Présentation des routes

Les routes Google Cloud Platform (GCP) définissent les chemins d'accès du trafic réseau depuis une instance de VM vers d'autres destinations. Ces destinations peuvent se trouver à l'intérieur de votre réseau VPC (par exemple dans une autre VM) ou à l'extérieur.

Chaque route comprend une destination et un saut suivant. Le trafic dont l'adresse IP de destination se situe dans la plage de destination est acheminé pour distribution au saut suivant. Cette page fournit un aperçu du fonctionnement des routes dans GCP.

Routage dans GCP

Chaque réseau VPC utilise un mécanisme de routage virtuel distribué et évolutif. Même si certaines routes peuvent être définies de manière sélective, la table de routage d'un réseau VPC est définie au niveau du réseau VPC.

Chaque instance de VM dispose d'un contrôleur qui reçoit en permanence des informations sur toutes les routes applicables depuis la table de routage du réseau. Chaque paquet sortant d'une VM est acheminé au saut suivant approprié d'une route applicable, en fonction d'un ordre de priorités de routage. Lorsque vous ajoutez ou supprimez une route, l'ensemble des modifications est propagé aux contrôleurs des VM selon un modèle de cohérence à terme.

Types de routes

GCP comporte quatre types de routes dans deux catégories. Les routes générées par le système sont créées automatiquement lorsque vous créez un réseau, ajoutez un sous-réseau ou modifiez la plage d'adresses IP secondaires d'un sous-réseau. Les routes personnalisées sont celles que vous créez et gérez, soit directement, soit à l'aide d'un routeur cloud. Le tableau suivant résume les différents types de routes :

Type Catégorie Destination Saut suivant Amovible Applicable à
Route par défaut Générée par le système 0.0.0.0/0 default-internet-gateway Oui Toutes les instances du réseau
Route de sous-réseau Générée par le système Plages d'adresses IP de sous-réseaux principales et secondaires
Réseau VPC, qui transmet les paquets aux VM dans ses sous-réseaux Seulement lorsque le sous-réseau est supprimé ou lorsque vous modifiez les plages d'adresses IP secondaires du sous-réseau Toutes les instances du réseau
Route statique Personnalisée • Plage d'adresses IP qui ne chevauche pas partiellement ou exactement une plage d'adresses IP de sous-réseau
• Plage d'adresses IP plus large qu'une plage d'adresses IP de sous-réseau
Au choix :
• Une instance par nom
• Une instance par son adresse IP
• Un tunnel Cloud VPN
Oui Toutes les instances du réseau, sauf si elles sont limitées à des instances spécifiques par un tag réseau
Route dynamique Personnalisée • Plage d'adresses IP qui ne chevauche pas partiellement ou exactement une plage d'adresses IP de sous-réseau
• Plage d'adresses IP plus large qu'une plage d'adresses IP de sous-réseau
Adresse IP du pair BGP du routeur cloud Uniquement par un routeur cloud s'il ne reçoit plus la route de son pair BGP • Instances dans la même région que le routeur cloud si le réseau VPC est en mode de routage dynamique régional
• Toutes les instances si le réseau VPC est en mode de routage dynamique global

Routes par défaut

Lorsque vous créez un réseau VPC, GCP crée une route par défaut générée par le système. Cette route a une double finalité :

  • Elle définit le chemin sortant du réseau VPC, y compris le chemin d'accès à Internet. Pour accéder à Internet, les instances doivent utiliser cette route mais également répondre à des exigences supplémentaires.

  • Elle définit le chemin standard pour l'Accès privé à Google.

La route par défaut générée par le système a une priorité d'une valeur de 1000. Comme sa destination est la plus large possible (0.0.0.0/0), GCP ne l'utilise que si une route avec une destination plus spécifique ne s'applique pas à un paquet. Consultez la section Ordre de priorités de routage pour savoir comment la spécificité de destination et la priorité de routage sont utilisées pour sélectionner une route.

Vous pouvez supprimer la route par défaut pour la remplacer par une route personnalisée, ou si vous souhaitez isoler complètement votre réseau d'Internet :

  • Vous pouvez remplacer la route par défaut par une route statique ou dynamique personnalisée si vous souhaitez router le "trafic Internet" vers un saut suivant différent. Vous pouvez par exemple la remplacer par une route statique personnalisée dont le saut suivant est un tunnel Cloud VPN ou une autre instance, telle qu'un serveur proxy.

  • Si vous supprimez la route par défaut sans la remplacer, les paquets destinés aux plages d'adresses IP non couvertes par d'autres routes seront supprimés.

Routes de sous-réseau

Les routes de sous-réseau sont des routes générées par le système qui définissent les chemins d'accès à chaque sous-réseau du réseau VPC.

Chaque sous-réseau comporte au moins une route de sous-réseau dont la destination correspond à la plage d'adresses IP principale du sous-réseau. Si le sous-réseau comporte des plages d'adresses IP secondaires, GCP crée une route de sous-réseau avec une destination correspondante pour chaque plage secondaire. Consultez la section Réseaux et sous-réseaux pour plus de détails sur les plages d'adresses IP de sous-réseau.

Aucune autre route ne peut avoir une destination identique à celle d'une route de sous-réseau, ou plus spécifique que celle-ci. Vous pouvez créer une route personnalisée comportant une plage de destination plus large qui contient la plage de destination de la route du sous-réseau. En cas de chevauchement de plage d'adresses IP : étant donné que GCP utilise la spécificité de destination comme premier critère pour définir l'ordre de priorités de routage, la route de sous-réseau sera toujours considérée comme saut suivant prioritaire pour les paquets dont les destinations correspondent à sa plage de destination. Ceci est également le cas même si un autre route, dont la destination "contient" la destination de la route de sous-réseau, a une priorité plus élevée.

Les points suivants décrivent la façon dont les routes de sous-réseau sont créées et supprimées :

  • Lorsqu'un sous-réseau est créé, une route de sous-réseau correspondant à la plage d'adresses IP principales du sous-réseau est également créée.

    • Si vous ajoutez une plage d'adresses IP secondaires à un sous-réseau, une route de sous-réseau correspondante est créée pour cette plage secondaire.
  • Les réseaux VPC en mode automatique créent une route de sous-réseau pour les plages d'adresses IP principales de chacun de leurs sous-réseaux créés automatiquement. Vous pouvez supprimer ces sous-réseaux uniquement si vous basculez le réseau du mode automatique vers le mode personnalisé. Pour plus d'informations, consultez la section Types de réseaux VPC.

  • Vous ne pouvez pas supprimer une route de sous-réseau sans modifier ou supprimer le sous-réseau lui-même :

    • Lorsque vous supprimez une plage secondaire d'un sous-réseau, la route de sous-réseau de cette plage secondaire est automatiquement supprimée.

    • Lorsque vous supprimez un sous-réseau, toutes les routes de sous-réseau des plages principales et secondaires sont automatiquement supprimées. Il n'existe aucune autre façon de supprimer la route de sous-réseau de la plage principale du sous-réseau.

  • Lorsque des réseaux sont connectés via l'appairage de réseaux VPC, les routes de sous-réseau d'un réseau sont importées dans l'autre réseau et inversement. C'est pourquoi toutes les plages d'adresses IP de sous-réseau principales et secondaires doivent être uniques.

    • Les routes de sous-réseau pour les sous-réseaux dans les réseaux appairés ne peuvent être supprimées que si vous interrompez la relation d'appairage. Lorsque vous interrompez cette relation, toutes les routes de sous-réseau importées depuis l'autre réseau sont automatiquement supprimées.

Les règles de pare-feu peuvent bloquer la communication entre les instances. Pour plus d'informations sur la communication entre instances, reportez-vous à la section Communication au sein du réseau.

Routes personnalisées

Les routes personnalisées sont soit des routes statiques que vous créez manuellement, soit des routes dynamiques gérées automatiquement par un ou plusieurs de vos routeurs cloud.

Les destinations des routes personnalisées ne peuvent pas être identiques ou avoir une spécificité supérieure aux autres routes de sous-réseau au sein du réseau.

Si votre réseau VPC est en mode automatique, n'utilisez pas les destinations 10.128.0.0/9 du bloc CIDR, car ce dernier définit l'espace d'adressage actuel et futur des routes de sous-réseau. Pour plus d'informations, consultez la section Plages d'adresses IP du mode automatique. Dans un réseau VPC en mode automatique, les routes statiques avec des destinations comprises dans la plage 10.128.0.0/9 peuvent être désactivées à tout moment. Cela peut se produire si une nouvelle région GCP devient disponible et qu'un nouveau sous-réseau est créé automatiquement (avec sa route de sous-réseau). Examinez attentivement les considérations relatives aux réseaux en mode automatique pour plus d'informations.

Routes statiques

Les routes statiques peuvent utiliser n'importe quel saut suivant de route statique. Vous pouvez créer des routes statiques de deux manières :

  • Vous pouvez les créer manuellement.

  • Si vous utilisez la console GCP pour créer un tunnel Cloud VPN utilisant un routage basé sur des règles ou un VPN basé sur le routage, des routes statiques pour les sélecteurs de trafic distants sont créées pour vous. Pour plus de détails, consultez la documentation Cloud VPN sur les réseaux et le routage pour les tunnels.

Consultez la section Paramètres des routes statiques pour plus d'informations.

Routes dynamiques

Les routes dynamiques sont gérées par un ou plusieurs routeurs cloud. Leurs destinations représentent toujours des plages d'adresse IP en dehors de votre réseau VPC, et leurs sauts suivants sont toujours des adresses de pairs BGP. Un routeur cloud peut gérer des routes dynamiques :

Applicabilité et ordre

Routes applicables

Les routes s'appliquent aux instances conformément aux règles suivantes :

  • Les routes générées par le système s'appliquent à toutes les instances d'un réseau VPC. Le champ d'application des instances auxquelles s'appliquent les routes de sous-réseau ne peut pas être modifié. Cependant, vous pouvez remplacer la route par défaut.

  • Les routes statiques personnalisées peuvent s'appliquer à toutes les instances ou à des instances spécifiques, en fonction de l'attribut de tag de la route. Les routes statiques avec un attribut de tag sont applicables aux instances qui comportent un tag réseau correspondant. Si aucun attribut de tag n'est spécifié, la route statique s'applique à toutes les instances du réseau.

  • Les routes dynamiques s'appliquent aux instances basées sur le mode de routage dynamique du réseau VPC. Si le réseau VPC est en mode de routage dynamique régional, tous les routeurs cloud appliquent les routes récupérées dans leurs régions respectives. Si le réseau est en mode de routage dynamique global, tous les routeurs cloud appliquent les routes récupérées sur l'ensemble du réseau.

Ordre de routage

GCP utilise la procédure suivante pour sélectionner le saut suivant pour un paquet dans le pool de routes applicables :

  1. Les routes de sous-réseau sont prioritaires, car GCP exige que les destinations les plus spécifiques des routes de sous-réseau correspondent aux plages d'adresses IP de leurs sous-réseaux respectifs. Si la destination d'un paquet correspond à la destination d'une route de sous-réseau, celui-ci est distribué au sous-réseau GCP. Vous ne pouvez pas remplacer une route de sous-réseau par un autre type de route.

    • GCP n'autorise pas les routes statiques à avoir une destination identique à une route de sous-réseau ou plus spécifique que celle-ci.

    • Dans le cas des routes dynamiques, les routeurs cloud ne tiennent pas compte des routes qu'ils récupèrent dont les destinations sont identiques à celles d'autres routes de sous-réseau, ou plus spécifiques que ces dernières.

  2. Si le paquet ne correspond pas à la destination d'une route de sous-réseau, GCP cherche une autre route, avec la destination la plus spécifique.

    • Supposons que la destination d'un paquet quittant une VM est 10.240.1.4, et qu'il existe deux routes avec des destinations différentes : 10.240.1.0/24 et 10.240.0.0/16. Étant donné que la destination la plus spécifique pour 10.240.1.4 est 10.240.1.0/24, la route dont la destination est 10.240.1.0/24 va définir le saut suivant pour le paquet.
  3. Si plusieurs routes comportent la même destination la plus spécifique, GCP va déterminer l'ordre de priorités de routage comme suit :

    • Si une seule route ayant le niveau de priorité le plus élevé est disponible, le paquet est envoyé à son saut suivant.

    • Si plusieurs routes comportent la même priorité élevée et qu'elles sont toutes disponibles, le trafic est réparti entre plusieurs sauts suivants en utilisant un hachage à cinq tuples pour initier l'affinité de session, et en appliquant une stratégie de routage ECMP. Le hachage est calculé à partir du protocole, des adresses IP sources et de destination, et des ports sources et de destination du paquet envoyé. Il est recalculé si le nombre de routes disponibles change.

  4. Si aucune destination applicable n'est trouvée, GCP supprime le paquet et envoie un message d'erreur ICMP pour indiquer que la destination ou le réseau est inaccessible.

Paramètres des routes statiques

Chaque route statique comprend les composants suivants :

  • Nom et Description : ces champs identifient la route. Le nom est requis, mais la description est facultative. Chaque route de votre projet doit avoir un nom unique.

  • Réseau : chaque route doit être associée à un seul réseau VPC.

  • Plage de destination : la plage de destination est un bloc CIDR IPv4 unique contenant les adresses IP des systèmes qui reçoivent des paquets entrants. GCP n'est pas compatible avec les plages de destination IPv6. Les destinations doivent être exprimées en utilisant la notation CIDR, et la destination la plus large possible est 0.0.0.0/0.

  • Priorité : elle est utilisée pour déterminer quelle route utiliser si plusieurs routes comportent des destinations identiques. Plus les valeurs sont faibles, plus la priorité est élevée. Par exemple, une route dont la valeur est 100 est prioritaire par rapport à celle dont la valeur est 200.

  • Saut suivant : les routes statiques peuvent comporter des sauts suivants qui pointent vers la passerelle Internet par défaut, vers une instance GCP ou vers un tunnel Cloud VPN. Pour plus d'informations, consultez la section Sauts suivants des routes statiques.

  • Tags : vous pouvez spécifier une liste de tags réseau pour que les routes s'appliquent seulement aux instances qui comportent au moins un des tags répertoriés. Si vous ne spécifiez pas de tags, GCP applique la route à toutes les instances du réseau.

Sauts suivants des routes statiques

Vous trouverez ci-dessous la liste des sauts suivants valides pour les routes statiques. Consultez la documentation de référence de gcloud pour plus d'informations sur chaque type de saut suivant.

  • Passerelle de saut suivant (next-hop-gateway) : vous pouvez spécifier une passerelle Internet par défaut pour définir un chemin d'accès vers des adresses IP publiques.

  • Instance de saut suivant (next-hop-instance) : vous pouvez diriger le trafic vers une instance existante dans GCP en spécifiant le nom et la zone de l'instance. Le trafic est acheminé vers l'adresse IP interne principale du réseau.

    • Si l'adresse IP interne de l'interface du réseau principale de l'instance change, GCP met automatiquement à jour les tables de routage afin que le trafic continue à être envoyé vers la nouvelle adresse IP de cette instance.

    • Si l'instance est remplacée par une nouvelle instance portant le même nom et située dans la même zone, GCP mettra automatiquement à jour les tables de routage afin que le trafic soit envoyé vers l'instance de remplacement. Peu importe si l'instance a été remplacée automatiquement ou manuellement.

  • Adresse IP de saut suivant (next-hop-address) : vous pouvez référencer une instance existante dans GCP en utilisant l'adresse IP interne de son interface réseau principale.

    • Si l'instance est remplacée par une nouvelle instance, celle-ci doit utiliser la même adresse IP interne. GCP dirige le trafic vers l'instance qui dispose au moment présent de l'adresse IP interne spécifiée pour le saut suivant.

    • L'adresse IP du saut suivant doit être une instance existante dans votre réseau VPC. Les adresses IP publiques et les adresses IP privées dans les réseaux connectés à votre réseau VPC ne constituent pas des sauts suivants valides.

  • Tunnel VPN de saut suivant (next-hop-vpn-tunnel) : dans le cas de tunnels Cloud VPN utilisant le routage basé sur des règles et les VPN basés sur le routage, vous pouvez diriger le trafic vers le tunnel VPN en créant des routes dont les sauts suivants se réfèrent au tunnel par son nom et sa région.

Instances utilisées comme sauts suivants

Lors de la création de routes statiques dont le saut suivant est une instance, que ceci soit dû à l'utilisation de l'instance de saut suivant ou de l'IP du saut suivant, l'instance qui sert de saut suivant doit être configurée de manière à recevoir le trafic entrant provenant d'autres instances :

  • Les instances utilisées comme sauts suivants doivent être configurées pour autoriser le transfert IP. Vous pouvez activer le transfert IP par VM seulement au moment où vous créez la VM. Si vous souhaitez activer le transfert IP pour des VM créées automatiquement dans un groupe d'instances géré, vous devez activer le transfert IP au niveau du modèle d'instance utilisé par le groupe d'instances.

  • Les instances utilisées comme sauts suivants doivent comporter des règles de pare-feu correctement configurées. Les règles de pare-feu ne sont pas ajustées de manière automatique lorsque vous configurez une route et que vous définissez une instance comme saut suivant. La règle implicite d'entrée interdite bloque le trafic entrant, sauf si des règles de pare-feu ont été créées pour autoriser l'accès. Consultez la section Présentation des règles de pare-feu pour plus d'informations.

  • Les règles de pare-feu s'appliquent aux sources et aux destinations du paquet, pas à l'instance de saut suivant. Une instance de saut suivant doit être configurée de manière à éviter les modifications des sources et des destinations des paquets. Par exemple, si la source d'une règle d'entrée de pare-feu inclut la plage d'adresses IP 10.240.0.3/32, les paquets comportant cette source et acheminés via une instance NAT correctement configurée devraient recevoir une autorisation d'accès, même si l'adresse IP de l'instance NAT ne correspond pas à 10.240.0.3.

  • Lorsque vous utilisez une instance comme saut suivant, n'oubliez pas que l'instance est une ressource zonale. La sélection d'une zone implique que vous ayez sélectionné une région. GCP ne tient pas compte de la distance régionale pour les routes, il est donc possible de créer une route qui envoie du trafic vers une instance de saut suivant dans une autre région. Dans ce cas, les coûts de sortie seront plus élevés et une latence risque de se produire au niveau du réseau.

  • GCP considère comme valide une route dont le saut suivant est une instance tant que l'instance est en cours d'exécution. Si un logiciel de l'instance, tel que son système d'exploitation ou le processus responsable du routage, de l'arrêt ou du blocage des paquets, échoue ou plante, les paquets sont supprimés. Pensez à utiliser des groupes d'instances gérées et l'autoréparation pour ordonner à GCP de recréer des instances de saut suivant lorsqu'elles échouent aux vérifications de l'état configurable.

  • La désactivation d'une interface réseau en configurant le système d'exploitation invité de l'instance n'ordonne pas à GCP de cesser de considérer cette instance comme le prochain saut d'une route.

Étapes suivantes

  • Consultez la section Utiliser des routes pour en savoir plus sur la création et l'utilisation des routes.
  • Consultez la section Présentation du VPC pour en savoir plus sur les réseaux VPC de GCP.
  • Consultez la page Utiliser VPC pour savoir comment créer et modifier des réseaux VPC.
Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…