Richtlinienbasierte Routen
In diesem Dokument erhalten Sie eine Übersicht über richtlinienbasierte Routen.
Mit richtlinienbasierten Routen können Sie einen nächsten Hop anhand von mehr als der Ziel-IP-Adresse eines Pakets auswählen. Sie können den Traffic auch mit dem Protokoll und der Quell-IP-Adresse abgleichen. Übereinstimmender Traffic wird an einen internen Passthrough-Network Load Balancer weitergeleitet. Auf diese Weise können Sie Appliances wie Firewalls in den Pfad des Netzwerktraffics einfügen.
Spezifikationen
- Wenn Sie eine richtlinienbasierte Route erstellen, wählen Sie aus, welche Ressourcen von der Route verarbeitet werden können. Die Route kann für Folgendes gelten:
- VM-Instanzen im VPC-Netzwerk auswählen
- Der gesamte Traffic, der über VLAN-Anhänge für Cloud Interconnect in einer einzelnen Region oder einem VPC-Netzwerk in das VPC-Netzwerk eintritt
- Alle VM-Instanzen, VLAN-Anhänge für Cloud Interconnect und Cloud VPN-Tunnel im VPC-Netzwerk
- Der nächste Hop einer richtlinienbasierten Route muss ein gültiger interner Passthrough-Network Load Balancer sein. Dieser interne Passthrough-Network Load Balancer muss sich entweder im selben VPC-Netzwerk wie die richtlinienbasierte Route oder in einem VPC-Netzwerk befinden, das über VPC Network Peering mit dem VPC-Netzwerk der Route verbunden ist. Die Verwendung eines nächsten Hops in einem Peer-VPC-Netzwerk ist in der Vorabversion verfügbar.
- Richtlinienbasierte Routen haben eine höhere Priorität als andere Routentypen mit Ausnahme von speziellen Routenpfaden.
- Wenn zwei richtlinienbasierte Routen dieselbe Priorität haben, verwendet Google Cloud einen deterministischen internen Algorithmus, um eine einzelne richtlinienbasierte Route auszuwählen, wobei andere Routen mit derselben Priorität ignoriert werden. Richtlinienbasierte Routen verwenden keinen Abgleich mit dem längsten Präfix und wählen nur die Route mit der höchsten Priorität aus.
- Eine richtlinienbasierte Route kann entweder auf IPv4- oder IPv6-Traffic angewendet werden. Die Anwendung einer richtlinienbasierten Route auf IPv6-Traffic ist in der Vorabversion verfügbar.
- Sie können eine einzelne Regel für unidirektionalen Traffic oder mehrere Regeln zur Verarbeitung von bidirektionalem Traffic erstellen.
- Wenn Sie richtlinienbasierte Routen mit Cloud Interconnect verwenden möchten, muss die Route auf alle Cloud Interconnect-Verbindungen in einer gesamten Region oder einem gesamten VPC-Netzwerk angewendet werden. Richtlinienbasierte Routen können nicht nur auf eine einzelne Cloud Interconnect-Verbindung angewendet werden.
- Für die VM-Instanzen, die Traffic von einer richtlinienbasierten Route empfangen, muss die IP-Weiterleitung aktiviert sein.
Beschränkungen
- Richtlinienbasierte Routen werden nicht zwischen VPC-Netzwerken ausgetauscht, die über VPC-Netzwerk-Peering verbunden sind.
- Richtlinienbasierte Routen werden nicht zwischen Spokes und Hubs des Network Connectivity Centers ausgetauscht.
- Richtlinienbasierte Routen unterstützen nicht den Abgleich von Traffic auf Basis von Ports.
- Eine richtlinienbasierte Route kann nach dem Erstellen nicht mehr aktualisiert werden. Wenn Sie eine Route aktualisieren möchten, löschen Sie die Route und erstellen Sie eine neue.
- Die interne Weiterleitungsregel für den Passthrough-Network Load Balancer muss eine dedizierte IP-Adresse haben. Die Verwendung einer freigegebenen IP-Adresse (IP-Adresszweck auf
SHARED_LOADBALANCER_VIP
festgelegt) wird nicht unterstützt. - Richtlinienbasierte Routen können die Kommunikation zwischen der GKE-Steuerungsebene und den Knoten beeinträchtigen. Weitere Informationen finden Sie unter Richtlinienbasierte Routen mit GKE verwenden.
- Richtlinienbasierte Routen unterstützen die Nutzung veröffentlichter Dienste mit Private Service Connect-Endpunkten oder -Back-Ends nicht. Weitere Informationen finden Sie unter Richtlinienbasierte Routen mit Private Service Connect verwenden.
- Die Source Network Address Translation (SNAT) an der Quelle ist erforderlich, wenn richtlinienbasierte Routen für den Traffic für den privaten Google-Zugriff oder Private Service Connect für Google APIs gelten. Weitere Informationen finden Sie unter Richtlinienbasierte Routen mit privatem Google-Zugriff oder Endpunkten für Google APIs verwenden.
- Die VLAN-Anhänge müssen Dataplane v2 verwenden. Eine Anleitung zum Prüfen Ihres VLAN-Anhangs finden Sie in der Anleitung für Dedicated Interconnect oder Partner Interconnect.
Andere richtlinienbasierte Routen überspringen
Sie können mit dem Google Cloud CLI oder durch Senden einer API-Anfrage eine richtlinienbasierte Route erstellen, die andere richtlinienbasierte Routen überspringt. Verwenden Sie für die gcloud CLI das Flag --next-hop-other-routes=DEFAULT_ROUTING
. Fügen Sie für eine API-Anfrage "nextHopOtherRoutes": "DEFAULT_ROUTING"
in den Anfragetext ein.
Wenn eine richtlinienbasierte Route dieses Typs mit den Merkmalen eines Pakets übereinstimmt und eine höhere Priorität als andere übereinstimmende richtlinienbasierte Routen hat, ignoriert Google Cloud die anderen richtlinienbasierten Routen und fährt mit dem Schritt Spezifischstes Ziel der Reihenfolge des VPC-Routings fort.
Betrachten Sie beispielsweise eine richtlinienbasierte Route, die einen internen Network Load Balancer als nächsten Hop verwendet. Diese richtlinienbasierte Route hat den Quellbereich 0.0.0.0/0
und das Netzwerk-Tag compute-vm
.
Wenn Sie die Auswertung der ersten richtlinienbasierten Route überspringen möchten, wenn Paketquellen mit einem bestimmten IP-Adressbereich übereinstimmen, erstellen Sie eine richtlinienbasierte Route mit höherer Priorität, die für das Überspringen anderer richtlinienbasierter Routen konfiguriert ist. Legen Sie den Quell-IP-Adressbereich für diese richtlinienbasierte Route mit dem Quell-IP-Adressbereich der Systeme fest, die das richtlinienbasierte Routing überspringen müssen.
Kontingent
Wie viele richtlinienbasierte Routen Sie in einem einzelnen Projekt erstellen können, ist begrenzt. Weitere Informationen erhalten Sie im Abschnitt zu projektbasierten Kontingenten in der VPC-Dokumentation.