ポリシーベースのルート

このドキュメントでは、ポリシーベースのルートの概要について説明します。

ポリシーベースのルートを使用すると、パケットの宛先 IP アドレス以外の条件も使用してネクストホップを選択できます。プロトコルと送信元 IP アドレスでトラフィックを照合することもできます。一致するトラフィックは、内部パススルー ネットワーク ロードバランサにリダイレクトされます。これにより、ファイアウォールなどのアプライアンスをネットワーク トラフィックのパスに挿入できます。

仕様

• ポリシーベースのルートを作成する場合は、ルートでトラフィックを処理できるリソースを選択します。ルートは以下のものに適用できます。
  • VPC ネットワーク内の仮想マシン（VM）インスタンスの選択
  • 単一リージョンまたは VPC ネットワーク内の Cloud Interconnect の VLAN アタッチメント経由で VPC ネットワークに到達するすべてのトラフィック
  • VPC ネットワーク内のすべての VM インスタンス、Cloud Interconnect の VLAN アタッチメント、Cloud VPN トンネル
• ポリシーベースのルートのネクストホップは、有効な内部パススルー ネットワーク ロードバランサである必要があります。この内部パススルー ネットワーク ロードバランサは、ポリシーベースのルートと同じ VPC ネットワーク内、または VPC ネットワーク ピアリングを介してルートの VPC ネットワークに接続されている VPC ネットワーク内に存在する必要があります。ピア VPC ネットワークのネクストホップの使用はプレビュー版です。
• ポリシーベースのルートは、特別なルーティング パスを除き、他のルートタイプよりも優先度が高くなります。
• 2 つのポリシーベースのルートの優先度が同じである場合、Google Cloud は決定論的な内部アルゴリズムを使用して単一のポリシーベースのルートを選択し、同じ優先度の他のルートを無視します。ポリシーベースのルートは、最長のプレフィックス マッチングを使用せず、優先度の最も高いルートのみを選択します。
• ポリシーベースのルートは、IPv4 または IPv6 トラフィックに適用できます。ポリシーベースのルートを IPv6 トラフィックに適用する機能はプレビュー版です。
• 一方向のトラフィックに単一のルールを作成することも、双方向のトラフィックを処理する複数のルールを作成することもできます。
• Cloud Interconnect でポリシーベースのルートを使用するには、リージョン全体または VPC ネットワークのいずれかのすべての Cloud Interconnect 接続にルートを適用する必要があります。ポリシーベースのルートは、個々の Cloud Interconnect 接続には適用できません。
• ポリシーベースのルートからトラフィックを受信する VM インスタンスは、IP 転送を有効にする必要があります。

制限事項

• ポリシーベースのルートは、VPC ネットワーク ピアリングを介して接続された VPC ネットワーク間で交換されません。
• ポリシーベースのルートは、Network Connectivity Center のスポークとハブ間で交換されません。
• ポリシーベースのルートは、ポートに基づくトラフィックの照合をサポートしていません。
• ポリシーベースのルートは、作成後に更新することはできません。ルートを更新する場合は、ルートを削除して新しいルートを作成します。
• 内部パススルー ネットワーク ロードバランサの転送ルールには専用の IP アドレスが必要です。共有 IP アドレス（SHARED_LOADBALANCER_VIP に設定された IP アドレス）は使用できません。
• ポリシーベースのルートを使用すると、GKE のコントロール プレーンとノード間の通信が妨げられることがあります。詳細については、GKE でポリシーベースのルートを使用するをご覧ください。
• ポリシーベースのルートでは、Private Service Connect エンドポイントまたはバックエンドで公開サービスの使用はサポートされていません。詳細については、Private Service Connect でポリシーベースのルートを使用するをご覧ください。
• 限定公開の Google アクセスまたは Google API 用の Private Service Connect のトラフィックにポリシーベースのルートが適用される場合は、送信元ネットワーク アドレス変換（SNAT）が必要です。詳細については、限定公開の Google アクセスまたは Google API のエンドポイントでポリシーベースのルートを使用するをご覧ください。
• VLAN アタッチメントには Dataplane v2 が必要です。VLAN アタッチメントを調べて、使用しているバージョンを確認するには、Dedicated Interconnect または Partner Interconnect の手順をご覧ください。

他のポリシーベースのルートのスキップ

他のポリシーベースのルートをスキップするポリシーベースのルートを作成するには、Google Cloud CLI を使用するか、API リクエストを送信します。gcloud CLI の場合は、--next-hop-other-routes=DEFAULT_ROUTING フラグを使用します。API リクエストの場合は、リクエスト本文に "nextHopOtherRoutes": "DEFAULT_ROUTING" を含めます。

このタイプのポリシーベースのルートがパケットの特性と一致し、他の一致するポリシーベースのルートよりも優先度が高い場合、Google Cloud は他のポリシーベースのルートを無視し、VPC ルーティング順序の最も狭い範囲の宛先のステップに進みます。

たとえば、ネクストホップの内部パススルー ネットワーク ロードバランサを使用するポリシーベースのルートについて考えてみましょう。このポリシーベースのルートは、ソース範囲が 0.0.0.0/0 で、ネットワーク タグが compute-vm です。

パケットの送信元が特定の IP アドレス範囲と一致するときに、最初のポリシーベースのルートの評価をスキップするには、他のポリシーベースのルートをスキップするように構成された、優先度の高いポリシーベースのルートを作成します。この優先度の高いポリシーベースのルートの送信元 IP アドレス範囲を、ポリシーベース ルーティングをスキップするシステムの送信元 IP アドレス範囲に設定します。

割り当て

1 つのプロジェクトで作成できるポリシーベースのルートの数には上限があります。詳細については、VPC のドキュメントでプロジェクトごとの割り当てをご覧ください。