ポリシーベースのルート

このドキュメントでは、ポリシーベースのルートの概要について説明します。

ポリシーベースのルートを使用すると、パケットの宛先 IP アドレス以外の条件も使用してネクストホップを選択できます。プロトコルと送信元 IP アドレスでトラフィックを照合することもできます。一致するトラフィックは、内部パススルー ネットワーク ロードバランサにリダイレクトされます。これにより、ファイアウォールなどのアプライアンスをネットワーク トラフィックのパスに挿入できます。

仕様

  • ポリシーベースのルートを作成する場合は、ルートでトラフィックを処理できるリソースを選択します。ルートは以下のものに適用できます。
    • VPC ネットワーク内の特定の VM インスタンス
    • リージョン内の Cloud Interconnect の VLAN アタッチメント経由で VPC ネットワークに到達するすべてのトラフィック
    • VPC ネットワーク内のすべての仮想マシン(VM)インスタンス、Cloud Interconnect の VLAN アタッチメント、Cloud VPN トンネル
  • ポリシーベースのルートのネクストホップは、ポリシーベースのルートと同じ VPC ネットワークにある有効な内部パススルー ネットワーク ロードバランサである必要があります。
  • ポリシーベースのルートは、特別なリターンパスを除き、他のルートタイプよりも優先度が高くなります。特別なリターンパスのルートは、ポリシーベースのルートの影響を受けません。特別なリターンパスのルートが優先されます。
  • 2 つのポリシーベースのルートの優先度が同じである場合、Google Cloud は決定論的な内部アルゴリズムを使用して単一のポリシーベースのルートを選択し、同じ優先度の他のルートを無視します。ポリシーベースのルートは、最長のプレフィックス マッチングを使用せず、優先度の最も高いルートのみを選択します。
  • 一方向のトラフィックに単一のルールを作成することも、双方向のトラフィックを処理する複数のルールを作成することもできます。
  • Cloud Interconnect でポリシーベースのルートを使用するには、そのリージョン内のすべての Cloud Interconnect 接続にルートを適用する必要があります。ポリシーベースのルートは、個々の Cloud Interconnect 接続には適用できません。
  • ポリシーベースのルートからトラフィックを受信する VM インスタンスは、IP 転送を有効にする必要があります。

制限事項

  • ポリシーベースのルートは、ポートに基づくトラフィックの照合をサポートしていません。
  • ポリシーベースのルートは、VPC ネットワーク ピアリングを介して交換されません。
  • ポリシーベースのルートは、作成後に更新することはできません。ルートを更新する場合は、ルートを削除して新しいルートを作成します。
  • ポリシーベースのルートは IPv4 トラフィックのみをサポートし、IPv6 はサポートしません。
  • 内部パススルー ネットワーク ロードバランサの転送ルールには専用の IP アドレスが必要です。共有 IP アドレス(SHARED_LOADBALANCER_VIP に設定された IP アドレス)は使用できません。
  • ポリシーベースのルートを使用すると、GKE のコントロール プレーンとノード間の通信が妨げられることがあります。詳細については、GKE でポリシーベースのルートを使用するをご覧ください。
  • ポリシーベースのルートでは、Private Service Connect エンドポイントまたはバックエンドで公開サービスの使用はサポートされていません。詳細については、Private Service Connect でポリシーベースのルートを使用するをご覧ください。
  • 限定公開の Google アクセスまたは Google API 用の Private Service Connect のトラフィックにポリシーベースのルートが適用される場合は、送信元ネットワーク アドレス変換(SNAT)が必要です。詳細については、限定公開の Google アクセスまたは Google API のエンドポイントでポリシーベースのルートを使用するをご覧ください。
  • VLAN アタッチメントには Dataplane v2 が必要です。VLAN アタッチメントを調べて、使用しているバージョンを確認するには、Dedicated Interconnect または Partner Interconnect の手順をご覧ください。

他のポリシーベースのルートのスキップ

他のポリシーベースのルートをスキップするポリシーベースのルートを作成するには、Google Cloud CLI を使用するか、API リクエストを送信します。gcloud CLI の場合は、--next-hop-other-routes=DEFAULT_ROUTING フラグを使用します。API リクエストの場合は、リクエスト本文に "nextHopOtherRoutes": "DEFAULT_ROUTING" を含めます。

このタイプのポリシーベースのルートがパケットの特性と一致し、他の一致するポリシーベースのルートよりも優先度が高い場合、Google Cloud は他のポリシーベースのルートを無視し、VPC ルーティング順序の最も狭い範囲の宛先のステップに進みます。

たとえば、ネクストホップの内部パススルー ネットワーク ロードバランサを使用するポリシーベースのルートについて考えてみましょう。このポリシーベースのルートは、ソース範囲が 0.0.0.0/0 で、ネットワーク タグが compute-vm です。

パケットの送信元が特定の IP アドレス範囲と一致するときに、最初のポリシーベースのルートの評価をスキップするには、他のポリシーベースのルートをスキップするように構成された、優先度の高いポリシーベースのルートを作成します。この優先度の高いポリシーベースのルートの送信元 IP アドレス範囲を、ポリシーベース ルーティングをスキップするシステムの送信元 IP アドレス範囲に設定します。

割り当て

1 つのプロジェクトで作成できるポリシーベースのルートの数には上限があります。詳細については、VPC のドキュメントでプロジェクトごとの割り当てをご覧ください。