Richtlinienbasierte Routen

In diesem Dokument erhalten Sie eine Übersicht über richtlinienbasierte Routen.

Mit richtlinienbasierten Routen können Sie einen nächsten Hop anhand von mehr als der Ziel-IP-Adresse eines Pakets auswählen. Sie können den Traffic auch mit dem Protokoll und der Quell-IP-Adresse abgleichen. Übereinstimmender Traffic wird an einen internen Passthrough-Network Load Balancer weitergeleitet. Auf diese Weise können Sie Appliances wie Firewalls in den Pfad des Netzwerktraffics einfügen.

Spezifikationen

  • Wenn Sie eine richtlinienbasierte Route erstellen, wählen Sie aus, welche Ressourcen von der Route verarbeitet werden können. Die Route kann für Folgendes gelten:
    • VM-Instanzen im VPC-Netzwerk auswählen
    • Der gesamte Traffic, der über VLAN-Anhänge für Cloud Interconnect in einer Region in das VPC-Netzwerk eintritt
    • Alle VM-Instanzen, VLAN-Anhänge für Cloud Interconnect und Cloud VPN-Tunnel im VPC-Netzwerk
  • Der nächste Hop einer richtlinienbasierten Route muss ein gültiger interner Passthrough-Network Load Balancer sein, der sich im selben VPC-Netzwerk wie die richtlinienbasierte Route befindet.
  • Richtlinienbasierte Routen haben eine höhere Priorität als andere Routentypen mit Ausnahme von speziellen Rückgabepfaden. Spezielle Routen für den Rückgabepfad sind von richtlinienbasierten Routen nicht betroffen. Die spezielle Route für den Rückgabepfad hat Vorrang.
  • Wenn zwei richtlinienbasierte Routen dieselbe Priorität haben, verwendet Google Cloud einen deterministischen internen Algorithmus, um eine einzelne richtlinienbasierte Route auszuwählen, wobei andere Routen mit derselben Priorität ignoriert werden. Richtlinienbasierte Routen verwenden keinen Abgleich mit dem längsten Präfix und wählen nur die Route mit der höchsten Priorität aus.
  • Sie können eine einzelne Regel für unidirektionalen Traffic oder mehrere Regeln zur Verarbeitung von bidirektionalem Traffic erstellen.
  • Wenn Sie richtlinienbasierte Routen mit Cloud Interconnect verwenden möchten, muss die Route auf alle Cloud Interconnect-Verbindungen in einer gesamten Region angewendet werden. Richtlinienbasierte Routen können nicht nur auf eine einzelne Cloud Interconnect-Verbindung angewendet werden.
  • Für die VM-Instanzen, die Traffic von einer richtlinienbasierten Route empfangen, muss die IP-Weiterleitung aktiviert sein.

Beschränkungen

  • Richtlinienbasierte Routen unterstützen nicht den Abgleich von Traffic auf Basis von Ports.
  • Richtlinienbasierte Routen werden nicht über VPC-Netzwerk-Peering ausgetauscht.
  • Eine richtlinienbasierte Route kann nach dem Erstellen nicht mehr aktualisiert werden. Wenn Sie eine Route aktualisieren möchten, löschen Sie die Route und erstellen Sie eine neue.
  • Richtlinienbasierte Routen unterstützen nur IPv4-Traffic und nicht IPv6.
  • Die interne Weiterleitungsregel für den Passthrough-Network Load Balancer muss eine dedizierte IP-Adresse haben. Die Verwendung einer freigegebenen IP-Adresse (IP-Adresszweck auf SHARED_LOADBALANCER_VIP festgelegt) wird nicht unterstützt.
  • Richtlinienbasierte Routen können die Kommunikation zwischen der GKE-Steuerungsebene und den Knoten beeinträchtigen. Weitere Informationen finden Sie unter Richtlinienbasierte Routen mit GKE verwenden.
  • Richtlinienbasierte Routen unterstützen die Nutzung veröffentlichter Dienste mit Private Service Connect-Endpunkten oder -Back-Ends nicht. Weitere Informationen finden Sie unter Richtlinienbasierte Routen mit Private Service Connect verwenden.
  • Die Source Network Address Translation (SNAT) an der Quelle ist erforderlich, wenn richtlinienbasierte Routen für den Traffic für den privaten Google-Zugriff oder Private Service Connect für Google APIs gelten. Weitere Informationen finden Sie unter Richtlinienbasierte Routen mit privatem Google-Zugriff oder Endpunkten für Google APIs verwenden.
  • Die VLAN-Anhänge müssen Dataplane v2 haben. Eine Anleitung zum Prüfen Ihres VLAN-Anhangs finden Sie in der Anleitung für Dedicated Interconnect oder Partner Interconnect.

Andere richtlinienbasierte Routen überspringen

Sie können mit dem Google Cloud CLI oder durch Senden einer API-Anfrage eine richtlinienbasierte Route erstellen, die andere richtlinienbasierte Routen überspringt. Verwenden Sie für die gcloud CLI das Flag --next-hop-other-routes=DEFAULT_ROUTING. Fügen Sie für eine API-Anfrage "nextHopOtherRoutes": "DEFAULT_ROUTING" in den Anfragetext ein.

Wenn eine richtlinienbasierte Route dieses Typs mit den Merkmalen eines Pakets übereinstimmt und eine höhere Priorität als andere übereinstimmende richtlinienbasierte Routen hat, ignoriert Google Cloud die anderen richtlinienbasierten Routen und fährt mit dem Schritt Spezifischstes Ziel der Reihenfolge des VPC-Routings fort.

Betrachten Sie beispielsweise eine richtlinienbasierte Route, die einen internen Network Load Balancer als nächsten Hop verwendet. Diese richtlinienbasierte Route hat den Quellbereich 0.0.0.0/0 und das Netzwerktag compute-vm.

Wenn Sie die Auswertung der ersten richtlinienbasierten Route überspringen möchten, wenn Paketquellen mit einem bestimmten IP-Adressbereich übereinstimmen, erstellen Sie eine richtlinienbasierte Route mit höherer Priorität, die für das Überspringen anderer richtlinienbasierter Routen konfiguriert ist. Legen Sie den Quell-IP-Adressbereich für diese richtlinienbasierte Route mit dem Quell-IP-Adressbereich der Systeme fest, die das richtlinienbasierte Routing überspringen müssen.

Kontingent

Wie viele richtlinienbasierte Routen Sie in einem einzelnen Projekt erstellen können, ist begrenzt. Weitere Informationen erhalten Sie im Abschnitt zu projektbasierten Kontingenten in der VPC-Dokumentation.