יצירת קידומת ציבורית שמוצגת בפרסום

אתם יכולים להעביר כתובות IP משלכם (BYOIP) אל Google Cloud. אחרי שנאמת שאתם הבעלים של טווח כתובות ה-IP, וכתובות ה-IP יובאו ל-Google Cloud, תוכלו להקצות אותן למשאבים נתמכים.

השלב הראשון בשימוש ב-BYOIP הוא יצירת קידומת ציבורית שמוכרזת. אלו האפשרויות הזמינות:

הגדרות אישיות אזורי (גרסה 2) אזורי פנימי (גרסה 2) אזורי (גרסה 1) גלובלי (גרסה 1)
זמינות הגדרה מומלצת לפי אזור משמש לכתובות IPv6 פנימיות לא מומלץ להשתמש בהגדרה הזו בהגדרות אזוריות חדשות צריך לבקש להוסיף את הפרויקט לרשימת ההיתרים
זמן הקצאת קידומת שפורסמה לציבור בערך שבועיים מיידי בערך 4 שבועות בערך 4 שבועות
זמן הקצאת קידומת ציבורית מוקצית כמה דקות מיידי 4 שבועות

יכול להיות חפיפה עם זמן ההקצאה של קידומת שפורסמה לציבור

4 שבועות

יכול להיות חפיפה עם זמן ההקצאה של קידומת שפורסמה לציבור

זמן הקצאת קידומת משנה כמה דקות מיידי כמה דקות כמה דקות
הודעת BGP קידומת הרשת שפורסמה לציבור לא מוכרזת באופן אוטומטי כשהיא מוקצית. אתם מחליטים מתי לפרסם או לבטל את הפרסום. עדיין אין תאריך הפצה הקידומת שפורסמה לציבור מוכרזת אוטומטית אחרי שההקצאה מסתיימת. הקידומת שפורסמה לציבור מוכרזת אוטומטית אחרי שההקצאה מסתיימת.
סטאק IP
  • IPv4
  • ‫IPv6 (רק למאזנים חיצוניים של עומסי רשת להעברת סיגנל ללא שינוי ולרשתות משנה שמארחות מכונות וירטואליות בלבד)
IPv6 IPv4 IPv4
סוג הגישה חיצוני פנימי חיצוני חיצוני

לפני שמתחילים

  • כדי להשתמש בכתובות IP משלכם ב- Google Cloud , צריך לתכנן את זה בקפידה. מידע נוסף זמין במאמר תכנון שימוש בכתובות IP משלכם.
  • כדאי להשתמש בארגון וליצור פרויקט ייעודי לניהול כתובות BYOIP. מידע נוסף זמין במאמר בנושא ארכיטקטורת פרויקט.
  • אם אתם יוצרים קידומת חיצונית שנגישה לציבור, כדאי לבדוק אם חלק מהקידומת שאתם רוצים לייבא כבר נגיש לציבור. אם כן, עליך לוודא ש- Google Cloud לא מפרסם אותו בזמן שהוא מפורסם ממקור אחר:
    • אם אתם יוצרים קידומת ציבורית שמוכרזת בגרסה 2 עבור כתובות אזוריות, יש לכם שליטה בהכרזה על הקידומת. אתם יכולים ליצור את הקידומת הגלויה שמתפרסמת ואת הקידומות הגלויות שהוקצו, אבל אתם צריכים לוודא שהקידומת לא מתפרסמת בשום מקום אחר לפני שאתם מכריזים עליה מ-Google Cloud.
    • אם אתם יוצרים קידומת ציבורית שמוכרזת בגרסה 1 לכתובות גלובליות, המערכת מכריזה על הקידומת באופן אוטומטי ברגע שהקצאת הקידומת הציבורית שהוקצתה הושלמה. אל תיצרו קידומות ציבוריות שהוקצו בהן הרשאות עד שהקידומת לא תפורסם יותר ממקור אחר.

תפקידים

כדי לקבל את ההרשאות שנדרשות לביצוע המשימות במדריך הזה, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של כתובות IP ציבוריות ב-Compute (roles/compute.publicIpAdmin) בפרויקט. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירה ואימות של קידומת ציבורית שמוכרזת

כשיוצרים קידומת ציבורית שמוכרזת, צריך לאמת את הבעלות על הקידומת. הפרטים של משימות האימות האלה מפורטים בקטעים הבאים. תהליך האימות תלוי בסוג הגישה של הקידומת:

  • כדי להוסיף קידומות של גישה חיצונית, צריך להשלים שתי משימות שביחד מאפשרות ל- Google Cloud לאמת את הבעלות שלכם על הקידומת:

    • יצירת הרשאת מקור נתיב (ROA) לקידומת.
    • יצירת רשומת PTR לכתובת IP בקידומת.

    אחרי השלמת האימות, יידרשו בערך שבועיים להשלמת ההגדרה של קידומות v2 או ארבעה שבועות להשלמת ההגדרה של קידומות v1.

  • בקידומות של גישה פנימית, צריך ליצור רק ROA לקידומת. ההגדרה תושלם באופן מיידי, והקידומת תהיה מוכנה לשימוש.

יצירת בקשת ROA

כדי להוכיח שיש לכם בעלות על קידומת, צריך ליצור בקשת אישור מקור נתיב (ROA).

שולחים בקשת ROA לרשם האזורי לגבי הקידומת שרוצים לפרסם.Google Cloud הבקשה כוללת את הקידומת, את אורך הקידומת ואת מספר ה-ASN של Google Cloud: 396982.

כשיוצרים את התחילית הגלויה לכולם, ה-ROA של התחילית הזו צריך להתקיים ולהצביע על ה-ASN של Google Cloud ולהישאר בתוקף למשך זמן מסוים אחרי שמוחקים את התחילית הגלויה לכולם. מידע נוסף מופיע במאמר הסרת ROA.

מומלץ לשלוח בקשה נוספת לאישור ROA לאותו קידומת ואורך קידומת, אבל להשתמש במספר ASN משלכם כמקור. אם תצטרכו לפרסם את הקידומת, ה-ROA עם מספר ה-ASN שלכם ימנע מרשתות שמשתמשות בתשתית מפתחות ציבוריים של משאבים (RPKI) להחשיב את הקידומת כלא תקפה, כי היא גם מפורסמת עם מספר ה-ASN של המקור עבור Google Cloud.

רשם האינטרנט האזורי המקומי מטפל בבקשות ROA. מידע נוסף זמין בקישור שמתאים למיקום שלכם:

  • AFRINIC (אפריקה)
  • APNIC (חלקים מאסיה ואוקיאניה)
  • ARIN (צפון אמריקה וחלק מאיי הקריביים)
  • LACNIC (אמריקה הלטינית)
  • RIPE NCC (אירופה, מרכז אסיה, המזרח התיכון)

יצירת קידומת ציבורית שמוצגת בפרסום

אתם יכולים ליצור קידומת גלויה לכולם לקידומת שאתם רוצים להעביר אל Google Cloud.

אי אפשר לשנות שם של קידומת שפורסמה לציבור בלי למחוק את המשאב וליצור אותו מחדש. לכן מומלץ ליצור שמות גנריים שלא יהיה צורך לשנות אותם. לדוגמה, pap-203-0-113-0-24, כאשר pap מציין את סוג המשאב ו-203-0-113-0-24 מציין את הקידומת הספציפית ואת אורך הקידומת.

אם רוצים להשתמש בקידומת הפרסום הציבורית כדי ליצור קידומות ציבוריות גלובליות שהוקצו, צריך להוסיף את הפרויקט לרשימת ההיתרים. מידע נוסף זמין במאמר בנושא קידומות ציבוריות גלובליות שהוקצו.

לקידומות של גישה חיצונית, בוחרים כתובת IP שלא נמצאת בשימוש לאימות DNS. כדי לבצע אימות, צריך להגדיר רשומת PTR חדשה לכתובת ה-IP הזו, ולא ניתן לדעת את שם המארח עד ליצירת הקידומת הציבורית שפורסמה.

המסוף

  1. במסוף Google Cloud , עוברים אל Bring your own IP.

    מעבר אל Bring your own IP

  2. לוחצים על הוספת PAP.

  3. בשדה שם, מזינים שם לקידומת הגלויה שמתפרסמת.

  4. בשדה Description, מזינים תיאור אופציונלי לקידומת הגלויה שמתפרסמת.

  5. בשביל IP version, בוחרים באפשרות IPv4 או IPv6.

  6. מזינים את הקידומת שרוצים לייבא.

  7. אם מייבאים קידומת IPv4, בוחרים היקף לקידומת שפורסמה לציבור: אזורי או גלובלי.

  8. אם מייבאים קידומת IPv6, צריך לבחור סוג גישה.

  9. לוחצים על הבא.

  10. בודקים את המידע שהזנתם. כדי לאשר שאתם הבעלים של הקידומת הזו, לוחצים על אישור.

  11. אם מוסיפים PAP עם גישה חיצונית, בשדה כתובת IP מזינים כתובת IP לא בשימוש מהקידומת שמוסיפים. הכתובת הזו משמשת לאימות DNS, ובשלב מאוחר יותר צריך ליצור עבורה רשומת PTR שמשתמשת בשם מארח שסופק על ידי Google Cloud.

  12. לוחצים על יצירה. במסך אימות מוצג סטטוס האימות של הבקשה.

gcloud

משתמשים בפקודה public-advertised-prefixes create.

  • כדי ליצור קידומת גלויה (v1) ציבורית לכתובות גלובליות, מריצים את הפקודה הבאה:

    gcloud compute public-advertised-prefixes create PAP_NAME \
    --range=PAP_IP_RANGE \
    --dns-verification-ip=VERIFICATION_IP_ADDRESS

  • כדי ליצור קידומת ציבורית (v2) לכתובות אזוריות, מריצים את הפקודה הבאה:

    gcloud compute public-advertised-prefixes create PAP_NAME \
    --range=PAP_IP_RANGE \
    --pdp-scope=REGIONAL \
    --dns-verification-ip=VERIFICATION_IP_ADDRESS

  • כדי ליצור קידומת ציבורית עם גישה פנימית לכתובות IPv6 אזוריות, מריצים את הפקודה הבאה:

    gcloud compute public-advertised-prefixes create PAP_NAME \
    --range=PAP_IP_RANGE \
    --pdp-scope=REGIONAL \
    --ipv6-access-type=INTERNAL

    אם אתם יוצרים קידומת שמוכרזת כציבורית עם גישה פנימית, הקידומת מוכנה לשימוש אחרי השלב הזה. אין צורך להשלים את השלבים הנותרים בדף הזה.

  • לא מומלץ ליצור קידומת גלויה לכולם (v1) לכתובות אזוריות. במקום זאת, צריך ליצור קידומת גלויה מפורסמת בגרסה 2. אם אתם חייבים ליצור קידומת ציבורית שפורסמה בגרסה 1 לכתובות אזוריות, מריצים את הפקודה הבאה:

    gcloud compute public-advertised-prefixes create PAP_NAME \
    --range=PAP_IP_RANGE \
    --dns-verification-ip=VERIFICATION_IP_ADDRESS

מחליפים את מה שכתוב בשדות הבאים:

  • PAP_NAME: שם לקידומת הציבורית שמוכרזת שאתם יוצרים.

  • PAP_IP_RANGE: טווח כתובות ה-IP של הקידומת שפורסמה לציבור. הטווח יכול להיות טווח כתובות IPv4 או IPv6.

  • VERIFICATION_IP_ADDRESS: כתובת IP לא בשימוש שנבחרה מתוך PAP_IP_RANGE. הכתובת הזו משמשת לאימות DNS, ובשלב מאוחר יותר צריך ליצור עבורה רשומת PTR שמשתמשת בשם מארח שסופק על ידי Google Cloud.

אימות הבעלות באמצעות DNS

אם יצרתם קידומת חיצונית שגלגלה לציבור, צריך לבצע את השלבים שבקטעים הבאים כדי לאמת שאתם הבעלים של הקידומת. אם יצרתם קידומת ציבורית עם גישה פנימית, אתם לא צריכים לאמת את הבעלות באמצעות DNS.

איך מוצאים את השם שמשמש לרשומת ה-PTR

כשיוצרים קידומת ציבורית שמוכרזת לגישה חיצונית, Google Cloud נוצר שם שמשמש כשם מארח לשלב האימות של PTR.

המסוף

  1. במסוף Google Cloud , עוברים אל Bring your own IP.

    מעבר אל Bring your own IP

  2. לוחצים על בדיקת הסטטוס של הקידומת שרוצים לבדוק.

  3. השם וכתובת ה-IP שמשמשים לאימות PTR מוצגים בקטע אימות DNS.

gcloud

  1. כדי לקבל את השם מהשדה sharedSecret, משתמשים בפקודה public-advertised-prefixes describe.

    gcloud compute public-advertised-prefixes describe \
    PAP_NAME --format='value(sharedSecret)'

  2. במקרה הצורך, אפשר לאחזר את כתובת ה-IP שסיפקתם לצורך אימות DNS.

    gcloud compute public-advertised-prefixes describe \
    PAP_NAME --format='value(dnsVerificationIp)'

בשתי הפקודות, מחליפים את הערך PAP_NAME בשם של הקידומת שפורסמה לציבור.

יצירת רשומת PTR

כדי לוודא שאתם הבעלים של טווח כתובות ה-IP שאתם מייבאים אלGoogle Cloud, אתם צריכים ליצור רשומת PTR ציבורית בתחום ה-DNS שמשמש לטווח כתובות ה-IP שאתם מייבאים.

משתמשים בערכים הבאים ברשומת ה-PTR:

דוגמאות:

  • IPv4: אם כתובת ה-IP לאימות היא 203.0.113.144, דומיין ה-DNS של 203.0.113.0/24 הוא example.net, והשם שסופק על ידיGoogle Cloud הוא 55kk88tt00, רשומת ה-PTR הנדרשת תיראה כך:

    $ dig +noall +answer -x 203.0.113.144

144.113.0.203.in-addr.arpa. 21599 IN PTR 55kk88tt00.example.net

  • IPv6: אם כתובת ה-IP לאימות היא 2001:db8::10, דומיין ה-DNS של 2001:db8::/32 הוא example.net, והשם שסופק על ידי Google Cloudהוא 55kk88tt00, רשומת ה-PTR הנדרשת תיראה כך:

    $ dig +noall +answer -x 2001:db8::10

0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa
21599 IN PTR 55kk88tt00.example.net.

אימות רשומת ה-PTR

אחרי שיוצרים את רשומת ה-PTR, מעדכנים את הקידומת הציבורית שפורסמה כדי להפעיל את האימות של רשומת ה-PTR.

המסוף

  1. במסוף Google Cloud , עוברים אל Bring your own IP.

    מעבר אל Bring your own IP

  2. לוחצים על בדיקת סטטוס ליד הקידומת שרוצים לעדכן.

  3. בקטע DNS validation (אימות DNS), מסמנים את תיבת הסימון I have created this PTR record (יצרתי את רשומת ה-PTR הזו) ולוחצים על Validate (אימות).

gcloud

כדי לשנות את הסטטוס של קידומת ה-IP שפורסמה לציבור ל-PTR-CONFIGURED, משתמשים בפקודה public-advertised-prefixes update.

שינוי הסטטוס מפעיל אימות של רשומת ה-PTR. אם הפעולה תצליח, הסטטוס ישתנה ל-VALIDATED. אם האימות נכשל, הסטטוס משתנה ל-REVERSE_DNS_LOOKUP_FAILED.

gcloud compute public-advertised-prefixes update PAP_NAME --status=PTR-CONFIGURED

מחליפים את PAP_NAME בקידומת הציבורית שפרסמתם ויצרתם עבורה רשומת PTR.

בדיקת הסטטוס של קידומת ציבורית שפורסמה

תהליך ההקצאה של קידומת ציבורית שפורסמה על ידי Google Cloud נמשך כארבעה שבועות. אפשר לבדוק את הסטטוס כדי לראות אם הקצאת ההרשאות הושלמה.

המסוף

  1. במסוף Google Cloud , עוברים אל Bring your own IP.

    מעבר אל Bring your own IP

  2. לוחצים על בדיקת הסטטוס של הקידומת שרוצים לבדוק.

  3. מעיינים בקטע אימות.

gcloud

כדי לתאר את הקידומת הגלויה שפורסמה ולקבל את הסטטוס שלה, משתמשים בפקודה public-advertised-prefixes describe.

gcloud compute public-advertised-prefixes describe PAP_NAME --format='value(status)'

מחליפים את הערך PAP_NAME בקידומת הציבורית שרוצים לקבל לגביה מידע על הסטטוס.

אחרי שהקידומת מאומתת, הערך בשדה הסטטוס משתנה מ-VALIDATED ל-PREFIX_CONFIGURATION_COMPLETE.

המאמרים הבאים