Rutas basadas en políticas

En este documento, se proporciona una descripción general de las rutas basadas en políticas.

Las rutas basadas en políticas te permiten seleccionar un siguiente salto según la dirección IP de destino de un paquete. También puedes hacer coincidir el tráfico por protocolo y dirección IP de origen. El tráfico coincidente se redirecciona a un balanceador de cargas de red de transferencia interno. Esto puede ayudarte a insertar dispositivos, como firewalls, en la ruta del tráfico de red.

Especificaciones

  • Cuando creas una ruta basada en políticas, puedes seleccionar qué recursos pueden tener su tráfico procesado por la ruta. La ruta puede aplicarse a lo siguiente:
    • Selecciona instancias de VM en la red de VPC
    • Todo el tráfico que ingresa a la red de VPC mediante los adjuntos de VLAN para Cloud Interconnect en una región
    • Todas las instancias de máquina virtual (VM), adjuntos de VLAN para Cloud Interconnect y túneles de Cloud VPN en la red de VPC
  • El siguiente salto de una ruta basada en políticas debe ser un balanceador de cargas de red de transferencia interno válido que se encuentre en la misma red de VPC que la ruta basada en políticas.
  • Las rutas basadas en políticas tienen mayor prioridad que otros tipos de ruta, excepto las rutas de acceso de retorno especiales. Las rutas de acceso de retorno especiales no se ven afectadas por las rutas basadas en políticas. La ruta de acceso de retorno especial tiene prioridad.
  • Si dos rutas basadas en políticas tienen la misma prioridad, Google Cloud usa un algoritmo determinista interno para seleccionar una sola ruta basada en políticas, sin importar las otras rutas con la misma prioridad. Las rutas basadas en políticas no usan la coincidencia de prefijo más largo y solo seleccionan la ruta de mayor prioridad.
  • Puedes crear una sola regla para el tráfico unidireccional o varias reglas a fin de manejar el tráfico bidireccional.
  • Para usar rutas basadas en políticas con Cloud Interconnect, la ruta debe aplicarse a todas las conexiones de Cloud Interconnect de una región completa. Las rutas basadas en políticas no se pueden aplicar solo a una conexión individual de Cloud Interconnect.
  • Las instancias de VM que reciben tráfico de una ruta basada en políticas deben tener habilitado el reenvío de IP.

Limitaciones

  • Las rutas basadas en políticas no admiten el tráfico coincidente en función del puerto.
  • Las rutas basadas en políticas no se intercambian a través del intercambio de tráfico entre redes de VPC.
  • No es posible actualizar una ruta basada en políticas después de crearla. Si deseas actualizar una ruta, bórrala y crea una nueva.
  • Las rutas basadas en políticas solo admiten tráfico IPv4 y no admiten IPv6.
  • La regla de reenvío del balanceador de cargas de red de transferencia interno debe tener una dirección IP dedicada. No se admite el uso de una dirección IP compartida (propósito de dirección IP configurada como SHARED_LOADBALANCER_VIP).
  • Las rutas basadas en políticas pueden interferir en la comunicación entre el plano de control de GKE y los nodos. Para obtener más información, consulta Usa rutas basadas en políticas con GKE.
  • Las rutas basadas en políticas no admiten el consumo de servicios publicados con extremos o backends de Private Service Connect. Para obtener más información, consulta Usa rutas basadas en políticas con Private Service Connect.
  • Se requiere la traducción de direcciones de red de origen (SNAT) si las rutas basadas en políticas se aplican al tráfico para el Acceso privado a Google o Private Service Connect para las APIs de Google. Si deseas obtener más información, consulta Usa rutas basadas en políticas con el Acceso privado a Google o extremos para las APIs de Google.
  • Los adjuntos de VLAN deben tener Dataplane v2. Si quieres inspeccionar el adjunto de VLAN para verificar en qué versión se encuentra, consulta las instrucciones de Interconexión dedicada o Interconexión de socio.

Omite otras rutas basadas en políticas

Puedes crear una ruta basada en políticas que omita otras rutas basadas en políticas mediante Google Cloud CLI o el envío de una solicitud a la API. Para la CLI de gcloud, usa la marca --next-hop-other-routes=DEFAULT_ROUTING. Para una solicitud a la API, incluye "nextHopOtherRoutes": "DEFAULT_ROUTING" con el cuerpo de la solicitud.

Si una ruta basada en políticas de este tipo coincide con las características de un paquete y tiene una prioridad mayor que otras rutas basadas en políticas coincidentes, Google Cloud ignora las otras rutas basadas en políticas y continúa con el paso de destino más específico del orden de enrutamiento de VPC.

Por ejemplo, considera una ruta basada en políticas que usa un balanceador de cargas de red de paso interno de siguiente salto. Esta ruta basada en políticas tiene un rango de origen de 0.0.0.0/0 y una etiqueta de red de compute-vm.

Para omitir la evaluación de la primera ruta basada en políticas cuando las fuentes de paquetes coinciden con un rango de direcciones IP específico, crea una ruta basada en políticas de prioridad más alta que esté configurada para omitir otras rutas basadas en políticas. Establece el rango de direcciones IP de origen de esta ruta de prioridad más alta basada en la política al rango de direcciones IP de origen de los sistemas que necesitan omitir el enrutamiento basado en políticas.

Cuota

Existe un límite para la cantidad de rutas basadas en políticas que puedes crear en un solo proyecto. Para obtener más información, consulta las cuotas por proyecto en la documentación de VPC.