정책 기반 경로

이 문서에서는 정책 기반 라우팅을 간략하게 설명합니다.

정책 기반 경로를 사용하면 패킷의 대상 IP 주소 이상을 기준으로 다음 홉을 선택할 수 있습니다. 프로토콜 및 소스 IP 주소별로 트래픽을 일치시킬 수도 있습니다. 일치하는 트래픽이 내부 패스 스루 네트워크 부하 분산기로 리디렉션됩니다. 이렇게 하면 방화벽과 같은 어플라이언스를 네트워크 트래픽 경로에 삽입할 수 있습니다.

사양

정책 기반 경로를 만들 때 정책 기반 경로가 적용되는 리소스를 선택합니다. 경로는 다음에 적용될 수 있습니다.
- 경로와 동일한 VPC 네트워크에 있는 모든 VM 인스턴스, Cloud Interconnect VLAN 연결, Cloud VPN 터널
- 경로와 동일한 VPC 네트워크에 있고 네트워크 태그로 식별된 VM 인스턴스만
- 경로와 동일한 VPC 네트워크의 특정 리전에 있는 VLAN 연결만 단일 VLAN 연결 또는 Cloud VPN 터널에만 적용되는 정책 기반 경로는 만들 수 없습니다.
정책 기반 경로의 다음 홉은 유효한 내부 패스 스루 네트워크 부하 분산기여야 합니다. 이 내부 패스 스루 네트워크 부하 분산기는 정책 기반 경로와 동일한 VPC 네트워크 또는 VPC 네트워크 피어링을 통해 경로의 VPC 네트워크에 연결된 VPC 네트워크에 있어야 합니다.
다음 홉 내부 패스 스루 네트워크 부하 분산기의 백엔드 VM 인스턴스에 IP 전달이 사용 설정되어 있어야 합니다.
정책 기반 경로는 서브넷 경로, 정적 경로, 동적 경로보다 먼저 평가되지만 특수 라우팅 경로 이후에 평가됩니다. 자세한 내용은 라우팅 순서의 정책 기반 경로 단계를 참조하세요.
두 개 이상의 정책 기반 경로의 우선순위가 동일하고 패킷의 특성이 이러한 정책 기반 경로 중 두 개 이상과 일치하는 경우 Google Cloud는 내부 알고리즘을 사용하여 단일 정책 기반 경로를 선택합니다. 정책 기반 경로는 가장 긴 접두사 일치를 사용하지 않으므로 선택한 정책 기반 경로는 패킷의 특성과 가장 일치하지 않을 수 있습니다. 동일한 VPC 네트워크의 모든 정책 기반 경로에 고유한 우선순위가 있는지 확인합니다.
정책 기반 경로는 IPv4 또는 IPv6 트래픽에 적용될 수 있습니다.
단방향 트래픽에 대한 단일 규칙 또는 양방향 트래픽을 처리하는 여러 규칙을 만들 수 있습니다.

제한사항

정책 기반 경로는 VPC 네트워크 피어링을 통해 연결된 VPC 네트워크 간에 교환되지 않습니다.
정책 기반 경로는 Network Connectivity Center 스포크 및 허브 간에 교환되지 않습니다.
정책 기반 경로는 포트를 기준으로 일치하는 트래픽을 지원하지 않습니다.
정책 기반 경로를 만든 후에는 업데이트할 수 없습니다. 경로를 업데이트하려면 경로를 삭제하고 새 경로를 만듭니다.
내부 패스 스루 네트워크 부하 분산기 전달 규칙에는 다른 내부 패스 스루 네트워크 부하 분산기에서 사용하지 않는 전용 IP 주소가 있어야 합니다. 공유 IP 주소(SHARED_LOADBALANCER_VIP로 설정된 IP 주소)의 사용은 지원되지 않습니다.
정책 기반 경로는 GKE 컨트롤 플레인과 노드 간의 커뮤니케이션을 방해할 수 있습니다. 자세한 내용은 GKE에 정책 기반 경로 사용을 참조하세요.
정책 기반 경로는 Private Service Connect 엔드포인트 또는 백엔드로 패킷을 라우팅할 수 없습니다.
- 게시된 서비스에 액세스하는 엔드포인트 또는 백엔드가 있는 VPC 네트워크에서 정책 기반 경로를 사용하는 방법에 대한 자세한 내용은 게시된 서비스의 정책 기반 경로 및 Private Service Connect를 참조하세요.
- Google API 및 서비스에 액세스하는 엔드포인트 또는 백엔드가 있는 VPC 네트워크에서 정책 기반 경로를 사용하는 방법에 대한 자세한 내용은 정책 기반 경로와 Google API 및 서비스 액세스를 참조하세요.
Dataplane v2를 사용하는 VLAN 연결만 정책 기반 경로를 사용할 수 있습니다. VLAN 연결을 검사하여 사용하는 버전을 확인하려면 Dedicated Interconnect 또는 Partner Interconnect에 대한 안내를 참조하세요.

다른 정책 기반 경로 건너뛰기

Google Cloud CLI를 사용하거나 API 요청을 전송하여 다른 정책 기반 경로를 건너뛰는 정책 기반 경로를 만들 수 있습니다. gcloud CLI의 경우 --next-hop-other-routes=DEFAULT_ROUTING 플래그를 사용합니다. API 요청의 경우 요청 본문에 "nextHopOtherRoutes": "DEFAULT_ROUTING"을 포함합니다.

이 유형의 정책 기반 경로가 패킷의 특성과 일치하고 다른 일치하는 정책 기반 경로보다 우선순위가 높은 경우 Google Cloud는 다른 정책 기반 경로를 무시하고 VPC 라우팅 순서의 가장 구체적인 대상 위치 단계로 진행합니다.

예를 들어 다음 홉 내부 패스 스루 네트워크 부하 분산기를 사용하는 정책 기반 경로가 있다고 가정해 보겠습니다. 이 정책 기반 경로의 소스 범위는 0.0.0.0/0이고 네트워크 태그는 compute-vm입니다.

패킷 소스가 특정 IP 주소 범위와 일치하는 경우 첫 번째 정책 기반 경로의 평가를 건너뛰려면 다른 정책 기반 경로를 건너뛰도록 구성된 우선순위가 더 높은 정책 기반 경로를 만듭니다. 우선순위가 더 높은 이 정책 기반 경로의 소스 IP 주소 범위를 정책 기반 라우팅을 건너뛰어야 하는 시스템의 소스 IP 주소 범위로 설정합니다.

할당량

단일 프로젝트에서 만들 수 있는 정책 기반 경로 수에는 한도가 있습니다. 자세한 내용은 VPC 문서의 프로젝트별 할당량을 참조하세요.