本日、Bring Your Own IP (BYOIP)がレイヤー7製品、およびSpectrum、Magic Transitサービスで一般利用できるようになったことを発表いたします。BYOIPを設定する時、Cloudflareエッジはお客様ご自身のIPプレフィックスを通知し、そのプレフィックスがレイヤー7サービス、Spectrum、Magic Transitと使われます。IPプレフィックスという用語はあまり耳慣れないかもしれませんね。これは、IPアドレスの範囲のことで、ルーターはインターネットを経由してパケットが正しく配信されるようにするルーティングテーブルとして知られている到達可能なプレフィックスの表を作成します。
この発表の一環として、関連製品ページと開発者向けの資料、プレフィックスを制御するためのUIサポートにBYOIPを一覧で掲載しています。以前のサポートはAPIだけでした。
お客様がCloudflareを選ぶ理由は、たくさんあります。IPプレフィックスが既に多くの重要な場所で許可リストされている場合もありますし、Cloudflareアドレススペースも許可するファイアウォール ルールを更新することが、管理上の大きな問題となることもあります。さらに、DNSを経由してIPを直接指し示すエンドユーザーが何百何千、もしかすると何百万もいるかもしれません。そして、すべてのエンドユーザーがCloudflare IPを指し示すようにレコードを更新するには、非常に時間がかかります。
ここ数四半期にわたって、お客様ご自身のIPを大々的に持ち込めるようにサポートするツールと手順を構築してきました。このブログを書いている時点で、何百ものお客様のIPプレフィックスをオンボードさせることに成功しています。このうち84%は、Magic Transitのデプロイメントで、14%がレイヤー7のデプロイメントで、そして2%がSpectrumのデプロイメントで使用されています。
CloudflareでBYOIPするということは、世界中200以上の都市でみなさまのIPスペースを通知し、お好きなサービス1つ(または複数のサービス)にIPプレフィックスを結びつけるという意味です。ユーザーのIPは、Cloudflare独自のIPであるかのように保護されて加速されます。プレフィックスが通知される場所を制限する技術的要件やデータ主権のような法的要件がある場合に、当社がBYOIPプレフィックスの地域デプロイメントもサポートできます。
Cloudflareエッジからボタンを数回クリックするだけで、IPの広報をでき、ものの数分で世界中に伝えることができます。
BYOIPのお客様は全員に、プレフィックスに関するネットワーク分析をお送りします。さらに、BYOIPプレフィックスのIPはすべてが静的IPとみなされます。CloudflareのIPプレフィックスで利用するサービスに特有のメリットもあります。
レイヤー7 + BYOIP:
Cloudflareには、ボット管理、Rate Limiting、Web アプリケーションファイアウォール、コンテンツ配信など、堅牢なレイヤー7製品プロフィールが揃っています。BYOIPとレイヤー7製品を一緒に選択でき、IPアドレスの利点をすべてご活用していただけます。
レイヤー7製品では、ドメイン間でIPを共有したり、専用IPにドメインを配置するなど、IPからドメインへのマッピングリクエストを多数サポートでき、SNI非対応などの要件を満たすのに役立ちます。
BYOIPを利用するSSL for SaaSのお客様の場合、何らかの理由でIPが利用できなくなった時に、custom_hostnamesのIPアドレス応答を変更できるよう柔軟性が向上されました。
Spectrum + BYOIP:
Spectrumは、UDPまたはTCPプロトコルのどちらでも実行するアプリケーションを保護し、加速させるCloudflareのソリューションです。SpectrumAPIは今、BYOIPをサポートしています。BYOIPをお使いのSpectrumのお客様は、SpectrumのAPIを介して、Spectrumアプリケーションと関連させるIPを特定することができます。
Magic Transit + BYOIP:
Magic Transitは、IPアドレスを通知することでネットワークトラフィック全体を処理するレイヤー3セキュリティサービスです。処理するCloudflareエッジにトラフィックを集めます。そして、高度なパケットフィルタリングとファイアウォール設定をサポートしています。BYOIPは、Magic Transitサービスの利用要件です。Magic TransitはIPレベルサービスなので、Cloudflareはこのサービスをご提供するためにユーザーのIPを通知できなければなりません。
CloudflareにIPを持ち込むために必要なことは?
Cloudflareがプレフィックスを通知する前、始めるために必要な文書があります。1つ目は、「認可書(LOA)」と呼ばれるもので、プレフィックスとCloudflareにどのように通知して欲しいかについての詳細を説明します。この文書は、プレフィックスのプロビジョニングの前に、Tier 1トランジットプロバイダーと共有します。このステップは、当社がユーザーのプレフィックスを通知する許可を得ていることをTier 1が認識するために行われます。
2つ目は、インターネットルーティングレジストリ(IRR)レコードが最新のものでありLOAのデータが反映されていることが求められます。これは通常、地域レジストリのエントリが最新のものであるかを確認することを意味します(例:ARIN, RIPE, APNIC)。
細かい管理が大変になった場合は、アカウントチームと協力して、プレフィックスが通知の準備がいつ完了するか把握してください。
当社では、お客様にRPKIのご利用をお勧めしていますが、お客様のプレフィックスのためにこれをサポートすることができるからです。ブログで書いた通り、このプロトコルの採用を要因するための広い機能を構築してきました。RPKIサポートとBYOIPに関心をお持ちであれば、ぜひアカウントチームにお知らせください!
設定
お客様のプレフィックスはそれぞれ、UIまたはAPIのどちらかで「ダイナミック広報」トグルを経由して通知することができ、お客様の代わりにプレフィックスを通知するか、取り消すか、どちらかをCloudflareエッジで行えます。プレフィックスの準備ができたかどうかをアカウントチームがお知らせ次第、すぐに実行できます。
IPが通知の準備ができると、プレフィックスの「委託」を設定することもできます。「委託」機能は複数のCloudflareアカウントを通じてプレフィックスがどのように使用されるかを管理し、どのサービスとつながっているかによって、若干の影響があります。プレフィックスは、単一のアカウントで所有されるものですが、「委託」はプレフィックスの機能性のいくつかを他のアカウントにも拡張することができます。これは、開発者向け文書にも記録されています。現在、「委託」はレイヤー7とSpectrum BYOIPプレフィックスに影響を与える可能性があります。
レイヤー7:BYOIP+レイヤー7もSSL for SaaSサービスもご利用の場合、他のアカウントの委託は、プレフィックスを所有するオリジナルアカウントに加えて、そのアカウントもプレフィックスを使ってカスタムホスト名を検証することができるようにします。つまり、複数のアカウントが同じIPプレフィックスを使って、カスタムホスト名へのトラフィックを処理できるということです。さらに、みなさまのIPはすべて、こうしたホスト名のトラフィックを処理できます。ということは、IPが何らかの理由でブロックされても、こうしたホスト名のIPアドレスが簡単に変更できるということになります。
Spectrum:もしSpectrum API経由でBYOIP + Spectrumをご利用ならば、Spectrumアプリを作成したいプレフィックスで、IPを特定できます。他のアカウントにプレフィックスの委託を作成したい場合は、2番目のアカウントもアプリを作成したいプレフィックスからIPを特定することができます。
Magic Transit、CDN、Spectrumのどれかを介したBYOIPについて関心をお持ちの場合、現在当社のサービスをご利用中のお客様は、ご自分のアカウントチームにお問い合わせください。当社をまだご利用になっていない方は、[email protected]にご連絡お願いいたします。