

    사용자 IP 사용으로 이동

  2. PAP 추가를 클릭합니다.

  3. 이름에 공지된 공개 프리픽스의 이름을 입력합니다.

  4. 설명에 공지된 공개 프리픽스의 설명(선택사항)을 입력합니다.

  5. IP 버전에서 IPv4 또는 IPv6를 선택합니다.

  6. 가져오려는 프리픽스를 입력합니다.

  7. IPv4 프리픽스를 가져오는 경우 공지된 공개 프리픽스에 대해 범위(리전 또는 전역)를 선택합니다.

  8. 다음을 클릭합니다.

  9. 입력한 정보를 검토합니다. 이 프리픽스의 소유자인지 확인하려면 확인을 클릭합니다.

  10. IP 주소의 경우 추가할 프리픽스의 사용되지 않은 IP 주소를 입력합니다. 이 주소는 DNS 검증에 사용되며 이후 단계에서 Google이 제공한 호스트 이름을 사용하여 PTR 레코드를 만들어야 합니다.

  11. 만들기를 클릭합니다. 검증 화면에 이 요청의 검증 상태가 표시됩니다.

gcloud

public-advertised-prefixes create 명령어를 사용합니다.

  • 전역 주소에 대해 공지된 공개 프리픽스(v1)를 만들려면 다음 명령어를 실행합니다.

    gcloud compute public-advertised-prefixes create PAP_NAME \
        --range=PAP_IP_RANGE \
        --dns-verification-ip=VERIFICATION_IP_ADDRESS
    
  • 리전별 주소에 대해 공지된 공개 프리픽스(v2)를 만들려면 다음 명령어를 실행합니다.

    gcloud compute public-advertised-prefixes create PAP_NAME \
        --range=PAP_IP_RANGE \
        --pdp-scope=REGIONAL \
        --dns-verification-ip=VERIFICATION_IP_ADDRESS
    
  • 리전별 주소에 대해 공지된 공개 프리픽스(v1)를 만들지 않는 것이 좋습니다. 대신 v2 공지된 공개 프리픽스를 만듭니다. 리전별 주소에 v1 공지된 공개 프리픽스를 만들어야 하는 경우 다음 명령어를 실행합니다.

    gcloud compute public-advertised-prefixes create PAP_NAME \
        --range=PAP_IP_RANGE \
        --dns-verification-ip=VERIFICATION_IP_ADDRESS
    

다음을 바꿉니다.

  • PAP_NAME: 만들려는 공지된 공개 프리픽스의 이름입니다.

  • PAP_IP_RANGE: 공지된 공개 프리픽스의 IP 주소 범위입니다. 범위는 IPv4 또는 IPv6 주소 범위일 수 있습니다.

  • VERIFICATION_IP_ADDRESS: PAP_IP_RANGE에서 선택된 사용되지 않은 IP 주소입니다. 이 주소는 DNS 검증에 사용되며 이후 단계에서 Google이 제공한 호스트 이름을 사용하여 PTR 레코드를 만들어야 합니다.

PTR 레코드에 사용할 이름 찾기

공지된 공개 프리픽스를 만들면 Google이 PTR 검증 단계의 호스트 이름으로 사용할 이름을 생성합니다.

콘솔

  1. Google Cloud 콘솔에서 사용자 IP 사용으로 이동합니다.

    사용자 IP 사용으로 이동

  2. 업데이트할 프리픽스의 상태 확인을 클릭합니다.

  3. PTR 검증에 사용할 이름과 IP 주소가 DNS 검증 섹션에 표시됩니다.

gcloud

  1. sharedSecret 필드에서 이름을 가져오려면 public-advertised-prefixes describe 명령어를 사용합니다.

    gcloud compute public-advertised-prefixes describe \
        PAP_NAME --format='value(sharedSecret)'
    
  2. 필요한 경우 DNS 검증에 제공한 IP 주소를 검색할 수 있습니다.

    gcloud compute public-advertised-prefixes describe \
        PAP_NAME --format='value(dnsVerificationIp)'
    

두 명령어 모두 PAP_NAME을 공지된 공개 프리픽스의 이름으로 바꿉니다.

PTR 레코드 만들기

Google Cloud로 가져오는 IP 주소 범위를 소유하고 있는지 확인하려면 가져오는 IP 주소 범위에 사용되는 DNS 영역에 공개 PTR 레코드를 만들어야 합니다.

PTR 레코드에 다음 값을 사용합니다.

예:

  • IPv4: 확인 IP 주소가 203.0.113.144이고 203.0.113.0/24의 DNS 도메인이 example.net이며 Google에서 제공한 이름이 55kk88tt00인 경우 필요한 PTR 레코드는 다음과 같습니다.

    $ dig +noall +answer -x 203.0.113.144
    
    144.113.0.203.in-addr.arpa. 21599 IN PTR 55kk88tt99.example.net
    
  • IPv6: 확인 IP 주소가 2001:db8::10이고 2001:db8::/32의 DNS 도메인이 example.net이며 Google에서 제공한 이름이 55kk88tt00인 경우 필요한 PTR 레코드는 다음과 같습니다.

    $ dig +noall +answer -x 2001:db8::10
    
    0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa
    21599 IN PTR 55kk88tt99.example.net.
    

PTR 레코드 검사

PTR 레코드를 만든 후에는 공지된 공개 프리픽스를 업데이트하여 PTR 레코드 검증을 트리거합니다.

콘솔

  1. Google Cloud 콘솔에서 사용자 IP 사용으로 이동합니다.

    사용자 IP 사용으로 이동

  2. 업데이트할 프리픽스의 상태 확인을 클릭합니다.

  3. DNS 검증 섹션에서 이 PTR 레코드를 만들었습니다 체크박스를 선택하고 검증을 클릭합니다.

gcloud

공지된 공개 프리픽스의 상태를 PTR-CONFIGURED로 변경하려면 public-advertised-prefixes update 명령어를 사용하세요.

상태 변경은 PTR 레코드의 검증을 트리거합니다. 성공하면 상태가 VALIDATED로 변경됩니다. 실패하면 상태가 REVERSE_DNS_LOOKUP_FAILED로 변경됩니다.

gcloud compute public-advertised-prefixes update PAP_NAME --status=PTR-CONFIGURED

PAP_NAME을 PTR 레코드를 만든 공지된 공개 프리픽스로 바꾸세요.

공지된 공개 프리픽스 상태 확인

Google에서 공지된 공개 프리픽스를 프로비저닝하는 데 약 4주가 소요됩니다. 상태를 확인하여 프로비저닝이 완료되었는지 확인할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 사용자 IP 사용으로 이동합니다.

    사용자 IP 사용으로 이동

  2. 확인할 프리픽스의 상태 확인을 클릭합니다.

  3. 검증 섹션을 확인합니다.

gcloud

공지된 공개 프리픽스를 설명하고 상태를 가져오려면 public-advertised-prefixes describe 명령어를 사용합니다.

프리픽스가 검증되면 상태 필드가 VALIDATED에서 PREFIX_CONFIGURATION_COMPLETE로 변경됩니다.

gcloud compute public-advertised-prefixes describe PAP_NAME --format='value(status)'

PAP_NAME을 상태 정보를 가져올 공지된 공개 프리픽스로 바꿉니다.

다음 단계