Crie um prefixo público anunciado
Pode trazer os seus próprios endereços IP (BYOIP) para o Trusted Cloud by S3NS. Depois de validarmos que é proprietário do intervalo de IPs e os endereços IP serem importados para o Trusted Cloud, pode atribuí-los a recursos suportados.
Pode importar intervalos de endereços IPv4 e IPv6. Os endereços IPv4 podem ser usados com a maioria dos Trusted Cloud recursos que suportam endereços IP externos. Os endereços IPv6 só podem ser usados com o Network Load Balancer de passagem externo. Para mais informações, consulte o artigo Suporte para endereços BYOIP.
O primeiro passo para usar o seu próprio IP é criar um prefixo anunciado publicamente. Estão disponíveis as seguintes opções:
| Configuração | Regional (v2) | Regional (v1) | Global (v1) |
|---|---|---|---|
| Disponibilidade | Configuração regional recomendada | Não recomendado para novas configurações regionais | Tem de pedir a adição do seu projeto a uma lista de autorizações |
| Tempo de aprovisionamento do prefixo público anunciado | Aproximadamente 2 semanas | Aproximadamente 4 semanas | Aproximadamente 4 semanas |
| Tempo de aprovisionamento do prefixo público delegado | Alguns minutos | 4 semanas
Pode sobrepor-se ao tempo de aprovisionamento do prefixo público anunciado |
4 semanas
Pode sobrepor-se ao tempo de aprovisionamento do prefixo público anunciado |
| Tempo de aprovisionamento do subprefixo | Alguns minutos | Alguns minutos | Alguns minutos |
| Anúncio BGP | O prefixo anunciado público não é anunciado automaticamente quando é aprovisionado. Decide quando anunciar ou retirar o anúncio. | O prefixo anunciado publicamente é anunciado automaticamente após a conclusão do aprovisionamento. | O prefixo anunciado publicamente é anunciado automaticamente após a conclusão do aprovisionamento. |
| Coleção de IP |
|
IPv4 | IPv4 |
Antes de começar
- Trazer os seus próprios endereços IP para o Trusted Cloud requer um planeamento cuidadoso. Para mais informações, consulte o artigo Planeamento para usar os seus próprios endereços IP.
- Considere usar uma organização e criar um projeto dedicado para gerir endereços BYOIP. Para mais informações, consulte o artigo Arquitetura do projeto.
- Verifique se alguma parte do prefixo que quer importar já está anunciada publicamente. Se for o caso, tem de se certificar de que Trusted Cloud não
o anuncia enquanto está a ser anunciado a partir de outra origem:
- Se estiver a criar um prefixo público anunciado v2 para endereços regionais, tem controlo sobre o anúncio do prefixo. Pode criar o prefixo anunciado público e os prefixos delegados públicos, mas tem de garantir que o prefixo não é anunciado em mais nenhum local antes de o anunciar a partir deTrusted Cloud.
- Se estiver a criar um prefixo público anunciado v1 para endereços globais, o prefixo é anunciado automaticamente assim que o aprovisionamento do prefixo público delegado estiver concluído. Não crie prefixos delegados públicos até que o prefixo deixe de ser anunciado a partir de outra origem.
Funções
Para receber as autorizações de que
precisa para concluir as tarefas neste guia,
peça ao seu administrador que lhe conceda a função de IAM
administrador de IPs públicos do Compute (roles/compute.publicIpAdmin)
no seu projeto.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Valide a propriedade do seu prefixo
Quando cria um prefixo público anunciado, conclui duas tarefas que, em conjunto, permitem Trusted Cloud validar que é proprietário deste prefixo:
- Criar uma autorização de origem de trajeto (ROA) para o seu prefixo.
- Criar um registo PTR para um endereço IP no seu prefixo.
Os detalhes destas tarefas de validação estão descritos nas secções seguintes.
Após a conclusão da validação, a configuração do prefixo anunciado publicamente demora aproximadamente quatro semanas.
Crie uma solicitação de ROA
Para provar que tem a propriedade de um prefixo, crie um pedido de autorização de origem de trajeto (ROA).
Envie um pedido de ROA com o seu registo regional para o prefixo que quer
Trusted Cloud anunciar. O pedido inclui o prefixo, o comprimento do prefixo e o ASN para Trusted Cloud: 203532.
Quando cria o prefixo público anunciado, o ROA para este prefixo tem de existir e apontar para o ASN de Trusted Cloud e permanecer em vigor durante algum tempo depois de eliminar o prefixo público anunciado. Para mais informações, consulte o artigo Remova uma ROA.
Recomendamos que envie outro pedido de ROA para o mesmo prefixo e comprimento do prefixo, mas use o seu próprio ASN como origem. Se alguma vez precisar de anunciar o prefixo, o ROA com o seu ASN impede que as redes que usam a infraestrutura de chave pública de recursos (RPKI) considerem o prefixo inválido porque também é anunciado com o ASN de origem para Trusted Cloud.
O seu registo de Internet regional local processa pedidos de ROA. Para mais informações, consulte o link da sua localização:
- AFRINIC (África)
- APNIC (Partes da Ásia e Oceânia)
- ARIN (América do Norte e algumas ilhas das Caraíbas)
- LACNIC (América Latina)
- RIPE NCC (Europa, Ásia Central e Médio Oriente)
Crie um prefixo público anunciado
Pode criar um prefixo público anunciado para o prefixo que quer trazer para o Trusted Cloud.
Não é possível alterar o nome de um prefixo público anunciado sem eliminar e recriar o recurso. Por este motivo, recomendamos que crie nomes genéricos que não precisem de ser alterados. Por exemplo, pap-203-0-113-0-24, em que pap
denota o tipo de recurso e 203-0-113-0-24 denota o prefixo específico e o comprimento do prefixo.
Se quiser usar o prefixo anunciado público para criar prefixos delegados públicos globais, o seu projeto tem de ser adicionado a uma lista de autorizações. Para mais informações, consulte o artigo Prefixos delegados públicos globais.
Escolha um endereço IP não utilizado para a validação de DNS. A validação requer que configure um novo registo PTR para este endereço IP e não sabe o nome do anfitrião até criar o prefixo anunciado publicamente.
Consola
Na Trusted Cloud consola, aceda a Bring your own IP.
Clique em Adicionar PAP.
Em Nome, introduza um nome para o prefixo anunciado publicamente.
Em Descrição, introduza uma descrição opcional para o prefixo anunciado publicamente.
Para Versão do IP, selecione IPv4 ou IPv6.
Introduza o prefixo que quer importar.
Se estiver a importar um prefixo IPv4, selecione um Âmbito para o prefixo anunciado publicamente: Regional ou Global.
Clicar em Seguinte.
Reveja as informações que introduziu. Para confirmar que é proprietário deste prefixo, clique em Confirmar.
Para o endereço IP, introduza um endereço IP não usado do prefixo que está a adicionar. Este endereço é usado para a validação de DNS e, num passo posterior, tem de criar um registo PTR para o mesmo que use um nome de anfitrião fornecido por Trusted Cloud.
Clique em Criar. O ecrã Validação mostra o estado de validação deste pedido.
gcloud
Use o comando public-advertised-prefixes create.
Para criar um prefixo público anunciado (v1) para endereços globais, execute o seguinte comando:
gcloud compute public-advertised-prefixes create PAP_NAME \ --range=PAP_IP_RANGE \ --dns-verification-ip=VERIFICATION_IP_ADDRESSPara criar um prefixo público anunciado (v2) para endereços regionais, execute o seguinte comando:
gcloud compute public-advertised-prefixes create PAP_NAME \ --range=PAP_IP_RANGE \ --pdp-scope=REGIONAL \ --dns-verification-ip=VERIFICATION_IP_ADDRESSA criação de um prefixo público anunciado (v1) para endereços regionais não é recomendada. Em alternativa, crie um prefixo público anunciado v2. Se tiver de criar um prefixo público anunciado v1 para endereços regionais, execute o seguinte comando:
gcloud compute public-advertised-prefixes create PAP_NAME \ --range=PAP_IP_RANGE \ --dns-verification-ip=VERIFICATION_IP_ADDRESS
Substitua o seguinte:
PAP_NAME: um nome para o prefixo anunciado publicamente que está a criar.PAP_IP_RANGE: o intervalo de endereços IP para o prefixo anunciado publicamente. O intervalo pode ser um intervalo de endereços IPv4 ou IPv6.VERIFICATION_IP_ADDRESS: um endereço IP não usado escolhido a partir do PAP_IP_RANGE. Este endereço é usado para a validação de DNS e, num passo posterior, tem de criar um registo PTR para o mesmo que use um nome de anfitrião fornecido por Trusted Cloud.
Encontre o nome a usar para o registo PTR
Quando cria um prefixo público anunciado,o Google Cloud Trusted Cloud gera um nome para usar como nome do anfitrião para o passo de validação de PTR.
Consola
Na Trusted Cloud consola, aceda a Bring your own IP.
Clique em Verificar estado para o prefixo que quer atualizar.
O nome e o endereço IP a usar para a validação de PTR são apresentados na secção Validação de DNS.
gcloud
Para obter o nome do campo
sharedSecret, use o comandopublic-advertised-prefixes describe.gcloud compute public-advertised-prefixes describe \ PAP_NAME --format='value(sharedSecret)'Se necessário, pode obter o endereço IP que indicou para a validação de DNS.
gcloud compute public-advertised-prefixes describe \ PAP_NAME --format='value(dnsVerificationIp)'
Em ambos os comandos, substitua PAP_NAME pelo nome do prefixo anunciado publicamente.
Crie o registo PTR
Para validar que é proprietário do intervalo de endereços IP que está a importar para Trusted Cloud, tem de criar um registo PTR público na zona DNS que é usada para o intervalo de endereços IP que está a importar.
Use os seguintes valores no registo PTR:
- Endereço IP: o endereço IP de validação que usou quando criou o prefixo anunciado publicamente.
- Nome do anfitrião: o nome (
sharedSecret) que Trusted Cloud indicou. - Nome do domínio: o nome do domínio associado à zona DNS que é usada para o intervalo de endereços IP que está a importar.
Exemplos:
IPv4: se o seu endereço IP de validação for
203.0.113.144, o domínio DNS de203.0.113.0/24forexample.nete o nome fornecido porTrusted Cloud for55kk88tt00, o registo PTR necessário teria o seguinte aspeto:$ dig +noall +answer -x 203.0.113.144 144.113.0.203.in-addr.arpa. 21599 IN PTR 55kk88tt99.example.net
IPv6: se o seu endereço IP de validação for
2001:db8::10, o domínio DNS de2001:db8::/32forexample.nete o nome fornecido por Trusted Cloudfor55kk88tt00, o registo PTR necessário teria o seguinte aspeto:$ dig +noall +answer -x 2001:db8::10 0.1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa 21599 IN PTR 55kk88tt99.example.net.
Valide o registo PTR
Depois de criar o registo PTR, atualize o prefixo público anunciado para acionar a validação do registo PTR.
Consola
Na Trusted Cloud consola, aceda a Bring your own IP.
Clique em Verificar estado para o prefixo que quer atualizar.
Na secção Validação de DNS, selecione a caixa de verificação Criei este registo PTR e clique em Validar.
gcloud
Para alterar o estado do prefixo público anunciado para PTR-CONFIGURED,
use o public-advertised-prefixes update
comando.
A alteração do estado aciona a validação do registo PTR. Se for bem-sucedida, o estado é alterado para VALIDATED. Se falhar, o estado
muda para REVERSE_DNS_LOOKUP_FAILED.
gcloud compute public-advertised-prefixes update PAP_NAME --status=PTR-CONFIGURED
Substitua PAP_NAME pelo prefixo público anunciado para o qual criou um registo PTR.
Verifique o estado de um prefixo anunciado publicamente
Demora aproximadamente quatro semanas para que Trusted Cloud seja feito o aprovisionamento do prefixo anunciado publicamente. Pode verificar o estado para ver se o aprovisionamento está concluído.
Consola
Na Trusted Cloud consola, aceda a Bring your own IP.
Clique em Verificar estado para o prefixo que quer verificar.
Veja a secção Validação.
gcloud
Para descrever o prefixo público anunciado e obter o respetivo estado, use o
public-advertised-prefixes describe
comando.
gcloud compute public-advertised-prefixes describe PAP_NAME --format='value(status)'
Substitua PAP_NAME pelo prefixo anunciado publicamente para o qual quer obter informações de estado.
Após a validação do prefixo, o campo de estado muda de VALIDATED para
PREFIX_CONFIGURATION_COMPLETE.