借助 INTERLIR Marketplace,您可以灵活地将租用的 IP 用作 Google Cloud 自带 IP (BYOIP)。 BYOIP 允许您为您的 Google Cloud 资源配置和使用您自己的公共 IPv4 地址。 此功能可以将您现有的 IP 地址与 Google Cloud 平台无缝集成,从而为您提供更多的控制权和便利性来管理您的网络基础设施。.
通过 BYOIP 将 IP 地址导入 Google Cloud 后,Google 将以类似于其自己提供的 IP 地址的方式管理它们,但有一些例外:
Google Cloud does not allow overlapping BYOIP route announcements. This means that if an IP address range, such as 203.0.112.0/23, or a subset of it, such as 203.0.112.0/24, is already being advertised outside of Google, importing the same range or a subset of it into Google Cloud is not supported. Having overlapping route announcements with matching or mismatched prefix lengths between Google and another network can lead to unexpected routing issues and packet loss.
For managing the route advertisement of your imported prefix, Google Cloud offers a feature called live migration. Live migration allows you to control the timing of when Google Cloud starts advertising routes for your imported IP address range. However, it’s important to note that live migration is not available by default and needs to be requested from Google Cloud. To request access to the live migration feature, you can reach out to your Google Cloud representative.
要将您自己的 IP 引入 Google Cloud,您首先需要创建一个公共通告前缀 (PAP)。 通过使用路由源授权 (ROA) 和反向 DNS 验证对此 PAP 执行所有权验证。 验证成功后,将配置此 PAP 到 Internet 的公告,但在进行配置之前不会公告前缀。 公开公布的前缀的配置过程通常需要长达四个星期的时间。
在配置等待期间,您将前缀划分为公共委托前缀 (PDP)。 这些 PDP 可以具有区域范围或全球范围,您可以选择进一步划分它们或使用它们来创建可分配的 IP 地址。 公共委托前缀的配置也需要长达四个星期的时间。
一旦公共委托前缀的配置完成,公共通告的前缀就会被通告到互联网。 如果您使用实时迁移,可能会涉及额外的步骤,因此建议参考 Google Cloud 提供的使用实时迁移的具体指南。
公共通告前缀 (PAP) 是 Google Cloud 计算引擎中的一种资源,可让您将自己的 IP 前缀引入平台。 这使您能够将自己的前缀中的 IP 地址分配给 Google Cloud 资源。 PAP 代表路由通告的单个单元,Google 的全球骨干网从其所有存在点对其进行通告。 公共通告前缀内的 IP 地址始终使用网络服务层的高级层。
创建新的公共通告前缀时,它必须具有最小 CIDR 范围为 /24 的 IPv4 IP 范围。 无法创建具有较小 CIDR 范围的新公共通告前缀,例如 /25。 但是,创建公共通告前缀后,您可以灵活地将其分解为较小的公共委托前缀,例如 /24 或 /23。
公共委托前缀 (PDP) 是公共通告前缀中的特定 IP 块,配置为在定义的范围内运行,该范围可以是 GCP 中的特定区域或全局。 在将 IP 地址分配给您的项目或组织之前,必须将这些 IP 块委派并分配给特定范围。
Google Cloud 可以灵活地将公共通告前缀分解为多个公共委托前缀。 每个公共委托前缀都可以在您的 Google Cloud 项目中配置其自己的范围。 此外,您可以选择将单个公共委托前缀进一步划分为多个较小的块,但需要注意的是,这些较小的块必须具有与父块相同的范围。 在给定范围内,您还可以配置多个不连续的公共委托前缀,也称为子前缀。
一旦从公共委托前缀创建 IP 地址,它们就只能在分配的特定项目和范围内使用。 项目中具有适当 IAM 权限的任何用户都可以将这些 IP 地址用于其指定目的:
compute.addresses.* 对于区域 IP 地址
compute.globalAddresses.* 对于全球 IP 地址
要为您的 BYOIP 前缀和地址指定管理员,您可以授予他们计算公共 IP 管理员角色 (roles/compute.publicIpAdmin)。 通过此角色,他们能够管理组织内的公共可路由 IP。
在自己的项目中配置公共通告的前缀。
使用自己项目中配置的公共通告前缀设置公共委托前缀。
将子前缀从公共委托前缀委托给组织内的特定项目。
从组织内特定项目的公共委托前缀中撤销先前委托的子前缀。
删除公共委托前缀。
部署 BYOIP 地址时,有效的规划至关重要,因为配置和删除过程可能需要数周时间才能完成。 为了帮助规划过程,请考虑以下决定:
管理职责:确定谁负责管理 BYOIP 地址。 通常,这是一个管理员或特定组,与管理单个项目的人员不同。 使用 IAM 角色和权限来区分公开公布和委托的前缀的权限。
前缀管理:考虑如何跨不同项目管理前缀。 建议在专用项目中集中管理前缀,与将使用 IP 地址的项目分开。 这种隔离有助于避免前缀的混淆和未经授权的使用。
命名约定:每个 BYOIP 资源(公共通告前缀、公共委托前缀、子前缀)都需要一个名称以用于管理目的。 在资源创建过程中选择描述性且易于管理的名称,因为如果不重新创建资源就无法更改它们。
配置位置:将配置过程视为将 IP“储存”到区域或全球范围内。 提前规划和部署公共委托前缀,因为配置需要几周时间。 如果不确定 IP 将在何处使用,请立即仅配置所需的前缀。 移动公共委托前缀需要删除和重新创建,这可能需要长达八周的时间。 配置完成后,将子前缀委托给项目并创建与资源一起使用的地址。
为了说明这一点,假设您有一个 /24 公共广告前缀,并且需要 us-central1 和全球负载均衡器中的 IP,并保留一些以供将来使用。 您可以制定以下计划:
公开公布的前缀: 203.0.113.0/24
公共委托前缀:203.0.113.0/28 (us-central1)
公共委托前缀:203.0.113.16/28 (面向全球)
剩余的 IP 地址保留供将来使用。
通过提前规划和有效管理前缀,您可以确保在 Google Cloud 项目中顺利部署 BYOIP 地址。
实时迁移是一项强大的功能,允许您在前缀的任何部分已公开公布时导入 BYOIP 前缀。 它需要仔细的规划和执行,以避免意外的路由和数据包丢失。
要使用实时迁移,请确保您要导入的前缀尚未公布。 实时迁移尚未广泛使用,因此请先联系您的 Google Cloud 代表请求访问权限,然后再创建启用实时迁移的公共委托前缀。
要启用实时迁移,您必须创建公共委托前缀,并确保公共通告前缀内的所有公共委托前缀都具有区域范围,而不是全局范围。 此外,请确保公共通告前缀范围内的 IP 地址没有分配给任何资源。 通过遵循这些建议和配置,您可以阻止 Google 在迁移过程中向对等方公布公开公布的前缀。
图2说明了项目中的不同配置,其中一个防止了前缀的广告,另外两个则导致公众广告的前缀被宣传。 仔细管理范围和 IP 地址分配将确保 BYOIP 前缀成功实时迁移。
图 2 提供了三种场景来说明对公共通告前缀内的公共委托前缀使用实时迁移的结果:
在第一个项目示例中,公共通告前缀中的所有公共委托前缀都启用了实时迁移,但没有使用此前缀中的 IP 地址配置虚拟机 (VM)。 因此,公共通告的前缀不会被通告。
在第二个项目示例中,公共通告前缀中的所有公共委托前缀都启用了实时迁移,并且一台虚拟机配置了来自该前缀的 IP 地址。 在这种情况下,将通告公共通告的前缀。
在第三个项目示例中,公共通告前缀中的一个公共委托前缀未配置为启用实时迁移,但没有为任何虚拟机配置来自该前缀的 IP 地址。 尽管其他委托前缀启用了实时迁移,但公共通告的前缀仍然会通告。
您可以通过将公共委托前缀中的 IP 地址分配给 GCP 资源来控制公共通告前缀的通告何时开始。 有关使用实时迁移的详细信息,请参阅相关文档。
完成实时迁移过程后,建议联系您的 Google Cloud 代表以禁用您的前缀的实时迁移。 默认情况下,在公开发布的前缀开始发布 30 天后,实时迁移被禁用。 如果您需要更长时间地使用实时迁移选项,请务必将此信息告知您的 Google Cloud 代表。
在考虑实时迁移时,了解特定要求和限制至关重要:
例如,假设您有一个从本地位置主动路由的 /23 前缀。 您计划将 /23 分解为两个 /24 前缀,并从您的本地位置公布更具体的路由。 同时,您为 BYOIP 配置 /23 公共通告前缀。 虽然您可能假设更具体的本地路由优先于较短的 BYOIP 前缀,但情况可能并非总是如此:
拥有完整路由表的 Google 对等方会更喜欢更具体的 /24 本地前缀。
路由表不完整的 Google 对等方会更喜欢 Google 宣布的公开公布的前缀,因为它们的路由表缺少更具体的前缀。
重要的是要了解,如果 Google 收到您尚未为其配置服务的有效公共广告前缀的流量,即使该前缀存在有效的本地广告,该流量也不会传递给您。 例如,如果您的本地网络具有两个 /24 前缀,并且公开通告的前缀是聚合 /23,则将单个 /24 迁移到 Google 并撤回本地前缀,同时使另一个 /24 在网络中保持活动状态。 本地位置可能会导致部分流量路由至 Google 以获取整个 /23 前缀。 这可能会导致混乱,因为流量根据不同自治系统的路由路径传递到不同的目的地。 因此,仔细规划和配置实时迁移以避免意外的路由问题并确保正确的流量传输非常重要。
以下是使用实时迁移的推荐最佳实践:
项目架构 Project architecture
我们建议组织利用集中式 IAM 权限和共享 VPC 等功能,在 Google Cloud 环境中提供改进的资源管理和安全性。
在此场景中,在组织内,指定一个名为“公共 IP 项目”的单独项目来管理 BYOIP 地址。 公共 IP 管理员负责监督组织的 IP 地址管理,在此项目中创建公共通告前缀和公共委托前缀。
当 VPC 项目需要公共 IP 地址时,公共 IP 管理员会在 VPC 项目内创建必要的 IP 地址。
该组织可以灵活地拥有多个项目,并且公共 IP 管理员可以将 IP 地址从中央“公共 IP 项目”委托给所有项目。 这种集中式方法简化了整个组织项目的 IP 地址管理。
在这个具有共享 VPC 的组织中,指定了一个名为“公共 IP 项目”的单独项目来管理 BYOIP 地址。 负责整个组织的 IP 地址管理的公共 IP 管理员已在此中心项目中创建了公共通告前缀和公共委托前缀。
当共享 VPC 主机项目或相关服务项目需要公共 IP 地址时,公共 IP 管理员会在共享 VPC 主机项目中创建必要的 IP 地址。 宿主项目和服务项目都可以从宿主项目访问 BYOIP 地址。
需要注意的是,不支持在共享 VPC 服务项目中直接创建 IP 地址; 所有 IP 地址管理均发生在中央“公共 IP 项目”内,并在组织内的相关项目之间共享。
如果您的项目不属于组织,则您无法创建专门用于 BYOIP 地址管理的单独项目。 在这种情况下,您必须直接在需要使用 BYOIP 地址的同一项目中创建公共通告前缀和公共委托前缀。
Evgeny Sevastyanov
Client Support Teamleader
在本深入指南中,我们将探讨自治系统编号 (ASN) 的概念,涵盖其定义、用途以及获取它们的过程。
