ポリシーベースのルート

このドキュメントでは、ポリシーベースのルートの概要について説明します。

ポリシーベースのルートを使用すると、パケットの宛先 IP アドレス以外の条件も使用してネクストホップを選択できます。プロトコルと送信元 IP アドレスでトラフィックを照合することもできます。一致するトラフィックは、内部パススルー ネットワーク ロードバランサにリダイレクトされます。これにより、ファイアウォールなどのアプライアンスをネットワーク トラフィックのパスに挿入できます。

仕様

• ポリシーベースのルートを作成する場合は、ポリシーベースのルートが適用されるリソースを選択します。ルートは以下に適用できます。
  • ルートと同じ VPC ネットワーク内にあるすべての VM インスタンス、Cloud Interconnect VLAN アタッチメント、Cloud VPN トンネル
  • ルートと同じ VPC ネットワークにあり、ネットワーク タグで識別される VM インスタンスのみ
  • ルートと同じ VPC ネットワークの特定のリージョンにある VLAN アタッチメントのみ。単一の VLAN アタッチメントまたは Cloud VPN トンネルにのみ適用されるポリシーベースのルートを作成することはできません。
• ポリシーベースのルートのネクストホップは、有効な内部パススルー ネットワーク ロードバランサである必要があります。この内部パススルー ネットワーク ロードバランサは、ポリシーベースのルートと同じ VPC ネットワーク内、または VPC ネットワーク ピアリングを介してルートの VPC ネットワークに接続されている VPC ネットワーク内に存在する必要があります。
• ネクストホップの内部パススルー ネットワーク ロードバランサのバックエンド VM インスタンスで、IP 転送が有効になっている必要があります。
• ポリシーベースのルートは、サブネット ルート、静的ルート、動的ルートよりも先に評価されますが、特別なルーティング パスの後に評価されます。詳細については、ルーティング順序のポリシーベースのルートをご覧ください。
• 2 つ以上のポリシーベースのルートの優先度が同じで、パケットの特性がそれらのポリシーベースのルートの少なくとも 2 つと一致する場合、 Google Cloudは内部アルゴリズムを使用して単一のポリシーベースのルートを選択します。ポリシーベースのルートは最長のプレフィックス マッチングを使用しないため、選択されたポリシーベースのルートがパケットの特性と明確に一致しない可能性があります。同じ VPC ネットワーク内のすべてのポリシーベース ルートに一意の優先度があることを確認します。
• ポリシーベースのルートは、IPv4 または IPv6 トラフィックに適用できます。
• 一方向のトラフィックに単一のルールを作成することも、双方向のトラフィックを処理する複数のルールを作成することもできます。

制限事項

• ポリシーベースのルートは、VPC ネットワーク ピアリングを介して接続された VPC ネットワーク間で交換されません。
• ポリシーベースのルートは、Network Connectivity Center のスポークとハブ間で交換されません。
• ポリシーベースのルートは、ポートに基づくトラフィックの照合をサポートしていません。
• ポリシーベースのルートは、作成後に更新することはできません。ルートを更新する場合は、ルートを削除して新しいルートを作成します。
• 内部パススルー ネットワーク ロードバランサの転送ルールには、他の内部パススルー ネットワーク ロードバランサで使用されていない専用の IP アドレスが必要です。共有 IP アドレス（SHARED_LOADBALANCER_VIP に設定された IP アドレス）は使用できません。
• ポリシーベースのルートを使用すると、GKE のコントロール プレーンとノード間の通信が妨げられることがあります。詳細については、GKE でポリシーベースのルートを使用するをご覧ください。
• ポリシーベースのルートでは、パケットを Private Service Connect エンドポイントまたはバックエンドに転送できません。
  • 公開サービスにアクセスするエンドポイントまたはバックエンドを含む VPC ネットワークでポリシーベースのルートを使用する方法については、公開サービス用のポリシーベースのルートと Private Service Connect をご覧ください。
  • Google API とサービスにアクセスするエンドポイントまたはバックエンドを含む VPC ネットワークでポリシーベースのルートを使用する方法については、ポリシーベースのルートと、Google API およびサービスへのアクセスをご覧ください。
• Dataplane v2 を使用する VLAN アタッチメントのみが、ポリシーベースのルートを使用できます。VLAN アタッチメントを調べて、使用しているバージョンを確認するには、Dedicated Interconnect または Partner Interconnect の手順をご覧ください。

他のポリシーベースのルートのスキップ

他のポリシーベースのルートをスキップするポリシーベースのルートを作成するには、Google Cloud CLI を使用するか、API リクエストを送信します。gcloud CLI の場合は、--next-hop-other-routes=DEFAULT_ROUTING フラグを使用します。API リクエストの場合は、リクエスト本文に "nextHopOtherRoutes": "DEFAULT_ROUTING" を含めます。

このタイプのポリシーベースのルートがパケットの特性と一致し、他の一致するポリシーベースのルートよりも優先度が高い場合、 Google Cloudは他のポリシーベースのルートを無視し、VPC ルーティング順序の最も狭い範囲の宛先のステップに進みます。

たとえば、ネクストホップの内部パススルー ネットワーク ロードバランサを使用するポリシーベースのルートについて考えてみましょう。このポリシーベースのルートは、ソース範囲が 0.0.0.0/0 で、ネットワーク タグが compute-vm です。

パケットの送信元が特定の IP アドレス範囲と一致するときに、最初のポリシーベースのルートの評価をスキップするには、他のポリシーベースのルートをスキップするように構成された、優先度の高いポリシーベースのルートを作成します。この優先度の高いポリシーベースのルートの送信元 IP アドレス範囲を、ポリシーベース ルーティングをスキップするシステムの送信元 IP アドレス範囲に設定します。

割り当て

1 つのプロジェクトで作成できるポリシーベースのルートの数には上限があります。詳細については、VPC のドキュメントでプロジェクトごとの割り当てをご覧ください。