Visão geral de rotas

As rotas do Google Cloud Platform (GCP) definem os caminhos percorridos pelo tráfego de rede de uma instância de VM para outros destinos Esses destinos podem estar na sua rede VPC (por exemplo, em outra VM) ou fora dela.

Cada rota consiste em um destino e um próximo salto. O tráfego com IP de destino dentro do intervalo de destino é enviado para o próximo salto para entrega. Veja nesta página uma visão geral de como as rotas funcionam no GCP.

Roteamento no GCP

Toda rede VPC usa um mecanismo de roteamento virtual distribuído e escalonável. Embora algumas rotas possam ser aplicadas seletivamente, a tabela de roteamento de uma rede VPC é definida no nível da rede VPC.

Cada instância de VM tem um controlador que conhece todas as rotas aplicáveis da tabela de roteamento da rede. Cada pacote que deixa uma VM é entregue no próximo salto apropriado de uma rota aplicável com base em uma ordem de roteamento. Quando você adiciona ou exclui uma rota, o conjunto de alterações é propagado para os controladores de VM usando um design de consistência eventual.

Tipos de rota

O GCP tem quatro tipos diferentes de rotas em duas categorias. Rotas geradas pelo sistema são criadas automaticamente quando você cria uma rede, adiciona uma sub-rede ou modifica o intervalo de IP secundário de uma sub-rede. Rotas personalizadas são aquelas que você cria e mantém, diretamente ou pelo uso de um Cloud Router. A tabela a seguir resume os diferentes tipos de rotas:

Tipo Categoria Destino Próximo salto Removível Aplicável a
Rota padrão Gerada pelo sistema 0.0.0.0/0 default-internet-gateway Sim Todas as instâncias na rede
Rota de sub-rede Gerada pelo sistema Intervalos de IP primário e secundário da sub-rede
Rede VPC, que encaminha pacotes para VMs nas sub-redes delas Somente quando a sub-rede é excluída ou quando você altera os intervalos de IP secundários da sub-rede Todas as instâncias na rede
Rota estática Personalizada • Intervalo de IP que não se sobrepõe parcial ou exatamente a nenhum intervalo de IP de sub-rede
• Intervalo de IP mais amplo que um intervalo de IP de sub-rede
Uma das seguintes opções:
• Uma instância por nome
• Uma instância pelo endereço IP
• Um túnel do Cloud VPN
Sim Todas as instâncias na rede, a menos que sejam restritas a instâncias específicas por tag de rede
Rota dinâmica Personalizada • Intervalo de IP que não se sobrepõe parcial ou exatamente a nenhum intervalo de IP de sub-rede
• Intervalo de IP mais amplo que um intervalo de IP de sub-rede
Endereço IP do par de BGP do Cloud Router Somente por um Cloud Router, se ele não receber mais a rota do par de BGP • Instâncias na mesma região que o Cloud Router, se a rede VPC estiver no modo de roteamento dinâmico regional
Todas as instâncias se a rede VPC estiver no modo de roteamento dinâmico global

Rota padrão

Quando você cria uma rede VPC, o GCP cria uma rota padrão gerada pelo sistema. Essa rota tem dois propósitos:

  • Ela define o caminho para fora da rede VPC, inclusive o caminho para a Internet. Além dessa rota, as instâncias precisarão atender aos requisitos adicionais se necessitarem de acesso à Internet.

  • Ela fornece o caminho padrão para o acesso privado do Google.

A rota padrão gerada pelo sistema tem uma prioridade de 1000. Como o destino dela é o mais amplo possível (0.0.0.0/0), o GCP a usará somente se uma rota com um destino mais específico não se aplicar a um pacote. Consulte a ordem de roteamento para ver detalhes sobre como a especificidade do destino e a prioridade da rota são usados para selecionar uma rota.

Exclua a rota padrão se quiser isolar completamente sua rede da Internet ou se precisar substituí-la por uma rota personalizada:

  • Substitua a rota padrão por uma rota dinâmica ou estática personalizada se quiser rotear o "tráfego da Internet" para um próximo salto diferente. Por exemplo, é possível substituí-la por uma rota estática personalizada que tenha como próximo salto um túnel do Cloud VPN ou outra instância, como um servidor proxy.

  • Se você remover a rota padrão e não a substituir, os pacotes destinados a intervalos de IP não cobertos por outras rotas serão descartados.

Rotas de sub-rede

Rotas de sub-rede são rotas geradas pelo sistema que definem caminhos para cada sub-rede na rede VPC.

Cada sub-rede tem pelo menos uma rota de sub-rede com um destino que corresponde ao intervalo de IP primário da sub-rede. Se a sub-rede tiver intervalos de IP secundários, o GCP cria uma rota de sub-rede com um destino correspondente para cada intervalo secundário. Consulte redes e sub-redes para ver detalhes sobre os intervalos de IP da sub-rede.

Nenhuma outra rota pode ter um destino que corresponda ou seja mais específico que o destino de uma rota de sub-rede. Você pode criar uma rota personalizada com um intervalo de destino mais amplo que contenha o intervalo de destino da rota de sub-rede. Em casos de sobreposição de intervalo de IP: como o GCP usa a especificidade de destino como primeiro critério da ordem de roteamento, a rota de sub-rede sempre será o próximo salto preferencial para pacotes com destinos que se encaixam nesse intervalo de destino. Isso é verdade mesmo que outra rota com um destino que contenha o destino da rota de sub-rede tenha uma prioridade maior.

Veja nos pontos a seguir como as rotas de sub-rede são criadas e removidas:

  • Quando uma sub-rede é criada, uma rota de sub-rede correspondente ao intervalo de IP principal da sub-rede também é criada.

    • Se você adicionar um intervalo de IP secundário a uma sub-rede, será criada uma rota de sub-rede correspondente a esse intervalo secundário.
  • As redes VPC de modo automático criam uma rota de sub-rede para os intervalos de IP principais de cada uma das sub-redes criadas automaticamente. Só é possível excluir essas sub-redes convertendo a rede de modo automático para o personalizado. Consulte os tipos de rede VPC para ver mais detalhes.

  • Não é possível excluir uma rota de sub-rede, a menos que você modifique ou remova a sub-rede:

    • Quando você remove um intervalo secundário de uma sub-rede, a rota de sub-rede desse intervalo secundário é excluída automaticamente.

    • Quando você exclui uma sub-rede, todas as rotas de sub-rede para os intervalos principais e secundários são excluídas automaticamente. Não é possível excluir a rota de sub-rede para o intervalo principal da sub-rede de nenhuma outra maneira.

  • Quando as redes são conectadas usando o Peering de rede VPC, as rotas de sub-rede de uma rede são importadas para a outra rede e vice-versa. Por isso, todos os intervalos de IP principais e secundários da sub-rede precisam ser exclusivos.

    • As rotas de sub-redes para sub-redes em redes com peering não podem ser removidas, a menos que você quebre o relacionamento de peering. Ao fazer isso, todas as rotas de sub-rede importadas da outra rede serão automaticamente removidas.

As regras de firewall podem bloquear a comunicação entre instâncias. Para ver detalhes sobre a comunicação entre instâncias, consulte Comunicação dentro da rede.

Rotas personalizadas

As rotas personalizadas são rotas estáticas criadas manualmente ou rotas dinâmicas mantidas automaticamente por um ou mais dos seus Cloud Routers.

Os destinos para rotas personalizadas não podem corresponder ou ser mais específicos que qualquer rota de sub-rede na rede.

Se você estiver usando uma rede VPC de modo automático, não use destinos que estejam no bloco CIDR 10.128.0.0/9, porque esse bloco define o espaço de endereço atual e futuro para rotas de sub-rede. Consulte os intervalos de IP do modo automático para mais informações. Rotas estáticas com destinos dentro de 10.128.0.0/9 podem ser desativadas a qualquer momento em uma rede VPC de modo automático. Isso pode acontecer se uma nova região do GCP estiver disponível e uma nova sub-rede for criada automaticamente (junto com uma rota de sub-rede). Analise cuidadosamente as considerações sobre as redes de modo automático para mais informações.

Rotas estáticas

Rotas estáticas podem usar qualquer um dos próximos saltos da rota estática. Você cria rotas estáticas de duas maneiras:

  • É possível criá-las manualmente.

  • Se você usar o Console do GCP para criar um túnel do Cloud VPN com roteamento baseado em políticas ou um que seja uma VPN baseada em rota, rotas estáticas para os seletores de tráfego remoto serão criadas para você. Consulte a documentação do Cloud VPN sobre redes e roteamento de túnel para ver mais detalhes.

Consulte os parâmetros de rota estática para saber mais informações.

Rotas dinâmicas

Rotas dinâmicas são gerenciadas por um ou mais Cloud Routers. Os destinos delas sempre representam os intervalos de IP fora da sua rede VPC, e os próximos saltos delas são sempre endereços de pares de BGP. Um Cloud Router pode gerenciar rotas dinâmicas para:

Aplicabilidade e ordem

Rotas aplicáveis

As rotas se aplicam a instâncias de acordo com as seguintes regras:

  • Rotas geradas pelo sistema se aplicam a todas as instâncias em uma rede VPC. O escopo das instâncias a que as rotas de sub-rede se aplicam não pode ser alterado. No entanto, é possível substituir a rota padrão.

  • Rotas estáticas personalizadas podem se aplicar a todas as instâncias ou a instâncias específicas, dependendo do atributo de tag da rota. Rotas estáticas com um atributo de tag são aplicáveis a instâncias que têm uma tag de rede correspondente. Se nenhum atributo de tag for especificado, a rota estática se aplicará a todas as instâncias na rede.

  • Rotas dinâmicas se aplicam a instâncias baseadas no modo de roteamento dinâmico da rede VPC. Se a rede VPC estiver no modo de roteamento dinâmico regional, todos os Cloud Routers aplicarão rotas que aprenderem nas respectivas regiões. Se a rede estiver no modo de roteamento dinâmico global, todos os Cloud Routers aplicarão as rotas que aprenderem em toda a rede.

Ordem de roteamento

O GCP usa o procedimento a seguir para selecionar o próximo salto para um pacote no conjunto de rotas aplicáveis:

  1. As rotas de sub-rede são consideradas primeiro, porque o GCP exige que as rotas de sub-rede tenham os destinos mais específicos correspondentes aos intervalos de endereços IP das respectivas sub-redes. Se o destino de um pacote se encaixar no destino de uma rota de sub-rede, ele será entregue à sub-rede do GCP. Não é possível substituir uma rota de sub-rede por nenhum outro tipo de rota.

    • O GCP não permite que uma rota estática tenha um destino igual ou mais específico que uma rota de sub-rede.

    • Para rotas dinâmicas, todo Cloud Router ignora as rotas recebidas com destinos iguais ou mais específicos do que qualquer rota de sub-rede.

  2. Se o pacote não se encaixar no destino de uma rota de sub-rede, o GCP procurará outra rota com o destino mais específico.

    • Suponha que o destino de um pacote que sai de uma VM seja 10.240.1.4 e haja duas rotas com destinos diferentes: 10.240.1.0/24 e 10.240.0.0/16. Como o destino mais específico para 10.240.1.4 é 10.240.1.0/24, a rota com destino 10.240.1.0/24 define o próximo salto para o pacote.
  3. Se mais de uma rota tiver o mesmo destino mais específico, o GCP levará em conta a prioridade da rota:

    • Quando uma única rota com a prioridade mais alta estiver disponível, o pacote será enviado para o próximo salto dela.

    • Quando mais de uma rota tiver a mesma prioridade mais alta possível e estiver disponível, o tráfego será distribuído entre vários próximos saltos usando um hash de fluxo quíntuplo para afinidade, implementando um design de roteamento de ECMP. O hash é calculado a partir do protocolo, dos endereços IP de origem e destino e das portas de origem e destino do pacote que está sendo enviado e será recalculado se o número de rotas disponíveis for alterado.

  4. Se nenhum destino aplicável for encontrado, o GCP descartará o pacote, respondendo com um erro de destino ICMP ou de rede inacessível.

Parâmetros da rota estática

Cada rota estática consiste nos seguintes componentes:

  • Nome e Descrição: esses campos identificam a rota. O nome é obrigatório, mas a descrição é opcional. Cada rota no seu projeto precisa ter um nome exclusivo.

  • Rede: cada rota precisa estar associada a exatamente uma rede VPC.

  • Intervalo de destino: o intervalo de destino é um único bloco CIDR IPv4 que contém os endereços IP dos sistemas que recebem pacotes de entrada. O GCP não é compatível com intervalos de destino IPv6. Os destinos precisam ser expressos na notação CIDR, e o maior destino possível é 0.0.0.0/0.

  • Prioridade: será utilizada para determinar qual rota precisa ser usada se várias rotas tiverem destinos idênticos. Números menores indicam prioridades maiores. Por exemplo, uma rota de valor 100 tem prioridade mais alta que uma de 200.

  • Próximo salto: as rotas estáticas podem ter próximos saltos que apontam para o gateway padrão da Internet, uma instância do GCP ou um túnel do Cloud VPN. Consulte próximos saltos da rota estática para ver mais informações.

  • Tags: é possível especificar uma lista de tags de rede para que a rota seja aplicada somente a instâncias que tenham pelo menos uma das tags mencionadas. Se você não especificar tags, o GCP aplicará a rota a todas as instâncias da rede.

Próximos saltos da rota estática

Veja a seguir os próximos saltos válidos para rotas estáticas. Consulte a documentação de referência do gcloud para mais detalhes sobre cada tipo.

  • Gateway do próximo salto (next-hop-gateway): é possível especificar um gateway de Internet padrão para definir um caminho para endereços IP públicos.

  • Instância do próximo salto (next-hop-instance): é possível direcionar o tráfego para uma instância atual no GCP especificando o nome e a zona da instância. O tráfego é direcionado para o endereço IP interno principal na rede.

    • Se o endereço IP interno da interface de rede principal da instância for alterado, o GCP atualizará as tabelas de roteamento automaticamente para que o tráfego continue a ser enviado para essa instância no novo endereço IP.

    • Se a instância for substituída por uma nova com o mesmo nome na mesma zona, o GCP atualizará as tabelas de roteamento automaticamente para que o tráfego seja direcionado para a instância substituta. Não importa se a instância foi substituída de forma automática ou manual.

  • IP do próximo salto (next-hop-address): é possível fazer referência a uma instância atual no GCP usando o endereço IP interno da interface de rede principal dela.

    • Se a instância for substituída por uma nova, a substituição precisa usar o mesmo endereço IP interno. O GCP direcionará o tráfego para qualquer instância que tenha o endereço IP interno especificado para o próximo salto.

    • O endereço IP do próximo salto precisa ser uma instância atual na sua rede VPC. Endereços IP públicos e privados em redes conectadas à sua rede VPC não são próximos saltos válidos.

  • Túnel VPN do próximo salto (next-hop-vpn-tunnel): para túneis do Cloud VPN que usam roteamento com base em políticas e VPNs com base em rotas, é possível direcionar o tráfego para o túnel VPN ao criar rotas com próximos saltos que se referem ao túnel pelo nome e região dele.

Instâncias como próximos saltos

Ao criar rotas estáticas que tenham como próximo salto uma instância, seja pelo uso da instância do próximo salto ou do IP do próximo salto, a instância que atua como o próximo salto precisa ser configurada para receber tráfego de entrada de outras instâncias:

  • As instâncias que agem como próximos saltos precisam ser configuradas para permitir o encaminhamento de IP. é possível ativar o encaminhamento de IP por VM na criação da VM. Se você precisar ativar o encaminhamento de IP para VMs criadas automaticamente como parte de um grupo de instâncias gerenciadas, será preciso ativar o encaminhamento de IP no modelo de instância usado pelo grupo de instâncias.

  • As instâncias que agem como próximos saltos precisam ter regras de firewall configuradas adequadamente. Configurar uma rota e especificar uma instância como um próximo salto não ajusta as regras de firewall automaticamente. A regra "negar entrada" implícita bloqueia o tráfego de entrada, a menos que você tenha regras de firewall criadas para permiti-lo. Consulte a visão geral das regras de firewall para ver mais detalhes.

  • As regras de firewall se aplicam às origens e aos destinos do pacote, não à instância do próximo salto. Uma instância do próximo salto precisa ser configurada para que as origens e os destinos de pacotes permaneçam inalterados. Por exemplo, se a origem de uma regra de firewall de entrada incluir o intervalo de IP 10.240.0.3/32, os pacotes com essa origem roteados por meio de uma instância NAT configurada corretamente serão permitidos pela regra de firewall, mesmo que o endereço IP da instância NAT não seja 10.240.0.3.

  • Ao usar uma instância como próximo salto, lembre-se de que a instância é um recurso por zona. Selecionar uma zona significa que uma região foi selecionada. Como o GCP não leva em conta a distância regional para as rotas, é possível criar uma rota que envie tráfego para uma instância de próximo salto em uma região diferente. Isso adicionará custos de saída e aumentará a latência da rede.

  • O GCP considera que uma rota que tenha uma instância como próximo salto é válida enquanto a instância estiver em execução. Se o software dentro da instância travar, como o sistema operacional ou o processo responsável por rotear pacotes, os pacotes serão descartados. Use grupos de instâncias gerenciadas e a recuperação automática para instruir o GCP a recriar as instâncias do próximo salto quando elas falharem nas verificações de integridade configuráveis.

  • Desativar uma interface de rede configurando o sistema operacional de convidado da instância não instrui o GCP a deixar de considerá-la como o próximo salto da rota.

A seguir

Esta página foi útil? Conte sua opinião sobre: