基于政策的路由

本文档简要介绍了基于政策的路由。

基于政策的路由允许您根据多个数据包的目的地 IP 地址选择下一个跃点。您也可以按协议和来源 IP 地址匹配流量。匹配的流量会重定向到内部直通网络负载均衡器。这有助于您将防火墙等设备插入到网络流量路径中。

规格

• 创建基于政策的路由时，您可以选择哪些资源可通过该路由处理其流量。路由可以应用于以下各项：:
  • 选择 VPC 网络中的虚拟机实例
  • 通过区域中 Cloud Interconnect 互连的 VLAN 连接进入 VPC 网络的所有流量
  • VPC 网络中的所有虚拟机 (VM) 实例、Cloud Interconnect 的 VLAN 连接以及 Cloud VPN 隧道
• 基于政策的路由的下一个跃点必须是与基于政策的路由位于同一 VPC 网络中的有效内部直通网络负载均衡器。
• 除特殊返回路径外，基于政策的路由的优先级高于其他路由类型。特殊返回路径路由不受基于政策的路由影响。特殊返回路径路由优先。
• 如果两个基于政策的路由具有相同的优先级，则 Google Cloud 会使用确定性的内部算法来选择单个基于政策的路由，并忽略具有相同优先级的其他路由。基于政策的路由不使用最长前缀匹配，仅选择优先级最高的路由。
• 您可以为单向流量创建一条规则，也可以创建多条规则来处理双向流量。
• 如需将基于政策的路由与 Cloud Interconnect 结合使用，则该路由必须应用于整个区域中的所有 Cloud Interconnect 连接。基于政策的路由不能仅应用于单个 Cloud Interconnect 连接。
• 从基于政策的路由接收流量的虚拟机实例必须启用 IP 转发。

限制

• 基于政策的路由不支持基于端口匹配流量。
• 基于政策的路由不通过 VPC 网络对等互连进行交换。
• 基于政策的路由在创建后无法更新。如果要更新路由，请删除路由并创建新路由。
• 基于政策的路由仅支持 IPv4 流量，不支持 IPv6。
• 内部直通式网络负载均衡器转发规则必须具有专用 IP 地址。不支持使用共享 IP 地址（IP 地址用途设置为 SHARED_LOADBALANCER_VIP）。
• 基于政策的路由可能会干扰 GKE 控制平面与节点之间的通信。如需了解详情，请参阅将基于政策的路由与 GKE 搭配使用。
• 基于政策的路由不支持使用具有 Private Service Connect 端点或后端的已发布服务。如需了解详情，请参阅将基于政策的路由与 Private Service Connect 搭配使用。
• 如果基于政策的路由适用于专用 Google 访问通道或 Google API 的 Private Service Connect 的流量，则需要进行来源网络地址转换 (SNAT)。如需了解详情，请参阅将基于政策的路由与专用 Google 访问通道或适用于 Google API 的端点搭配使用。
• VLAN 连接必须具有 Dataplane v2。如需检查 VLAN 连接以查看其版本，请参阅专用互连或合作伙伴互连说明。

跳过其他基于政策的路由

您可以使用 Google Cloud CLI 或发送 API 请求来创建基于政策的路由，该路由会跳过其他基于政策的路由。对于 gcloud CLI，请使用 --next-hop-other-routes=DEFAULT_ROUTING 标志。对于 API 请求，请在请求正文中添加 "nextHopOtherRoutes": "DEFAULT_ROUTING"。

如果此类基于政策的路由与数据包的特征匹配，且优先级高于其他基于政策的路由，则 Google Cloud 会忽略其他基于政策的路由，并继续进行 VPC 路由顺序中最具体的目标这一步骤。

例如，假设某个基于政策的路由使用下一个跃点内部直通网络负载均衡器。这种基于政策的路由的来源范围为 0.0.0.0/0，网络标记为 compute-vm。

如需在数据包来源与特定 IP 地址范围匹配时跳过对第一个基于政策的路由的评估，请创建一个优先级较高的基于政策的路由，该路由配置为跳过其他基于政策的路由。将此优先级较高的基于政策的路由的来源 IP 地址范围设置为需要跳过基于政策的路由的系统的来源 IP 地址范围。

配额

您在单个项目中可以创建的基于政策的路由数量存在限制。如需了解详情，请参阅 VPC 文档中每个项目的配额。