基于政策的路由
本文档简要介绍了基于政策的路由。
基于政策的路由允许您根据多个数据包的目的地 IP 地址选择下一个跃点。您还可以按协议和来源 IP 地址来匹配流量。匹配的流量会重定向到内部直通网络负载均衡器。这有助于您将防火墙等设备插入到网络流量路径中。
规格
- 创建基于政策的路由时,您可以选择哪些资源可通过该路由处理其流量。路由可以应用于以下各项::
- 选择 VPC 网络中的虚拟机 (VM) 实例
- 通过单个区域或 VPC 网络中的 Cloud Interconnect 的 VLAN 连接进入 VPC 网络的所有流量
- VPC 网络中的所有虚拟机实例、Cloud Interconnect 的 VLAN 连接以及 Cloud VPN 隧道
- 基于政策的路由的下一个跃点必须是有效的内部直通式网络负载均衡器。此内部直通式网络负载均衡器必须与基于政策的路由位于同一 VPC 网络中,或者位于通过 VPC 网络对等互连连接到路由的 VPC 网络的 VPC 网络中。在对等 VPC 网络中使用下一个跃点目前处于预览版阶段。
- 基于政策的路由的优先级高于其他路由类型,但特殊路由路径除外。
- 如果两个基于政策的路由具有相同的优先级,Google Cloud 会使用确定性的内部算法来选择单个基于政策的路由,并忽略具有相同优先级的其他路由。基于政策的路由不使用最长前缀匹配,并且仅选择优先级最高的路由。
- 基于政策的路由可应用于 IPv4 或 IPv6 流量。将基于政策的路由应用于 IPv6 流量目前处于预览版阶段。
- 您可以为单向流量创建单个规则,也可以创建多个规则来处理双向流量。
- 如需将基于政策的路由与 Cloud Interconnect 搭配使用,必须将该路由应用于整个区域或 VPC 网络中的所有 Cloud Interconnect 连接。基于政策的路由不能仅应用于单个 Cloud Interconnect 连接。
- 从基于政策的路由接收流量的虚拟机实例必须启用 IP 转发。
限制
- 基于政策的路由不会在通过 VPC 网络对等互连连接的 VPC 网络之间交换。
- 基于政策的路由不会在 Network Connectivity Center Spoke 和 Hub 之间交换。
- 基于政策的路由不支持基于端口匹配流量。
- 基于政策的路由创建后无法更新。如果您要更新路由,请删除路由并创建新路由。
- 内部直通式网络负载均衡器转发规则必须具有专用 IP 地址。不支持使用共享 IP 地址(IP 地址用途设置为
SHARED_LOADBALANCER_VIP)。 - 基于政策的路由可能会干扰 GKE 控制平面与节点之间的通信。如需了解详情,请参阅将基于政策的路由与 GKE 搭配使用。
- 基于政策的路由不支持使用具有 Private Service Connect 端点或后端的已发布服务。如需了解详情,请参阅将基于政策的路由与 Private Service Connect 搭配使用。
- 如果基于政策的路由适用于专用 Google 访问通道或 Google API 的 Private Service Connect 的流量,则需要进行来源网络地址转换 (SNAT)。如需了解详情,请参阅将基于政策的路由与专用 Google 访问通道或适用于 Google API 的端点搭配使用。
- VLAN 连接必须使用 Dataplane v2。如需检查 VLAN 连接以查看其版本,请参阅专用互连或合作伙伴互连说明。
跳过其他基于政策的路由
您可以使用 Google Cloud CLI 或发送 API 请求来创建基于政策的路由,该路由会跳过其他基于政策的路由。对于 gcloud CLI,请使用 --next-hop-other-routes=DEFAULT_ROUTING 标志。对于 API 请求,请在请求正文中添加 "nextHopOtherRoutes": "DEFAULT_ROUTING"。
如果此类基于政策的路由与数据包的特征匹配,且优先级高于其他基于政策的路由,则 Google Cloud 会忽略其他基于政策的路由,并继续进行 VPC 路由顺序中最具体的目标这一步骤。
例如,假设某个基于政策的路由使用下一个跃点内部直通网络负载均衡器。这种基于政策的路由的来源范围为 0.0.0.0/0,网络标记为 compute-vm。
如需在数据包来源与特定 IP 地址范围匹配时跳过对第一个基于政策的路由的评估,请创建一个优先级较高的基于政策的路由,该路由配置为跳过其他基于政策的路由。将此优先级较高的基于政策的路由的来源 IP 地址范围设置为需要跳过基于政策的路由的系统的来源 IP 地址范围。
配额
单个项目中可以创建的基于政策的路由数量是有限制的。如需了解详情,请参阅 VPC 文档中每个项目的配额。