Rotas com base na política

Neste documento, apresentamos uma visão geral das rotas com base na política.

Rotas com base na política permitem a seleção de um próximo salto baseado em mais do que o endereço IP de destino de um pacote. Também é possível corresponder o tráfego por protocolo e endereço IP de origem. O tráfego correspondente é redirecionado para um balanceador de carga de rede de passagem interna. Isso pode ajudar você a inserir dispositivos, como firewalls, no caminho de tráfego de rede.

Especificações

  • Ao criar uma rota com base na política, você seleciona quais recursos podem ter o tráfego processado pela rota. A rota pode ser aplicada a estes casos:
    • Selecionar instâncias de VM na rede VPC
    • Todo o tráfego que entra na rede VPC por meio de anexos da VLAN para o Cloud Interconnect em uma região
    • Todas as instâncias de máquina virtual (VM), anexos da VLAN para o Cloud Interconnect e túneis do Cloud VPN na rede VPC
  • O próximo salto de uma rota com base na política precisa ser um balanceador de carga de rede interno válido que está na mesma rede VPC que a rota com base na política.
  • Rotas baseadas em políticas têm prioridade mais alta que outros tipos de rota, exceto caminhos de retorno especiais. As rotas de caminho de retorno especiais não são afetadas por rotas baseadas em políticas. A rota do caminho de retorno especial tem precedência.
  • Se duas rotas com base na política tiverem a mesma prioridade, o Google Cloud usará um algoritmo interno determinístico para selecionar uma única rota com base na política, ignorando outras com a mesma prioridade. Rotas com base na política não usam a correspondência de prefixo mais longo e selecionam apenas a rota de prioridade mais alta.
  • É possível criar uma única regra para o tráfego unidirecional ou várias regras para lidar com o tráfego bidirecional.
  • Para usar rotas com base na política com o Cloud Interconnect, a rota precisa ser aplicada a todas as conexões do Cloud Interconnect em uma região inteira. Não é possível aplicar rotas com base na política a uma única conexão do Cloud Interconnect.
  • As instâncias de VM que recebem tráfego de uma rota com base na política precisam estar com o encaminhamento de IP ativado.

Limitações

  • As rotas com base na política não aceitam tráfego correspondente baseado na porta.
  • Rotas com base na política não são trocadas por peering de rede VPC.
  • Não é possível atualizar uma rota com base na política depois que ela é criada. Se você quiser atualizar uma rota, exclua-a e crie uma nova.
  • Rotas com base na política aceitam apenas tráfego IPv4 e não aceitam IPv6.
  • A regra de encaminhamento do balanceador de carga de rede interno de passagem precisa ter um endereço IP dedicado. Não é possível usar um endereço IP compartilhado (finalidade do endereço IP definida como SHARED_LOADBALANCER_VIP).
  • Rotas baseadas em políticas podem interferir na comunicação entre o plano de controle do GKE e os nós. Para mais informações, consulte Usar rotas baseadas em políticas com o GKE.
  • As rotas baseadas em políticas não são compatíveis com o consumo de serviços publicados com endpoints ou back-ends do Private Service Connect. Para mais informações, consulte Usar rotas baseadas em políticas com o Private Service Connect.
  • A conversão de endereços de rede de origem (SNAT) será necessária se as rotas com base em políticas se aplicarem ao tráfego das APIs Private Access ou Private Service Connect para Google. Para mais informações, consulte Usar rotas baseadas em políticas com o Acesso privado do Google ou endpoints para APIs do Google.
  • Os anexos da VLAN precisam ter o Dataplane v2. Para inspecionar o anexo da VLAN e verificar sua versão, consulte as instruções da Interconexão dedicada ou da Interconexão por parceiro.

Ignorar outras rotas com base em políticas

É possível criar uma rota com base em políticas que pule outras rotas com base em políticas usando a CLI do Google Cloud ou enviando uma solicitação de API. Para a gcloud CLI, use a flag --next-hop-other-routes=DEFAULT_ROUTING. Para solicitações de API, inclua "nextHopOtherRoutes": "DEFAULT_ROUTING" no corpo da solicitação.

Se uma rota com base em políticas desse tipo corresponder às características de um pacote e tiver uma prioridade mais alta do que outras rotas com base em políticas correspondentes, o Google Cloud ignorará as outras rotas com base em políticas e prosseguirá para a etapa de destino mais específico da ordem de roteamento da VPC.

Por exemplo, considere uma rota com base em políticas que usa um balanceador de carga de rede de passagem interna de próximo salto. Essa rota com base em políticas tem um intervalo de origem de 0.0.0.0/0 e uma tag de rede de compute-vm.

Para pular a avaliação da primeira rota com base em políticas quando as origens de pacotes corresponderem a um intervalo de endereços IP específico, crie uma rota com base em políticas de prioridade mais alta configurada para ignorar outras rotas com base em políticas. Defina o intervalo de endereços IP de origem para essa rota com base em políticas de prioridade mais alta para o intervalo de endereços IP de origem dos sistemas que precisam pular o roteamento com base em políticas.

Cota

Há um limite de quantas rotas com base na política podem ser criadas em um único projeto. Para mais informações, consulte as cotas por projeto na documentação da VPC.