Routes basées sur des règles

Ce document offre un aperçu des routes basées sur des règles.

Les routes basées sur des règles vous permettent de sélectionner un saut suivant en fonction de l'adresse IP de destination d'un paquet. Vous pouvez également mettre en correspondance le trafic par protocole et adresse IP source. Le trafic correspondant est redirigé vers un équilibreur de charge réseau interne à stratégie directe. Cela peut vous aider à insérer des dispositifs tels que des pare-feu dans le chemin du trafic réseau.

Spécifications

  • Lorsque vous créez une route basée sur des règles, vous sélectionnez les ressources dont le trafic peut être traité par la route. La route peut s'appliquer aux éléments suivants :
    • Instances de VM sélectionnées dans le réseau VPC
    • Tout le trafic entrant dans le réseau VPC via des rattachements de VLAN pour Cloud Interconnect dans une région
    • Toutes les instances de machine virtuelle (VM), les rattachements de VLAN pour Cloud Interconnect et les tunnels Cloud VPN dans le réseau VPC
  • Le saut suivant d'une route basée sur des règles doit être un équilibreur de charge réseau interne à stratégie directe valide qui se trouve dans le même réseau VPC que la route basée sur des règles.
  • Les routages basés sur des règles présentent une priorité plus élevée que les autres types de routages, à l'exception des chemins de retour spéciaux. Les routes spéciales de chemin de retour ne sont pas affectées par les routes basées sur des règles. La route spéciale de chemin de retour est prioritaire.
  • Si deux routes basées sur des règles ont la même priorité, Google Cloud utilise un algorithme interne déterministe pour sélectionner une seule route, en ignorant les autres routes ayant la même priorité. Les routes basées sur des règles n'utilisent pas la correspondance du préfixe le plus long et ne sélectionnent que la route ayant la priorité la plus élevée.
  • Vous pouvez créer une règle unique pour le trafic à sens unique ou plusieurs règles pour gérer le trafic bidirectionnel.
  • Pour utiliser des routes basées sur des règles avec Cloud Interconnect, elles doivent être appliquées à toutes les connexions Cloud Interconnect d'une région entière. Les routes basées sur des règles ne peuvent être appliquées qu'à une seule connexion Cloud Interconnect.
  • Le transfert IP doit être activé sur les instances de VM qui reçoivent le trafic provenant d'une route basée sur des règles.

Limites

  • Les routes basées sur des règles n'acceptent pas le trafic correspondant en fonction du port.
  • Les routes basées sur des règles ne sont pas échangées via l'appairage de réseaux VPC.
  • Il n'est pas possible de mettre à jour une route basée sur des règles après sa création. Si vous souhaitez mettre à jour une route, supprimez-la et créez-en une nouvelle.
  • Les routes basées sur des règles n'acceptent que le trafic IPv4, et non le trafic IPv6.
  • La règle de transfert de l'équilibreur de charge réseau interne à stratégie directe doit disposer d'une adresse IP dédiée. L'utilisation d'une adresse IP partagée (objectif d'adresses IP défini sur SHARED_LOADBALANCER_VIP) n'est pas acceptée.
  • Les routages basés sur des règles peuvent interférer avec la communication entre le plan de contrôle GKE et les nœuds. Pour plus d'informations, consultez la section Utiliser des routages basés sur des règles avec GKE.
  • Les routages basés sur des règles ne sont pas compatibles avec la consommation de services publiés avec des points de terminaison ou des backends Private Service Connect. Pour en savoir plus, consultez la section Utiliser des routages basés sur des règles avec Private Service Connect.
  • La traduction d'adresse réseau source (SNAT) est requise si les routages basés sur des règles s'appliquent au trafic de l'Accès privé à Google ou de Private Service Connect pour les API Google. Pour plus d'informations, consultez la section Utiliser des routages basés sur des règles avec l'accès privé à Google ou des points de terminaison pour les API Google.
  • Les rattachements de VLAN doivent disposer de Dataplane v2. Pour inspecter votre rattachement de VLAN afin de vérifier la version qu'il utilise, consultez les instructions sur l'interconnexion dédiée ou l'interconnexion partenaire.

Ignorer d'autres routes basées sur des règles

Vous pouvez créer une route basée sur des règles qui ignore les autres routes basées sur des règles à l'aide de Google Cloud CLI ou en envoyant une requête API. Avec gcloud CLI, utilisez l'option --next-hop-other-routes=DEFAULT_ROUTING. Pour une requête API, incluez "nextHopOtherRoutes": "DEFAULT_ROUTING" avec le corps de la requête.

Si une route basée sur des règles de ce type correspond aux caractéristiques d'un paquet et a une priorité plus élevée que les autres routes basées sur des règles, Google Cloud ignore les autres routes basées sur des règles et passe à la valeur destination la plus spécifique de l'ordre de routage VPC.

Prenons l'exemple d'une route basée sur des règles qui utilise un équilibreur de charge réseau interne à saut suivant. Cette route basée sur des règles possède une plage source de 0.0.0.0/0 et un tag réseau compute-vm.

Pour ignorer l'évaluation de la première route basée sur des règles lorsque les sources des paquets correspondent à une plage d'adresses IP spécifique, créez une route basée sur des règles de priorité plus élevée et configurée pour ignorer d'autres routes basées sur des règles. Définissez la plage d'adresses IP source de cette route basée sur des règles prioritaire sur la plage d'adresses IP source des systèmes devant ignorer le routage basé sur des règles.

Quotas

Le nombre de routes basées sur des règles que vous pouvez créer dans un projet est limité. Pour plus d'informations, vérifiez quels sont les quotas par projet dans la documentation VPC.