Route basate su criteri

Questo documento fornisce una panoramica delle route basate su criteri.

Le route basate su criteri consentono di selezionare un hop successivo in base a più dell'indirizzo IP di destinazione di un pacchetto. Puoi anche associare il traffico in base a protocollo e indirizzo IP di origine. Il traffico corrispondente viene reindirizzato a un bilanciatore del carico di rete passthrough interno. Questo può aiutarti a inserire appliance come i firewall nel percorso del traffico di rete.

Specifiche

  • Quando crei una route basata su criteri, devi selezionare le risorse che possono elaborare il proprio traffico in base alla route. Il percorso può essere applicato a quanto segue:
    • Seleziona le istanze VM nella rete VPC
    • Tutto il traffico che entra nella rete VPC tramite collegamenti VLAN per Cloud Interconnect in una regione
    • Tutte le istanze di macchine virtuali (VM), i collegamenti VLAN per Cloud Interconnect e i tunnel Cloud VPN nella rete VPC
  • L'hop successivo di una route basata su criteri deve essere un bilanciatore del carico di rete passthrough interno valido che si trovi nella stessa rete VPC della route basata su criteri.
  • Le route basate su criteri hanno una priorità maggiore rispetto agli altri tipi di route, ad eccezione dei percorsi di ritorno speciali. Le route di ritorno speciali non sono interessate dalle route basate su criteri. Il percorso di ritorno speciale ha la precedenza.
  • Se due route basate su criteri hanno la stessa priorità, Google Cloud utilizza un algoritmo interno deterministico per selezionare una singola route basata su criteri, ignorando le altre route con la stessa priorità. Le route basate su criteri non utilizzano la corrispondenza del prefisso più lunga e selezionano solo la route con priorità più alta.
  • Puoi creare una sola regola per il traffico unidirezionale o più regole per gestire il traffico bidirezionale.
  • Per utilizzare le route basate su criteri con Cloud Interconnect, la route deve essere applicata a tutte le connessioni Cloud Interconnect in un'intera regione. Le route basate su criteri non possono essere applicate solo a una singola connessione Cloud Interconnect.
  • Le istanze VM che ricevono traffico da una route basata su criteri devono avere l'inoltro IP abilitato.

Limitazioni

  • Le route basate su criteri non supportano il traffico corrispondente in base alla porta.
  • Le route basate su criteri non vengono scambiate tramite il peering di rete VPC.
  • Non è possibile aggiornare una route basata su criteri dopo la sua creazione. Se vuoi aggiornare una route, eliminala e creane una nuova.
  • Le route basate su criteri supportano solo il traffico IPv4 e non IPv6.
  • La regola di forwarding del bilanciatore del carico di rete passthrough interno deve avere un indirizzo IP dedicato. L'utilizzo di un indirizzo IP condiviso (scopo dell'indirizzo IP impostato su SHARED_LOADBALANCER_VIP) non è supportato.
  • Le route basate su criteri possono interferire con la comunicazione tra il piano di controllo e i nodi di GKE. Per maggiori informazioni, consulta Utilizzare le route basate su criteri con GKE.
  • Le route basate su criteri non supportano il consumo di servizi pubblicati con endpoint o backend Private Service Connect. Per ulteriori informazioni, consulta Utilizzare route basate su criteri con Private Service Connect.
  • Network Address Translation di origine (SNAT) è obbligatoria se le route basate su criteri si applicano al traffico per l'accesso privato Google o Private Service Connect per le API di Google. Per maggiori informazioni, consulta Utilizzare route basate su criteri con accesso privato Google o endpoint per le API di Google.
  • I collegamenti VLAN devono avere Dataplane v2. Per ispezionare il collegamento VLAN per verificare la versione in uso, consulta le istruzioni per Dedicated Interconnect o Partner Interconnect.

Saltare altre route basate su criteri

Puoi creare una route basata su criteri che ignori altre route basate su criteri utilizzando Google Cloud CLI o inviando una richiesta API. Per gcloud CLI, utilizza il flag --next-hop-other-routes=DEFAULT_ROUTING. Per una richiesta API, includi "nextHopOtherRoutes": "DEFAULT_ROUTING" nel corpo della richiesta.

Se una route basata su criteri di questo tipo corrisponde alle caratteristiche di un pacchetto e ha una priorità maggiore rispetto ad altre route basate su criteri corrispondenti, Google Cloud ignora le altre route basate su criteri e passa al passaggio di destinazione più specifico dell'ordine di routing VPC.

Prendiamo ad esempio una route basata su criteri che utilizza un bilanciatore del carico di rete passthrough interno dell'hop successivo. Questa route basata su criteri ha un intervallo di origine 0.0.0.0/0 e un tag di rete compute-vm.

Per saltare la valutazione della prima route basata su criteri quando le origini dei pacchetti corrispondono a un intervallo di indirizzi IP specifico, crea una route basata su criteri con priorità più alta configurata in modo da ignorare altre route basate su criteri. Imposta l'intervallo di indirizzi IP di origine per questa route basata su criteri con priorità più alta nell'intervallo di indirizzi IP di origine dei sistemi che devono ignorare il routing basato su criteri.

Quota

È previsto un limite al numero di route basate su criteri che puoi creare in un singolo progetto. Per ulteriori informazioni, consulta le quotas per progetto nella documentazione di VPC.