自备 IP 地址
自备 IP 地址(BYOIP 地址)可让您为 Google Cloud 资源预配和使用您自己的公共 IPv4 地址。导入 IP 地址后,Google Cloud 会以与 Google 提供的 IP 地址相同的方式管理它们,但以下情况除外:
这些 IP 地址仅供自备 IP 地址的客户使用。
空闲或正在使用的 IP 地址不会产生费用。
通过实时迁移,您可以控制 Google 何时为您的前缀启动通告路由。默认情况下,实时迁移不可用。如需申请访问权限,请与您的 Google Cloud 客户工程师联系。
概览
如需为 Google 接入您的自备 IP,请创建一个公开通告的前缀 (PAP)。使用 ROA 和反向 DNS 验证来验证此公开通告前缀的所有权。验证完成后,我们会将此前缀的通知配置到互联网,但是在配置该前缀之前不会通告该前缀。预配公开通告前缀大约需要四周时间。
在等待公开通告前缀预配期间,您可以将该前缀拆分为公共委派前缀 (PDP)。然后,您可以进一步拆分公开委派的前缀,或使用它来创建可分配的 IP 地址。 预配公开委派前缀大约需要四周时间。
默认情况下,完成公开委派前缀的配置后,系统将向互联网通告公开通告前缀。如果您使用的是实时迁移,则必须在准备好公布前缀时完成其他步骤。如需了解详情,请参阅实时迁移。
公开通告前缀
公开通告前缀 (PAP) 是 Compute Engine 中的资源,它表示您提供给 Google Cloud 的 IP 前缀。这样,您就可以将您自己的前缀中的 IP 地址分配给 Google Cloud 资源。公共通告前缀是单个路由通告单元。Google 的全球骨干网从其所有接入点通告公共通告前缀。公开通告前缀中的 IP 地址始终使用 Network Service Tiers 的优质层级。
公开通告前缀可用于创建全球公开委派前缀或区域公开委派前缀,但不能同时创建这两者。
如果您的公开通告前缀是在 2023 年 7 月 10 日之前创建的,请参阅 BYOIP 地址的行为变化。
创建新的公开通告前缀时,它必须具有最小 CIDR 范围为 /24 的 IPv4 IP 范围。较小的 CIDR 范围(例如 /25)不能创建为新的公开通告前缀。但是,创建后,您可以将公共通告前缀(例如 /24 或 /23)拆分为较小的公开委派前缀。
公开委派前缀
公开委派前缀 (PDP) 是公开通告前缀中的 IP 地址块,可在单个范围(特定区域或全球)内进行配置。必须先将 IP 地址块委派并分配给范围,然后才能将 IP 地址分配给您的项目或组织。
全球公开委派前缀的创建由许可名单控制。如需了解详情,请参阅全球公开委派前缀。
您可以将单个公开委派的前缀拆分成多个较小的块,但这些块的范围必须与父级块相同。您可以在给定范围内配置多个非连续的公开委派前缀。这些较小的块是公开委派前缀,但也称为子前缀。
全球公开委派前缀
如需创建全球公开委派前缀,您必须使用用于仅创建全球公开委派前缀的公开通告前缀。您必须在已获得创建全球前缀的权限的项目中创建公开委派前缀。
如需请求访问权限,请提交支持请求,以请求将您的项目添加到许可名单中,以便创建全球公开委派前缀。
IP 地址
从公开委派前缀或子前缀创建 IP 地址时,IP 地址只能在分配给它们的项目和范围内使用。公开委派前缀或子前缀中的所有 IP 地址都可用;没有预留的网络地址或广播地址。例如,如果您使用 /28 公开委派前缀或子前缀创建 IP 地址,系统会创建 16 个 IP 地址资源。
项目中具有适当的 IAM 权限的任何人都可以使用 IP 地址:
compute.addresses.*(对于地区 IP 地址)compute.globalAddresses.*(针对全局 IP 地址)
自备 IP 配置
下表总结了可用的自备 IP 配置。
| 配置 | 区域级 (v2) | 区域级 (v1) | 全球级 (v1) |
|---|---|---|---|
| 可用情况 | 建议的单区域配置 | 不建议用于新的区域配置 | 必须请求将您的项目添加到许可名单 |
| 公开通告前缀预配时间 | 约 2 周 | 约 4 周 | 约 4 周 |
| 公开委派前缀预配时间 | 几分钟 | 4 周 可以与公开通告前缀预配时间重叠 |
4 周 可以与公开通告前缀预配时间重叠 |
| 子前缀预配时间 | 几分钟 | 几分钟 | 几分钟 |
| BGP 通告 | 预配公开通告前缀时,系统不会自动公布该前缀。您可以决定何时公布或撤消通告。 | 默认情况下,系统会在预配完成后自动公布公开通告前缀。
BGP 通告控制只能通过实时迁移(可通过许可名单访问)实现。 |
预配完成后,系统会自动公布公开通告前缀。 |
| 公开通告前缀大小 | /16 至 /24 |
/16 至 /24 |
/16 至 /24 |
| 公开委派前缀大小 |
可以与公开通告前缀相同或小于公开通告前缀。 |
必须小于公开通告前缀。 |
必须小于公开通告前缀。 |
限制
预配需要几周时间,并且无法加速。如需详细了解预配时间,请参阅自备 IP 配置。
公开委托的前缀最多可从公开通告的前缀中子委托三次。如需了解详情,请参阅创建子前缀。
通过公开委派前缀创建地址时,地址组的大小可介于
/28到/17之间。您不能创建更小的地址组,例如单个/32地址。如果您对 VPC 网络中的任何子网使用以非公开方式使用的公共 IP 地址范围,则导入的 BYOIP 前缀不得与这些 IP 地址范围重叠。请勿将导入的 BYOIP 前缀的任何部分用作主要或次要 IPv4 子网范围。
不支持导入 IPv6 地址。
支持 BYOIP 地址
BYOIP 地址是静态外部 IP 地址,并且可用于支持静态外部 IP 地址的大多数资源。不过,也有一些例外情况:
Cloud VPN 支持使用 BYOIP 地址作为传统 VPN 网关隧道的对等 IP 地址。但是,您不能将 BYOIP 地址用作高可用性 VPN 网关隧道的对等 IP 地址。
Cloud VPN 不支持将 BYOIP 地址用作传统 VPN 或高可用性 VPN 网关隧道的外部 IP 地址。
您可以在共享 VPC 宿主项目中创建 BYOIP 地址,并且可以在服务项目中使用宿主项目 IP 地址。但是,共享 VPC 不支持在服务项目中创建 BYOIP 地址。
您可以使用 BYOIP 地址创建与适用于外部应用负载均衡器的 GKE Ingress 搭配使用的外部转发规则。但是,Google Kubernetes Engine 节点和 Pod 不支持 BYOIP 地址。
有状态代管式实例组 (MIG) 支持使用 BYOIP 地址在 MIG 中创建虚拟机时配置静态 IP 地址。但是,自动向虚拟机分配 IP 地址的 MIG 不支持 BYOIP。
Public IP Admin 角色
您可以为 BYOIP 前缀和地址指定管理员,只需为其分配 Compute Public IP Admin 角色 (roles/compute.publicIpAdmin) 即可。此角色允许他们管理组织中可公开路由的 IP 地址。
Public IP Admin 可以执行以下任务:
- 在其拥有的项目中配置公开通告前缀。
- 将公开通告前缀配置为其拥有的项目公开委派前缀。
- 将公开委派前缀中的子前缀委派给组织中的特定项目。
- 撤消之前由公开委派前缀委派给组织中特定项目的子前缀。
- 删除公开委派前缀。
打开 BYOIP 地址上的端口
对 BYOIP 地址运行端口扫描可能会返回意外结果。全球 BYOIP 地址由名为 Google Front End (GFE) 的基础设施服务实现。BYOIP 地址即使未使用,也可能看起来具有开放端口,因为这些端口被同样共享 GFE 的其他 Google 服务使用。流向这些端口的流量会被丢弃,并且不会记录。
只有受支持的负载均衡器才能使用全球 IP 地址。如需详细了解负载均衡器上的开放端口,请参阅以下内容:
配额和限制
公开委派前缀和公开通告前缀存在相应的配额和限制。如需了解详情,请参阅 VPC 配额和限制。