Routes basées sur des règles
Ce document offre un aperçu des routes basées sur des règles.
Les routes basées sur des règles vous permettent de sélectionner un saut suivant en fonction de l'adresse IP de destination d'un paquet. Vous pouvez également mettre en correspondance le trafic par protocole et adresse IP source. Le trafic correspondant est redirigé vers un équilibreur de charge réseau interne à stratégie directe. Cela peut vous aider à insérer des dispositifs tels que des pare-feu dans le chemin du trafic réseau.
Spécifications
- Lorsque vous créez une route basée sur des règles, vous sélectionnez les ressources dont le trafic peut être traité par la route. La route peut s'appliquer aux éléments suivants :
- Instances de machine virtuelle (VM) sélectionnées dans le réseau VPC
- Tout le trafic entrant dans le réseau VPC via des rattachements de VLAN pour Cloud Interconnect dans une seule région ou un seul réseau VPC
- Toutes les instances de VM, les rattachements de VLAN pour Cloud Interconnect et les tunnels Cloud VPN dans le réseau VPC
- Le saut suivant d'une route basée sur des règles doit être un équilibreur de charge réseau interne passthrough valide. Cet équilibreur de charge réseau passthrough interne doit se trouver sur le même réseau VPC que la route basée sur des règles ou dans un réseau VPC connecté au réseau VPC de la route via l'appairage de réseaux VPC. L'utilisation de saut suivant dans un réseau VPC pair est disponible dans Aperçu :
- Les routages basés sur des règles présentent une priorité plus élevée que les autres types de routages, à l'exception des chemins de routage spéciaux.
- Si deux routes basées sur des règles ont la même priorité, Google Cloud utilise un algorithme interne déterministe pour sélectionner une seule route, en ignorant les autres routes ayant la même priorité. Les routes basées sur des règles n'utilisent pas la correspondance du préfixe le plus long et ne sélectionnent que la route ayant la priorité la plus élevée.
- Une route basée sur des règles peut s'appliquer au trafic IPv4 ou IPv6. L'application d'un routage basé sur des règles au trafic IPv6 est disponible en version preview.
- Vous pouvez créer une règle unique pour le trafic à sens unique ou plusieurs règles pour gérer le trafic bidirectionnel.
- Pour utiliser des routes basées sur des règles avec Cloud Interconnect, procédez comme suit : la route doit être appliquée à toutes les connexions Cloud Interconnect dans une région entière ou un réseau VPC. Les routes basées sur des règles ne peuvent être appliquées qu'à une seule connexion Cloud Interconnect.
- Le transfert IP doit être activé sur les instances de VM qui reçoivent le trafic provenant d'une route basée sur des règles.
Limites
- Les routes basées sur des règles ne sont pas échangées entre les réseaux VPC qui sont connectées via l'appairage de réseaux VPC.
- Les routes basées sur des règles ne sont pas échangées entre Spokes et hubs Network Connectivity Center
- Les routes basées sur des règles n'acceptent pas le trafic correspondant en fonction du port.
- Il n'est pas possible de mettre à jour une route basée sur des règles après sa création. Si vous souhaitez mettre à jour une route, supprimez-la et créez-en une nouvelle.
- La règle de transfert de l'équilibreur de charge réseau interne à stratégie directe doit disposer d'une adresse IP dédiée. L'utilisation d'une adresse IP partagée (objectif d'adresses IP défini sur
SHARED_LOADBALANCER_VIP) n'est pas acceptée. - Les routages basés sur des règles peuvent interférer avec la communication entre le plan de contrôle GKE et les nœuds. Pour plus d'informations, consultez la section Utiliser des routages basés sur des règles avec GKE.
- Les routes basées sur des règles ne sont pas compatibles avec la consommation de services publiés avec les points de terminaison ou backends Private Service Connect. Pour en savoir plus, consultez la section Utiliser des routages basés sur des règles avec Private Service Connect.
- La traduction d'adresse réseau source (SNAT) est requise si les routages basés sur des règles s'appliquent au trafic de l'Accès privé à Google ou de Private Service Connect pour les API Google. Pour plus d'informations, consultez la section Utiliser des routages basés sur des règles avec l'accès privé à Google ou des points de terminaison pour les API Google.
- Les rattachements de VLAN doivent disposer de Dataplane v2. Pour inspecter votre rattachement de VLAN afin de vérifier la version qu'il utilise, consultez les instructions sur l'interconnexion dédiée ou l'interconnexion partenaire.
Ignorer les autres routes basées sur des règles
Vous pouvez créer une route basée sur des règles qui ignore les autres à l'aide de la Google Cloud CLI ou en envoyant une requête API. Avec gcloud CLI, utilisez l'option --next-hop-other-routes=DEFAULT_ROUTING. Pour une requête d'API, incluez "nextHopOtherRoutes": "DEFAULT_ROUTING" dans le corps de la requête.
Si une route basée sur des règles de ce type correspond aux caractéristiques d'un paquet et a une priorité plus élevée que les autres routes basées sur des règles correspondantes, Google Cloud ignore les autres routes basées sur des règles et passe à l'étape de destination la plus spécifique de l'ordre de routage du VPC.
Prenons l'exemple d'une route basée sur des règles qui utilise un équilibreur de charge réseau passthrough interne comme saut suivant. Cette route basée sur des règles possède une plage source de 0.0.0.0/0 et un tag réseau de compute-vm.
Pour ignorer l'évaluation de la première route basée sur des règles lorsque les sources de paquets correspondent à une plage d'adresses IP spécifique, créez une route basée sur des règles de priorité supérieure et configurée pour ignorer les autres routes basées sur des règles. Définir la plage d'adresse IP source pour cette route basée sur des règles de priorité supérieure vers la la plage d'adresses IP source des systèmes qui doivent ignorer le routage basé sur des règles.
Quotas
Le nombre de routes basées sur des règles que vous pouvez créer dans un projet est limité. Pour plus d'informations, vérifiez quels sont les quotas par projet dans la documentation VPC.