정책 기반 경로

이 문서에서는 정책 기반 경로를 간략하게 설명합니다.

정책 기반 경로를 사용하면 패킷의 대상 IP 주소 이상을 기준으로 다음 홉을 선택할 수 있습니다. 프로토콜 및 소스 IP 주소별로 트래픽을 일치시킬 수도 있습니다. 일치하는 트래픽이 내부 패스 스루 네트워크 부하 분산기로 리디렉션됩니다. 이렇게 하면 방화벽과 같은 어플라이언스를 네트워크 트래픽 경로에 삽입할 수 있습니다.

사양

  • 정책 기반 경로를 만들 때 경로에서 트래픽을 처리할 수 있는 리소스를 선택합니다. 경로는 다음에 적용될 수 있습니다.
    • VPC 네트워크에서 가상 머신(VM) 인스턴스 선택
    • 단일 리전 또는 VPC 네트워크의 Cloud Interconnect용 VLAN 연결을 통해 VPC 네트워크에 들어오는 모든 트래픽
    • 모든 VM 인스턴스, Cloud Interconnect용 VLAN 연결, VPC 네트워크의 Cloud VPN 터널
  • 정책 기반 경로의 다음 홉은 유효한 내부 패스 스루 네트워크 부하 분산기여야 합니다. 이 내부 패스 스루 네트워크 부하 분산기는 정책 기반 경로와 동일한 VPC 네트워크 또는 VPC 네트워크 피어링을 통해 경로의 VPC 네트워크에 연결된 VPC 네트워크에 있어야 합니다. 피어 VPC 네트워크에서 다음 홉을 사용하는 기능은 미리보기 버전으로 제공됩니다.
  • 정책 기반 경로는 특수 반환 경로를 제외하고 다른 경로 유형보다 우선순위가 높습니다. 특수 반환 경로는 정책 기반 경로의 영향을 받지 않습니다. 특수 반환 경로가 우선 적용됩니다.
  • 두 정책 기반 경로의 우선순위가 동일한 경우 Google Cloud는 확정 내부 알고리즘을 사용하여 단일 정책 기반 경로를 선택하고 우선순위가 같은 다른 경로를 무시합니다. 정책 기반 경로는 가장 긴 접두사 일치를 사용하지 않고 우선순위가 가장 높은 경로만 선택합니다.
  • 정책 기반 경로는 IPv4 또는 IPv6 트래픽에 적용될 수 있습니다. 정책 기반 경로를 IPv6 트래픽에 적용하는 기능은 미리보기 버전으로 제공됩니다.
  • 단방향 트래픽에 대한 단일 규칙 또는 양방향 트래픽을 처리하는 여러 규칙을 만들 수 있습니다.
  • Cloud Interconnect에서 정책 기반 경로를 사용하려면 전체 리전 또는 VPC 네트워크의 모든 Cloud Interconnect 연결에 경로를 적용해야 합니다. 개별 Cloud Interconnect 연결에만 정책 기반 경로를 적용할 수는 없습니다.
  • 정책 기반 경로에서 트래픽을 수신하는 VM 인스턴스에는 IP 전달이 사용 설정되어 있어야 합니다.

제한사항

  • 정책 기반 경로는 VPC 네트워크 피어링을 통해 연결된 VPC 네트워크 간에 교환되지 않습니다.
  • 정책 기반 경로는 Network Connectivity Center 스포크 및 허브 간에 교환되지 않습니다.
  • 정책 기반 경로는 포트를 기준으로 일치하는 트래픽을 지원하지 않습니다.
  • 정책 기반 경로를 만든 후에는 업데이트할 수 없습니다. 경로를 업데이트하려면 경로를 삭제하고 새 경로를 만듭니다.
  • 내부 패스 스루 네트워크 부하 분산기 전달 규칙에는 전용 IP 주소가 있어야 합니다. 공유 IP 주소(SHARED_LOADBALANCER_VIP로 설정된 IP 주소)의 사용은 지원되지 않습니다.
  • 정책 기반 경로는 GKE 제어 영역과 노드 간의 커뮤니케이션을 방해할 수 있습니다. 자세한 내용은 GKE에 정책 기반 경로 사용을 참조하세요.
  • 정책 기반 경로는 Private Service Connect 엔드포인트 또는 백엔드가 있는 게시된 서비스를 사용할 수 없습니다. 자세한 내용은 Private Service Connect에서 정책 기반 경로 사용을 참조하세요.
  • 정책 기반 경로가 비공개 Google 액세스 또는 Google API용 Private Service Connect의 트래픽에 적용되는 경우 소스 네트워크 주소 변환(SNAT)이 필요합니다. 자세한 내용은 비공개 Google 액세스 또는 Google API용 엔드포인트에 정책 기반 경로 사용을 참조하세요.
  • VLAN 연결에는 Dataplane v2가 있어야 합니다. VLAN 연결을 검사하여 버전을 확인하려면 Dedicated Interconnect 또는 Partner Interconnect에 대한 안내를 참조하세요.

다른 정책 기반 경로 건너뛰기

Google Cloud CLI를 사용하거나 API 요청을 전송하여 다른 정책 기반 경로를 건너뛰는 정책 기반 경로를 만들 수 있습니다. gcloud CLI의 경우 --next-hop-other-routes=DEFAULT_ROUTING 플래그를 사용합니다. API 요청의 경우 요청 본문에 "nextHopOtherRoutes": "DEFAULT_ROUTING"을 포함합니다.

이 유형의 정책 기반 경로가 패킷의 특성과 일치하고 다른 일치하는 정책 기반 경로보다 우선순위가 높은 경우 Google Cloud는 다른 정책 기반 경로를 무시하고 VPC 라우팅 순서가장 구체적인 대상 위치 단계로 진행합니다.

예를 들어 다음 홉 내부 패스 스루 네트워크 부하 분산기를 사용하는 정책 기반 경로가 있다고 가정해 보겠습니다. 이 정책 기반 경로의 소스 범위는 0.0.0.0/0이고 네트워크 태그는 compute-vm입니다.

패킷 소스가 특정 IP 주소 범위와 일치하는 경우 첫 번째 정책 기반 경로의 평가를 건너뛰려면 다른 정책 기반 경로를 건너뛰도록 구성된 우선순위가 더 높은 정책 기반 경로를 만듭니다. 우선순위가 더 높은 이 정책 기반 경로의 소스 IP 주소 범위를 정책 기반 라우팅을 건너뛰어야 하는 시스템의 소스 IP 주소 범위로 설정합니다.

할당량

단일 프로젝트에서 만들 수 있는 정책 기반 경로 수에는 한도가 있습니다. 자세한 내용은 VPC 문서의 프로젝트별 할당량을 참조하세요.