Route basate su policy

Questo documento fornisce una panoramica del routing basato su policy.

Le route basate su criteri consentono di selezionare un hop successivo in base a più di un indirizzo IP di destinazione di un pacchetto. Puoi abbinare il traffico anche in base al protocollo e all'indirizzo IP di origine. Il traffico corrispondente viene reindirizzato a un bilanciatore del carico di rete passthrough interno. In questo modo puoi inserire appliance come firewall nel percorso del traffico di rete.

Specifiche

• Quando crei una route basata su policy, selezioni le risorse a cui si applica la route basata su policy. La route può essere applicata a:
  • Tutte le istanze VM, i collegamenti VLAN Cloud Interconnect e i tunnel Cloud VPN che si trovano nella stessa rete VPC della route
  • Solo le istanze VM che si trovano nella stessa rete VPC della route e identificate dai tag di rete
  • Solo i collegamenti VLAN che si trovano in una regione specifica della stessa rete VPC della route. Non puoi creare una route basata su criteri che si applichi solo a un singolo collegamento VLAN o tunnel Cloud VPN
• L'hop successivo di una route basata su criteri deve essere un bilanciatore del carico di rete passthrough interno valido. Questo bilanciatore del carico di rete pass-through interno deve trovarsi nella stessa rete VPC della route basata su policy o in una rete VPC connessa alla rete VPC della route tramite peering di rete VPC.
• Le istanze VM di backend del bilanciatore del carico di rete passthrough interno dell'hop successivo devono avere l'IP forwarding abilitato.
• Le route basate su criteri vengono valutate prima delle route di subnet, delle route statiche e delle route dinamiche, ma dopo i percorsi di routing speciali. Per saperne di più, consulta il passaggio Route basate su policy nell'ordine di routing.
• Se due o più route basate su criteri hanno la stessa priorità e le caratteristiche di un pacchetto corrispondono ad almeno due di queste route basate su criteri, Google Cloud seleziona una singola route basata su criteri utilizzando un algoritmo interno. La route basata su criteri selezionata potrebbe non essere la corrispondenza più specifica per le caratteristiche del pacchetto perché le route basate su criteri non utilizzano la corrispondenza del prefisso più lungo. Assicurati che tutte le route basate su policy nella stessa rete VPC abbiano priorità univoche.
• Una route basata su policy può essere applicata al traffico IPv4 o IPv6.
• Puoi creare una singola regola per il traffico unidirezionale o più regole per gestire il traffico bidirezionale.

Limitazioni

• Le route basate su criteri non vengono scambiate tra le reti VPC connesse tramite peering di rete VPC.
• Le route basate su criteri non vengono scambiate tra gli spoke e gli hub di Network Connectivity Center.
• Le route basate su policy non supportano la corrispondenza del traffico in base alla porta.
• Non è possibile aggiornare una route basata su policy dopo la sua creazione. Se vuoi aggiornare un percorso, eliminalo e poi creane uno nuovo.
• La regola di forwarding del bilanciatore del carico di rete passthrough interno deve avere un indirizzo IP dedicato che non venga utilizzato da nessun altro bilanciatore del carico di rete passthrough interno. L'utilizzo di un indirizzo IP condiviso (scopo dell'indirizzo IP impostato su SHARED_LOADBALANCER_VIP) non è supportato.
• Le route basate su criteri possono interferire con la comunicazione tra il piano di controllo GKE e i nodi. Per maggiori informazioni, consulta Utilizzare route basate su criteri con GKE.
• Le route basate su criteri non possono instradare i pacchetti verso endpoint o backend Private Service Connect.
  • Per informazioni sull'utilizzo di route basati su criteri nelle reti VPC con endpoint o backend che accedono a servizi pubblicati, consulta Route basati su criteri e Private Service Connect per i servizi pubblicati.
  • Per informazioni sull'utilizzo di route basate su criteri nelle reti VPC con endpoint o backend che accedono alle API e ai servizi di Google, consulta Route basate su criteri e accesso alle API e ai servizi di Google.
• Solo i collegamenti VLAN che utilizzano Dataplane v2 possono utilizzare route basate su policy. Per esaminare il collegamento VLAN e verificare la versione utilizzata, consulta le istruzioni per Dedicated Interconnect o Partner Interconnect.

Salto di altre route basate su policy

Puoi creare una route basata su policy che ignora altre route basate su policy utilizzando Google Cloud CLI o inviando una richiesta API. Per gcloud CLI, utilizza il flag --next-hop-other-routes=DEFAULT_ROUTING. Per una richiesta API, includi "nextHopOtherRoutes": "DEFAULT_ROUTING" nel corpo della richiesta.

Se una route basata su criteri di questo tipo corrisponde alle caratteristiche di un pacchetto e ha una priorità superiore rispetto ad altre route basate su criteri corrispondenti, Google Cloudignora le altre route basate su criteri e passa al passaggio destinazione più specifica dell'ordine di routing VPC.

Ad esempio, considera una route basata su policy che utilizza un bilanciatore del carico di rete passthrough interno come hop successivo. Questa route basata su criteri ha un intervallo di origine 0.0.0.0/0 e un tag di rete compute-vm.

Per ignorare la valutazione della prima route basata su criteri quando le origini dei pacchetti corrispondono a un intervallo di indirizzi IP specifico, crea una route basata su criteri a priorità più alta configurata per ignorare altre route basate su criteri. Imposta l'intervallo di indirizzi IP di origine per questa route basata su policy con priorità più elevata sull'intervallo di indirizzi IP di origine dei sistemi che devono ignorare il routing basato su criteri.

Quota

Esiste un limite al numero di route basate su policy che puoi creare in un singolo progetto. Per saperne di più, consulta le quote per progetto nella documentazione di VPC.