専用エグレスIP
専用エグレスIPは、組織からのトラフィックをホワイトリストに登録するために使用できる静的IPアドレスです。これらのIPはあなたのアカウントに固有であり、Cloudflareのネットワークを通じてトラフィックをルーティングする他の顧客によって使用されることはありません。各専用エグレスIPは、特定のCloudflareデータセンターに割り当てられたIPv4アドレスとIPv6範囲で構成されています。最低限、Cloudflareは異なる2つの都市にあるデータセンターに対応する2つの専用エグレスIPをあなたのアカウントに提供します。
アカウントは、任意の数の追加専用エグレスIPを持つことができます。追加の専用エグレスIPをリクエストするには、アカウントチームに連絡してサービスウィンドウをスケジュールしてください。
専用エグレスIPを通じてトラフィックをルーティングするには:
- 専用エグレスIPを取得するためにアカウントチームに連絡します。
- Zero Trust ↗に移動し、設定 > ネットワークに進みます。
- TCPのプロキシをオンにします。
- (オプション)UDPを選択します。これにより、HTTP/3トラフィックが専用IPでエグレスされます。
専用エグレスIPは、GatewayによってプロキシされたすべてのネットワークおよびHTTPトラフィックに対してオンになっています。トラフィックの一部に対して専用エグレスIPを選択的にオンにするには、エグレスポリシーを参照してください。
デバイスが正しい専用エグレスIPを使用しているか確認するには:
- デバイスがWARPクライアントを通じてあなたのZero Trust組織に接続されていることを確認します。
https://ipv4.icanhazip.com/にアクセスして、デバイスのソースIPv4アドレスを確認します。https://ipv6.icanhazip.com/にアクセスして、デバイスのソースIPv6アドレスを確認します。- ソースIPv4およびIPv6アドレスが専用エグレスIPと一致することを確認します。
別のオリジンに対してテストする際、IPv4またはIPv6アドレスのいずれかが表示される場合があります。Gatewayは、接続がIPv4またはIPv6で行われるかどうかを制御できません。一部のオリジンはIPv4でのみ利用可能であり、他のオリジンはIPv6でのみ利用可能です。両方のプロトコルがサポートされている場合、決定はクライアントデバイスのオペレーティングシステムとブラウザによって行われます。たとえば、WindowsはデフォルトでIPv6を優先します ↗。
あなたの組織に割り当てられた各専用エグレスIPは、オリジンごとに40,000の同時接続をサポートします。各専用エグレスIPとソースポートの組み合わせに対して複数のオリジンを構成できます。
専用エグレスIPは以下には適用されません:
- Gatewayを通じて解決されたDNSクエリ
- Cloudflare Tunnelを介してZero Trustに接続されたプライベートネットワーク
- Magic WANを介してZero Trustに接続されたプライベートネットワーク向けのトラフィック
- ICMPトラフィック(例:
ping)
これらのオリジンは、専用エグレスIPの代わりにデフォルトの共有IPを使用します。これは、CloudflareがこれらのオリジンへのトラフィックをソースIP以外の識別子でフィルタリングできるためです。
トラフィックのレジリエンスを向上させるために、専用エグレスIPを異なるCloudflareデータセンターの場所に割り当てます。同じ都市に複数のIPがある場合は、その都市内の異なるデータセンターを選択してください。詳細については、アカウントチームに連絡してください。
専用エグレスIPを使用してエグレスポリシーを作成する際は、セカンダリIPv4アドレスを_デフォルトCloudflareエグレス_またはプライマリIPv4アドレスとは異なるCloudflareの場所に設定してください。プライマリIPv4アドレスの物理的な場所が利用できない場合、トラフィックはユーザーに最も近い場所(_デフォルトCloudflareエグレス_オプション)または選択した別の場所にルーティングされます。
あなたのエグレストラフィックは、エグレスポリシーで選択した都市にジオロケートされます。トラフィックがエグレスポリシーに一致しない場合、IPジオロケーションはユーザーに最も近い専用エグレスの場所にデフォルトします。専用エグレスIPがアカウントに割り当てられる前に、キャッチオールエグレスポリシーを作成することをお勧めします。これにより、ジオロケーションデータベースが更新される間、ユーザーのトラフィックの不正確なジオロケーションを防ぐことができます。
専用エグレスIPをオンにすると、GatewayはサードパーティのIPジオロケーションデータベースを更新します。他のウェブサイト(例:Google検索)は、ユーザーのソースIPをジオロケートするためにこれらのデータベースを確認します。たとえば、ユーザーがインドにいる場合、Googleは更新されたIPジオロケーションを認識するまで、インドのランディングページではなく、アメリカのGoogleランディングページにユーザーを誘導します。
IPジオロケーションが更新されたことを確認するには、サポートされているデータベースの1つで専用エグレスIPを確認してください:
サポートされているIPジオロケーションデータベース
ユーザーの物理的なエグレスロケーションは、接続がIPv4またはIPv6のいずれかによって異なります。
| 宛先IP | Cloudflareによってプロキシされた宛先 | 物理的エグレスロケーション |
|---|---|---|
| IPv4 | いいえ | 専用エグレスIPを持つデータセンターからエグレス |
| IPv4 | はい | ローカルに接続されたデータセンターからエグレス |
| IPv6 | いいえ | ローカルに接続されたデータセンターからエグレス |
| IPv6 | はい | ローカルに接続されたデータセンターからエグレス |
エグレスロケーションに関係なく、IPジオロケーションは割り当てられた専用エグレスIPと一致します。
特定の場所から物理的にエグレスするには、トラフィックがIPv4を介してCloudflareにプロキシされる必要があります。エンドユーザーは最寄りのCloudflareデータセンターに接続しますが、Cloudflareは内部的にトラフィックをあなたのエグレスポリシーで設定された専用の場所からエグレスするようにルーティングします。したがって、ユーザーのWARPクライアントの設定に表示される接続されたデータセンターは、実際のエグレスロケーションと一致しない場合があります。
ユーザーがCloudflareによってプロキシされたドメイン(オレンジクラウドドメインとも呼ばれる)を訪問する際、IPv4のパフォーマンスを向上させることができます。このシナリオでは、IPv4トラフィックは、あなたの専用の場所からエグレスするように見えながら、ネットワーク内の最もパフォーマンスの高いデータセンターから物理的にエグレスします。
たとえば、ロサンゼルスにプライマリ専用エグレスIPがあり、ニューヨークにセカンダリ専用エグレスIPがあると仮定します。ラスベガスのユーザーは、接続されたデータセンターとしてラスベガスを表示します。Cloudflareによってプロキシされていないサイト(グレーのクラウド)にアクセスすると、espn.comのように、ロサンゼルス(または一致するエグレスポリシーの都市)からエグレスします。Cloudflareのサイトであるcloudflare.comのようなオレンジクラウドのサイトにアクセスすると、ラスベガスから物理的にエグレスしますが、ロサンゼルスをIPジオロケーションとして使用します。
IPv6を介してプロキシされたトラフィックは、IPv4とは異なり、接続されたデータセンターから物理的にエグレスしますが、論理的にはあなたの専用IPジオロケーションでエグレスします。上記の例では、ラスベガスのユーザーはラスベガスからエグレスしますが、ロサンゼルスからIPジオロケートされます。
いいえ、エグレスIPは単一のデータセンターに制限されています。
いいえ、トラフィックはエグレスIPが割り当てられたデータセンターからのみエグレスします。遠く離れた場所にユーザーがいる場合は、異なるデータセンターにわたって複数のエグレスIPを予約し、ユーザーを最寄りのデータセンターに割り当てることをお勧めします。
PACファイルを介してプロキシされたトラフィックで専用エグレスIPを使用できますか?
はい、ユーザーは割り当てられたIPアドレスを介してエグレスします。
Cloudflare Browser Isolationで専用エグレスIPを使用するとどうなりますか?
ユーザーは最寄りのデータセンターに接続し、リモートブラウザセッションがロードされます。リモートブラウザは、その割り当てられたエグレスIPを持つデータセンターを介してエグレスします。
専用エグレスIPはCloudflare China Networkで機能しますか?
いいえ、GatewayはChina Networkで専用エグレスIPをサポートしていません。