建立公開宣傳的前置字串

您可以將自備 IP 位址 (BYOIP) 帶入 Google Cloud。驗證您擁有 IP 範圍,並將 IP 位址匯入Google Cloud後,您就可以將 IP 位址指派給支援的資源

您可以匯入 IPv4 和 IPv6 位址範圍。IPv4 位址可與支援外部 IP 位址的大部分 Google Cloud 資源搭配使用。IPv6 位址僅可搭配外部直通式網路負載平衡器使用。詳情請參閱「支援 BYOIP 地址」。

使用自有 IP 的第一步是建立公開通告的前置字串。可用的選項如下:

設定 區域 (v2) 區域 (v1) 全球 (v1)
可用性 建議的區域設定 不建議用於新的區域設定 必須要求將專案加入許可清單
公開 advertise 前置碼的佈建時間 約 2 週 約 4 週 約 4 週
公開委派前置字串佈建時間 幾分鐘 4 週

可能與公開 advertise 前置字串的佈建時間重疊

 4 週

可能與公開 advertise 前置字串的佈建時間重疊
子前置碼佈建時間 幾分鐘 幾分鐘 幾分鐘
BGP 公告 公開通告的前置字串在佈建時不會自動發布。您可以自行決定何時發布或撤銷廣告。 佈建完成後,系統會自動發布公開宣傳的前置碼。 佈建完成後,系統會自動發布公開宣傳的前置碼。
IP 堆疊
  • IPv4
  • IPv6 (僅適用於外部直通式網路負載平衡器,以及專門代管 VM 的子網路)
IPv4 IPv4

事前準備

  • 如要將自己的 IP 位址帶入 Google Cloud ,您必須審慎規劃。詳情請參閱「規劃自備 IP 位址」。
  • 建議您使用機構,並建立專屬專案來管理 BYOIP 位址。詳情請參閱「專案架構」。
  • 請檢查您要匯入的前置字串是否已公開宣傳。如果是,您必須確保 Google Cloud 在其他來源宣傳時,不會宣傳該產品:
    • 如果您要為區域地址建立 v2 公開通告的前置字串,可以控制前置字串的公告。您可以建立公開宣傳的前置字串和公開委派的前置字串,但在透過Google Cloud發布前,您必須確保前置字串未在其他地方宣傳。
    • 如果您要為全球地址建立 v1 公開通告的前置字串,系統會在公開委派的前置字串佈建完成後,自動發布前置字串。請在前置字串不再從其他來源發布之前,不要建立公開委派的前置字串。

角色

如要取得完成本指南中任務所需的權限,請要求管理員為您授予專案的 Compute 公用 IP 管理員 (roles/compute.publicIpAdmin) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。

驗證前置字串的擁有權

建立公開廣告前置字串時,您必須完成兩項工作,讓 Google Cloud 驗證您是否擁有此前置字串:

  • 為前置字串建立路徑來源授權 (ROA)。
  • 為前置字串中的 IP 位址建立 PTR 記錄。

下文將詳細說明這些驗證工作。

驗證完成後,公開宣傳的前置字串設定大約需要四週才能完成。

建立 ROA 要求

如要證明您擁有前置字串,請建立路徑來源授權 (ROA) 要求。

針對您要Google Cloud 宣傳的前置字串,向區域註冊機構提交 ROA 要求。這項要求包含前置字串、前置字串長度和 Google Cloud的 ASN:396982

建立公開通告前置字串時,此前置字串的 ROA 必須存在,並指向 Google Cloud 的 ASN,且在您刪除公開通告前置字串後,仍要保持有效一段時間。詳情請參閱「移除 ROA」。

建議您使用相同的前置字元和前置字元長度提交另一個 ROA 要求,但使用自己的 ASN 做為來源。如果您需要宣告前置字串,則使用 ASN 的 ROA 可防止使用資源公開金鑰基礎架構 (RPKI) 的網路將前置字串視為無效,因為前置字串也會透過 Google Cloud的原始 ASN 宣告。

當地區域網路註冊機構會處理 ROA 要求。如需更多資訊,請參閱適用於您所在地區的連結:

  • AFRINIC (非洲)
  • APNIC (部分亞洲和大洋洲國家/地區)
  • ARIN (北美洲和部分加勒比海島嶼)
  • LACNIC (拉丁美洲)
  • RIPE NCC (歐洲、中亞、中東)

建立公開宣傳的前置字串

您可以為要帶入 Google Cloud的前置字串建立公開宣傳的前置字串

您必須刪除並重新建立資源,才能變更公開通告的前置碼名稱。因此,建議您建立不會變更的通用名稱,例如 pap-203-0-113-0-24,其中 pap 代表資源類型,而 203-0-113-0-24 則代表特定前置字串和前置字串長度。

如果您想使用公開廣告的前置字串建立全域公開委派前置字串,專案必須加入允許清單。詳情請參閱「全域公開委派前置字串」。

請選擇未使用的 IP 位址進行 DNS 驗證。驗證程序要求您為這個 IP 位址設定新的 PTR 記錄,而且您必須先建立公開廣告前置字串,才能知道主機名稱。

主控台

  1. 在 Google Cloud 控制台中,前往「Bring your own IP」

    前往「使用自己的 IP」

  2. 按一下「新增 PAP」

  3. 在「名稱」中,輸入公開廣告的前置碼名稱。

  4. 針對「說明」,輸入公開廣告前置碼的說明 (選填)。

  5. 在「IP 版本」部分,選取「IPv4」或「IPv6」

  6. 輸入要匯入的前置字串。

  7. 如果您要匯入 IPv4 前置字串,請為公開宣傳的前置字串選取範圍區域通用

  8. 點選「下一步」

  9. 查看你輸入的資訊。如要確認你是這個前置字串的擁有者,請按一下「確認」

  10. 在「IP 位址」中,輸入您要新增的前置字串中未使用的 IP 位址。這個位址會用於 DNS 驗證,在後續步驟中,您必須為該位址建立 PTR 記錄,並使用 Google Cloud提供的主機名稱。

  11. 按一下「建立」,「驗證」畫面會顯示這項要求的驗證狀態。

gcloud

使用 public-advertised-prefixes create 指令

  • 如要為全域位址建立公開通告的前置字串 (v1),請執行下列指令:

    gcloud compute public-advertised-prefixes create PAP_NAME \
    --range=PAP_IP_RANGE \
    --dns-verification-ip=VERIFICATION_IP_ADDRESS

  • 如要為區域地址建立公開廣告前置字串 (v2),請執行下列指令:

    gcloud compute public-advertised-prefixes create PAP_NAME \
    --range=PAP_IP_RANGE \
    --pdp-scope=REGIONAL \
    --dns-verification-ip=VERIFICATION_IP_ADDRESS

  • 不建議為區域性位址建立公開通告的前置字串 (v1)。請改為建立第 2 版公開宣傳的前置字串。如果您必須為區域地址建立 v1 公開廣告前置字串,請執行下列指令:

    gcloud compute public-advertised-prefixes create PAP_NAME \
    --range=PAP_IP_RANGE \
    --dns-verification-ip=VERIFICATION_IP_ADDRESS

更改下列內容:

  • PAP_NAME:您要建立的公開廣告前置字串名稱。

  • PAP_IP_RANGE:公開宣傳的前置字串 IP 位址範圍。範圍可以是 IPv4 或 IPv6 位址範圍。

  • VERIFICATION_IP_ADDRESS:從 PAP_IP_RANGE 中選擇的未使用的 IP 位址。這個位址會用於 DNS 驗證,在後續步驟中,您必須為該位址建立 PTR 記錄,並使用 Google Cloud提供的主機名稱。

找出要用於 PTR 記錄的名稱

建立公開宣傳的前置字串時, Google Cloud 會產生名稱,供您用於 PTR 驗證步驟的主機名稱。

主控台

  1. 在 Google Cloud 控制台中,前往「Bring your own IP」

    前往「使用自己的 IP」

  2. 找到要更新的前置字串,然後按一下「檢查狀態」

  3. DNS 驗證部分會顯示用於 PTR 驗證的名稱和 IP 位址。

gcloud

  1. 如要從 sharedSecret 欄位取得名稱,請使用 public-advertised-prefixes describe 指令

    gcloud compute public-advertised-prefixes describe \
    PAP_NAME --format='value(sharedSecret)'

  2. 如有需要,您可以擷取用於 DNS 驗證的 IP 位址。

    gcloud compute public-advertised-prefixes describe \
    PAP_NAME --format='value(dnsVerificationIp)'

在兩個指令中,將 PAP_NAME 替換為公開廣告前置碼的名稱。

建立 PTR 記錄

如要驗證您是否擁有要匯入Google Cloud的 IP 位址範圍,您必須在 DNS 區域中建立公開 PTR 記錄,該區域用於匯入的 IP 位址範圍。

在 PTR 記錄中使用下列值:

範例:

  • IPv4:如果驗證 IP 位址為 203.0.113.144203.0.113.0/24 的 DNS 網域為 example.net,Google Cloud 提供的名稱為 55kk88tt00,則必要的 PTR 記錄如下所示:

    $ dig +noall +answer -x 203.0.113.144

144.113.0.203.in-addr.arpa. 21599 IN PTR 55kk88tt99.example.net

  • IPv6:如果驗證 IP 位址為 2001:db8::102001:db8::/32 的 DNS 網域為 example.net, Google Cloud提供的名稱為 55kk88tt00,則必要的 PTR 記錄會如下所示:

    $ dig +noall +answer -x 2001:db8::10

0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa
21599 IN PTR 55kk88tt99.example.net.

驗證 PTR 記錄

建立 PTR 記錄後,請更新公開宣傳的前置碼,觸發 PTR 記錄的驗證程序。

主控台

  1. 在 Google Cloud 控制台中,前往「Bring your own IP」

    前往「自備 IP」

  2. 找到要更新的前置字串,然後按一下「檢查狀態」

  3. 在「DNS 驗證」部分,選取「我已建立此 PTR 記錄」核取方塊,然後按一下「驗證」

gcloud

如要將公開宣傳的前置字串狀態變更為 PTR-CONFIGURED,請使用 public-advertised-prefixes update 指令

狀態變更會觸發 PTR 記錄的驗證程序。如果成功,狀態會變更為 VALIDATED。如果失敗,狀態會變更為 REVERSE_DNS_LOOKUP_FAILED

gcloud compute public-advertised-prefixes update PAP_NAME --status=PTR-CONFIGURED

PAP_NAME 替換為您已建立 PTR 記錄的公開宣傳前置字串。

查看公開宣傳的前置字元狀態

Google Cloud 大約需要四週的時間才能佈建公開廣告前置字串。您可以查看狀態,確認是否已完成佈建作業。

主控台

  1. 在 Google Cloud 控制台中,前往「Bring your own IP」

    前往「使用自己的 IP」

  2. 找出要檢查的前置字串,然後按一下「檢查狀態」

  3. 查看「驗證」部分。

gcloud

如要描述公開廣告前置字串並取得其狀態,請使用 public-advertised-prefixes describe 指令

gcloud compute public-advertised-prefixes describe PAP_NAME --format='value(status)'

PAP_NAME 替換為您要取得狀態資訊的公開廣告前置碼。

前置字元驗證通過後,狀態欄位會從 VALIDATED 變更為 PREFIX_CONFIGURATION_COMPLETE

後續步驟