Rotas baseadas em políticas

Este documento apresenta uma vista geral do encaminhamento baseado em políticas.

As rotas baseadas em políticas permitem-lhe selecionar um próximo salto com base em mais do que o endereço IP de destino de um pacote. Também pode fazer a correspondência do tráfego por protocolo e endereço IP de origem. O tráfego correspondente é redirecionado para um balanceador de carga de rede de passagem interno. Isto pode ajudar a inserir aparelhos, como firewalls, no caminho do tráfego de rede.

Especificações

  • Quando cria uma rota baseada em políticas, seleciona os recursos aos quais a rota baseada em políticas se aplica. O trajeto pode aplicar-se a:
    • Todas as instâncias de VM, anexos de VLAN do Cloud Interconnect e túneis do Cloud VPN que estão na mesma rede de VPC que o trajeto
    • Apenas as instâncias de VM que estão na mesma rede VPC que a rota e são identificadas por etiquetas de rede
    • Apenas associações de VLAN que se encontram numa região específica da mesma rede VPC que o trajeto. Não pode criar uma rota baseada em políticas que se aplique apenas a uma única associação de VLAN ou a um túnel de VPN do Google Cloud
  • O próximo salto de uma rota baseada em políticas tem de ser um Network Load Balancer de encaminhamento interno válido. Este balanceador de carga de rede de encaminhamento interno tem de estar na mesma rede da VPC que o trajeto baseado em políticas ou numa rede da VPC que esteja ligada à rede da VPC do trajeto através do intercâmbio da rede da VPC.
  • As instâncias de VM de back-end do balanceador de carga de rede de passagem interna do salto seguinte têm de ter o encaminhamento de IP ativado.
  • Os trajetos baseados em políticas são avaliados antes dos trajetos de sub-rede, dos trajetos estáticos e dos trajetos dinâmicos, mas depois dos caminhos de encaminhamento especiais. Para mais informações, consulte o passo Rotas baseadas em políticas na ordem de encaminhamento.
  • Se duas ou mais rotas baseadas em políticas tiverem a mesma prioridade e as características de um pacote corresponderem, pelo menos, a duas dessas rotas baseadas em políticas, o Google Cloudseleciona uma única rota baseada em políticas através de um algoritmo interno. A rota baseada em políticas selecionada pode não ser a correspondência mais específica para as características do pacote porque as rotas baseadas em políticas não usam a correspondência de prefixo mais longo. Certifique-se de que todas as rotas baseadas em políticas na mesma rede VPC têm prioridades únicas.
  • Um encaminhamento baseado em políticas pode aplicar-se ao tráfego IPv4 ou IPv6.
  • Pode criar uma única regra para tráfego unidirecional ou várias regras para processar tráfego bidirecional.

Limitações

  • Os trajetos baseados em políticas não são trocados entre redes VPC que estão ligadas através do intercâmbio das redes da VPC.
  • As rotas baseadas em políticas não são trocadas entre os raios e os hubs do Network Connectivity Center.
  • As rotas baseadas em políticas não suportam a correspondência de tráfego com base na porta.
  • Não é possível atualizar uma rota baseada em políticas depois de criada. Se quiser atualizar um trajeto, elimine o trajeto e, em seguida, crie um novo.
  • A regra de encaminhamento do Network Load Balancer de passagem interno tem de ter um endereço IP dedicado que não seja usado por nenhum outro Network Load Balancer de passagem interno. A utilização de um endereço IP partilhado (finalidade do endereço IP definida como SHARED_LOADBALANCER_VIP) não é suportada.
  • As rotas baseadas em políticas podem interferir na comunicação entre o plano de controlo do GKE e os nós. Para mais informações, consulte o artigo Use rotas baseadas em políticas com o GKE.
  • As rotas baseadas em políticas não podem encaminhar pacotes para pontos finais ou back-ends do Private Service Connect.
  • Apenas as associações de VLAN que usam o Dataplane v2 podem usar rotas baseadas em políticas. Para inspecionar a sua associação de VLAN e verificar que versão usa, consulte as instruções para o Dedicated Interconnect ou o Partner Interconnect.

Ignorar outros trajetos baseados em políticas

Pode criar uma rota baseada em políticas que ignore outras rotas baseadas em políticas através da CLI Google Cloud ou do envio de um pedido de API. Para a CLI gcloud, use a flag --next-hop-other-routes=DEFAULT_ROUTING. Para um pedido de API, inclua "nextHopOtherRoutes": "DEFAULT_ROUTING" no corpo do pedido.

Se uma rota baseada em políticas deste tipo corresponder às características de um pacote e tiver uma prioridade superior à de outras rotas baseadas em políticas correspondentes, Google Cloud ignora as outras rotas baseadas em políticas e avança para o passo de destino mais específico da ordem de encaminhamento da VPC.

Por exemplo, considere uma rota baseada em políticas que usa um balanceador de carga de rede de encaminhamento interno de próximo salto. Esta rota baseada em políticas tem um intervalo de origem de 0.0.0.0/0 e uma etiqueta de rede de compute-vm.

Para ignorar a avaliação do primeiro trajeto baseado em políticas quando as origens de pacotes correspondem a um intervalo de endereços IP específico, crie um trajeto baseado em políticas de prioridade mais elevada que esteja configurado para ignorar outros trajetos baseados em políticas. Defina o intervalo de endereços IP de origem para esta rota baseada em políticas de prioridade mais elevada como o intervalo de endereços IP de origem dos sistemas que têm de ignorar o encaminhamento baseado em políticas.

Quota

Existe um limite para o número de rotas baseadas em políticas que pode criar num único projeto. Para mais informações, consulte as quotas por projeto na documentação da VPC.