Rotas com base em políticas

Neste documento, apresentamos uma visão geral das rotas com base na política.

Rotas com base na política permitem a seleção de um próximo salto baseado em mais do que o endereço IP de destino de um pacote. Também é possível corresponder o tráfego por protocolo e endereço IP de origem. O tráfego correspondente é redirecionado para um balanceador de carga de rede de passagem interna. Isso pode ajudar você a inserir dispositivos, como firewalls, no caminho de tráfego de rede.

Especificações

• Ao criar uma rota com base na política, você seleciona quais recursos podem ter o tráfego processado pela rota. A rota pode ser aplicada a estes casos:
  • Selecionar instâncias de máquina virtual (VM) na rede VPC
  • Todo o tráfego que entra na rede VPC por meio de anexos da VLAN do Cloud Interconnect em uma única região ou Rede VPC
  • Todas as instâncias de VM, anexos da VLAN para o Cloud Interconnect e os túneis do Cloud VPN na rede VPC
• O próximo salto de uma rota com base em políticas precisa ser um Balanceador de carga de rede de passagem interna. O balanceador de carga de rede de passagem interna precisa estar na mesma rede VPC que a rota com base em políticas ou em uma rede VPC conectada à rede VPC da rota pelo Peering de rede VPC. O uso de um próximo salto em uma rede VPC de peering está disponível Visualização.
• Rotas baseadas em políticas têm prioridade mais alta que outros tipos de rota, exceto caminhos de roteamento especiais.
• Se duas rotas com base na política tiverem a mesma prioridade, o Google Cloud usará um algoritmo interno determinístico para selecionar uma única rota com base na política, ignorando outras com a mesma prioridade. Rotas com base na política não usam a correspondência de prefixo mais longo e selecionam apenas a rota de prioridade mais alta.
• Uma rota com base em políticas pode ser aplicada ao tráfego IPv4 ou IPv6. A aplicação de uma rota com base em políticas para o tráfego IPv6 está disponível em Visualização.
• É possível criar uma única regra para o tráfego unidirecional ou várias regras para lidar com o tráfego bidirecional.
• Para usar rotas com base em políticas com o Cloud Interconnect, a rota precisa ser aplicada a todas as conexões do Cloud Interconnect em uma região inteira ou em uma rede VPC. Não é possível aplicar rotas com base na política a uma única conexão do Cloud Interconnect.
• As instâncias de VM que recebem tráfego de uma rota com base na política precisam estar com o encaminhamento de IP ativado.

Limitações

• As rotas com base em políticas não são trocadas entre redes VPC que estão conectados por peering de rede VPC.
• Rotas com base em políticas não são trocadas entre Spokes e hubs do Network Connectivity Center.
• As rotas com base na política não aceitam tráfego correspondente baseado na porta.
• Não é possível atualizar uma rota com base na política depois que ela é criada. Se você quiser atualizar uma rota, exclua-a e crie uma nova.
• A regra de encaminhamento do balanceador de carga de rede interno de passagem precisa ter um endereço IP dedicado. Não é possível usar um endereço IP compartilhado (finalidade do endereço IP definida como SHARED_LOADBALANCER_VIP).
• Rotas baseadas em políticas podem interferir na comunicação entre o plano de controle do GKE e os nós. Para mais informações, consulte Usar rotas baseadas em políticas com o GKE.
• As rotas baseadas em políticas não são compatíveis com o consumo de serviços publicados com endpoints ou back-ends do Private Service Connect. Para mais informações, consulte Usar rotas baseadas em políticas com o Private Service Connect.
• A conversão de endereços de rede de origem (SNAT) será necessária se as rotas com base em políticas se aplicarem ao tráfego das APIs Private Access ou Private Service Connect para Google. Para mais informações, consulte Usar rotas baseadas em políticas com o Acesso privado do Google ou endpoints para APIs do Google.
• Os anexos da VLAN precisam ter o Dataplane v2. Para inspecionar o anexo da VLAN e verificar sua versão, consulte as instruções da Interconexão dedicada ou da Interconexão por parceiro.

Ignorar outras rotas com base em políticas

É possível criar uma rota com base em políticas que pule outras rotas com base em políticas usando a CLI do Google Cloud ou enviando uma solicitação de API. Para a gcloud CLI, use a flag --next-hop-other-routes=DEFAULT_ROUTING. Para solicitações de API, inclua "nextHopOtherRoutes": "DEFAULT_ROUTING" no corpo da solicitação.

Se uma rota com base em políticas desse tipo corresponder às características de um pacote e tiver uma prioridade mais alta do que outras rotas com base em políticas correspondentes, o Google Cloud ignorará as outras rotas com base em políticas e prosseguirá para a etapa de destino mais específico da ordem de roteamento da VPC.

Por exemplo, considere uma rota com base em políticas que usa um balanceador de carga de rede de passagem interna de próximo salto. Essa rota com base em políticas tem um intervalo de origem de 0.0.0.0/0 e uma tag de rede de compute-vm.

Para pular a avaliação da primeira rota com base em políticas quando as origens de pacotes corresponderem a um intervalo de endereços IP específico, crie uma rota com base em políticas de prioridade mais alta configurada para ignorar outras rotas com base em políticas. Defina o intervalo de endereços IP de origem para essa rota com base em políticas de prioridade mais alta para o intervalo de endereços IP de origem dos sistemas que precisam pular o roteamento com base em políticas.

Cota

Há um limite de quantas rotas com base na política podem ser criadas em um único projeto. Para mais informações, consulte as cotas por projeto na documentação da VPC.