Menggunakan rute berbasis kebijakan

Rute berbasis kebijakan memungkinkan Anda memilih next hop berdasarkan lebih dari satu alamat IP tujuan paket. Halaman ini menjelaskan cara membuat, mencantumkan, menjelaskan, dan menghapus rute berbasis kebijakan.

Sebelum memulai

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna menggunakan rute berbasis kebijakan, minta administrator untuk memberi Anda peran IAM Compute Network Admin (roles/compute.networkAdmin) di project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

Membuat rute berbasis kebijakan

Saat membuat rute berbasis kebijakan, tentukan hal berikut:

  • Cakupan rute: resource yang menjadi tujuan penerapan rute.
  • Kriteria klasifikasi: rentang alamat IP sumber, rentang alamat IP tujuan, dan protokol yang menentukan paket mana yang menjadi tujuan penerapan rute. Rute berbasis kebijakan berlaku untuk paket yang cocok dengan semua kriteria klasifikasi yang ditentukan.
  • Next hop: next hop Load Balancer Jaringan passthrough internal atau next hop yang melewati rute berbasis kebijakan lainnya.

Konsol

  1. Di Konsol Google Cloud, buka Routes.

    Buka Routes

  2. Klik Route management.

  3. Klik Create route.

  4. Masukkan Nama untuk rute.

  5. Opsional: Masukkan Deskripsi..

  6. Klik Network, lalu pilih jaringan tempat Anda ingin menambahkan rute berbasis kebijakan.

  7. Klik Route type, lalu pilih Policy-based route.

  8. Di bagian Route scope, lakukan salah satu hal berikut:

    • Agar rute berlaku untuk semua instance virtual machine (VM), lampiran VLAN untuk Cloud Interconnect, dan tunnel Cloud VPN di jaringan Virtual Private Cloud, pilih Rute ini berlaku untuk semua VM instance, lampiran VLAN, dan tunnel VPN.

      Google menyarankan agar berhati-hati saat membuat rute jenis ini. Rute ini diterapkan ke semua paket keluar yang cocok dengan kriteria klasifikasi, yang dapat mencakup traffic keluar dari backend Load Balancer Jaringan passthrough internal.

    • Agar rute hanya berlaku untuk instance VM tertentu, pilih This route only applies to VM instances, lalu masukkan tag jaringan VM yang menjadi tujuan penerapan rute ini. Anda dapat memasukkan beberapa tag jaringan dalam daftar yang dipisahkan koma.

    • Agar rute diterapkan ke semua lampiran VLAN untuk Cloud Interconnect di jaringan VPC rute, pilih This route only applies to VLAN attachments.

    • Agar rute diterapkan ke lampiran VLAN untuk Cloud Interconnect di region tertentu, pilih This route only applies to VLAN attachments, lalu pilih region lampiran VLAN. Anda tidak dapat membuat rute berbasis kebijakan yang berlaku untuk lampiran VLAN tertentu.

  9. Di bagian Classification criteria, lakukan hal berikut:

    1. Masukkan Source IP range.
    2. Masukkan Destination IP range.
    3. Klik Protocol, lalu pilih protokol tempat rute ini diterapkan.
  10. Masukkan Priority.

  11. Di bagian Next hop, klik Next hop, lalu lakukan langkah berikut:

    • Untuk menentukan next hop Load Balancer Jaringan passthrough internal, pilih Specify a forwarding rule of the internal passthrough Network Load Balancer, lalu lakukan langkah berikut:

      • Untuk memilih aturan penerusan dari daftar aturan penerusan yang ada:
        1. Pilih In use by the forwarding rule of an internal load balancer in the current project.
        2. Klik Forwarding rule IP address, lalu pilih alamat IP yang terkait dengan load balancer internal dalam project yang dipilih.
      • Untuk memasukkan alamat IP:

        1. Pilih Unused.
        2. Di kolom Forwarding rule IP address, masukkan alamat IP, tanpa panjang awalan. Alamat IP harus berasal dari salah satu sumber berikut:

          • Rentang alamat IP jaringan VPC tempat Anda membuat rute berbasis kebijakan ini.
          • Rentang alamat IP jaringan VPC yang terhubung ke jaringan VPC rute melalui Peering Jaringan VPC (Pratinjau).

        Anda dapat menentukan alamat IP yang sudah terkait dengan aturan penerusan Load Balancer Jaringan passthrough internal, atau Anda dapat menentukan alamat IP yang tidak terpakai dan membuat aturan penerusan setelah membuat rute berbasis kebijakan ini.

    • Untuk membuat rute berbasis kebijakan yang mengabaikan rute berbasis kebijakan lainnya, pilih Skip other policy-based routes.

  12. Klik Create.

gcloud

Gunakan perintah policy-based-routes create.

  • Untuk menerapkan rute ke semua instance VM, lampiran VLAN untuk Cloud Interconnect, dan tunnel Cloud VPN di jaringan Virtual Private Cloud, gunakan perintah berikut.

    Google menyarankan agar berhati-hati saat membuat rute jenis ini. Rute ini diterapkan ke semua paket keluar yang cocok dengan kriteria klasifikasi, yang dapat mencakup traffic keluar dari backend Load Balancer Jaringan passthrough internal.

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
        --source-range=SOURCE_RANGE \
        --destination-range=DESTINATION_RANGE \
        --ip-protocol=PROTOCOL \
        --protocol-version=IP_VERSION \
        --network="projects/PROJECT_ID/global/networks/NETWORK" \
        --next-hop-ilb-ip=NEXT_HOP \
        --description=DESCRIPTION \
        --priority=PRIORITY
    

    Ganti kode berikut:

    • ROUTE_NAME: nama rute berbasis kebijakan.
    • SOURCE_RANGE: rentang CIDR IP sumber.
    • DESTINATION_RANGE: rentang CIDR IP tujuan.
    • PROTOCOL: protokol traffic yang akan diteruskan. Opsinya adalah ALL, TCP, atau UDP. Defaultnya adalah ALL.
    • IP_VERSION: satu versi Internet Protocol yang berlaku untuk rute ini. Tentukan IPv4 atau IPv6 (Pratinjau). Defaultnya adalah IPv4. Untuk menentukan IPv6, gunakan versi beta Google Cloud CLI.
    • PROJECT_ID: ID project.
    • NETWORK: nama jaringan tempat rute berbasis kebijakan diterapkan.
    • NEXT_HOP: satu alamat IP, tanpa panjang awalan, untuk Load Balancer Jaringan passthrough internal next hop rute. Tentukan alamat IPv4 sebagai next hop untuk traffic IPv4, atau tentukan alamat IPv6 untuk traffic IPv6 (Pratinjau). Load balancer harus berada di jaringan VPC yang sama dengan rute berbasis kebijakan atau di jaringan VPC yang terhubung ke jaringan VPC rute melalui Peering Jaringan VPC (Pratinjau).

      Jika rute berlaku untuk traffic IPv6 (Pratinjau), Anda harus menyiapkan load balancer dengan subnet dual-stack.

      Untuk menentukan alamat IPv6 atau alamat IP dari jaringan VPC peer, gunakan versi beta Google Cloud CLI.

    • DESCRIPTION: deskripsi opsional rute.

    • PRIORITY: prioritas rute berbasis kebijakan dibandingkan dengan rute berbasis kebijakan lainnya.

  • Untuk menerapkan rute hanya ke instance VM tertentu, gunakan perintah berikut:

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
        --source-range=SOURCE_RANGE \
        --destination-range=DESTINATION_RANGE \
        --ip-protocol=PROTOCOL \
        --protocol-version=IP_VERSION \
        --network="projects/PROJECT_ID/global/networks/NETWORK" \
        --next-hop-ilb-ip=NEXT_HOP \
        --description=DESCRIPTION \
        --priority=PRIORITY \
        --tags=NETWORK_TAGS
    

    Ganti NETWORK_TAGS dengan satu atau beberapa tag jaringan VM tempat rute akan diterapkan. Anda dapat menyertakan beberapa tag jaringan dalam daftar yang dipisahkan koma.

  • Untuk menerapkan rute hanya ke lampiran VLAN untuk Cloud Interconnect, gunakan perintah berikut. Anda dapat menerapkan rute ke lampiran VLAN untuk Cloud Interconnect di region tertentu atau ke semua lampiran VLAN untuk Cloud Interconnect di jaringan VPC.

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
        --source-range=SOURCE_RANGE \
        --destination-range=DESTINATION_RANGE \
        --ip-protocol=PROTOCOL \
        --protocol-version=IP_VERSION \
        --network="projects/PROJECT_ID/global/networks/NETWORK" \
        --next-hop-ilb-ip=NEXT_HOP \
        --description=DESCRIPTION \
        --priority=PRIORITY \
        --interconnect-attachment-region=INTERCONNECT_REGION
    

    Ganti INTERCONNECT_REGION dengan region lampiran VLAN tempat Cloud Interconnect akan menerapkan rute ini. Untuk menerapkan rute berbasis kebijakan ke semua lampiran VLAN untuk Cloud Interconnect di jaringan VPC rute, gunakan all.

  • Guna menentukan net hop yang melewati rute berbasis kebijakan lainnya untuk VM tertentu yang diidentifikasi oleh tag jaringan, gunakan perintah berikut:

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
        --source-range=SOURCE_RANGE \
        --destination-range=DESTINATION_RANGE \
        --ip-protocol=PROTOCOL \
        --protocol-version=IP_VERSION \
        --network="projects/PROJECT_ID/global/networks/NETWORK" \
        --next-hop-other-routes=DEFAULT_ROUTING \
        --description=DESCRIPTION \
        --priority=PRIORITY \
        --tags=NETWORK_TAGS
    

API

Kirim permintaan POST ke metode policyBasedRoutes.create:

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes?policyBasedRouteId=ROUTE_NAME
  • Guna menerapkan rute ke semua instance VM, lampiran VLAN untuk Cloud Interconnect, dan tunnel Cloud VPN di jaringan Virtual Private Cloud, sertakan isi permintaan berikut.

    Google menyarankan agar berhati-hati saat membuat rute jenis ini. Rute ini diterapkan ke semua paket keluar yang cocok dengan kriteria klasifikasi, yang dapat mencakup traffic keluar dari backend Load Balancer Jaringan passthrough internal.

    {
      "filter": {
        "srcRange": "SOURCE_RANGE",
        "destRange": "DESTINATION_RANGE",
        "ipProtocol": "PROTOCOL",
        "protocolVersion": "IP_VERSION"
      },
      "network": "projects/PROJECT_ID/global/networks/NETWORK",
      "nextHopIlbIp": "NEXT_HOP",
      "description": "DESCRIPTION",
      "priority": "PRIORITY"
    }
    

    Ganti kode berikut:

    • PROJECT_ID: ID project.
    • ROUTE_NAME: nama rute berbasis kebijakan.
    • SOURCE_RANGE: rentang CIDR IP sumber.
    • DESTINATION_RANGE: rentang CIDR IP tujuan.
    • PROTOCOL: protokol traffic yang akan diteruskan. Opsinya adalah ALL, TCP, atau UDP. Defaultnya adalah ALL.
    • IP_VERSION: satu versi Internet Protocol yang berlaku untuk rute. Tentukan IPv4 atau IPv6 (Pratinjau). Defaultnya adalah IPv4. Untuk menentukan alamat IPv6, gunakan API v1beta.
    • NETWORK: nama jaringan tempat rute berbasis kebijakan diterapkan. Rute ini berlaku untuk traffic keluar dari instance di jaringan ini yang memenuhi kriteria klasifikasi lainnya.
    • NEXT_HOP: satu alamat IP, tanpa panjang awalan, untuk Load Balancer Jaringan passthrough internal next hop rute. Tentukan alamat IPv4 sebagai next hop untuk traffic IPv4, atau tentukan alamat IPv6 untuk traffic IPv6 (Pratinjau). Load balancer harus berada di jaringan VPC yang sama dengan rute berbasis kebijakan atau di jaringan VPC yang terhubung ke jaringan VPC rute melalui Peering Jaringan VPC (Pratinjau).

      Jika rute berlaku untuk traffic IPv6 (Pratinjau), Anda harus menyiapkan load balancer dengan subnet dual-stack.

      Untuk menentukan alamat IPv6 atau alamat IP dari jaringan VPC peer, gunakan API v1beta.

    • DESCRIPTION: deskripsi opsional rute.

    • PRIORITY: prioritas rute berbasis kebijakan dibandingkan dengan rute berbasis kebijakan lainnya.

  • Untuk menerapkan rute hanya ke instance VM tertentu, sertakan isi permintaan berikut:

    {
      "filter": {
        "srcRange": "SOURCE_RANGE",
        "destRange": "DESTINATION_RANGE",
        "ipProtocol": "PROTOCOL",
        "protocolVersion": "IP_VERSION"
      },
      "network": "projects/PROJECT_ID/global/networks/NETWORK",
      "nextHopIlbIp": "NEXT_HOP",
      "description": "DESCRIPTION",
      "priority": "PRIORITY",
      "virtualMachine": {
        "tags": [
          "NETWORK_TAGS"
        ]
      }
    }
    

    Ganti NETWORK_TAGS dengan satu atau beberapa tag jaringan. Rute berbasis kebijakan berlaku untuk traffic keluar dari instance yang memiliki setidaknya salah satu tag ini. Anda dapat menyertakan beberapa tag dalam formulir berikut: "tag1","tag2","tag3".

  • Untuk menerapkan rute hanya ke lampiran VLAN untuk Cloud Interconnect, sertakan isi permintaan berikut. Anda tidak dapat membuat rute berbasis kebijakan yang berlaku untuk lampiran VLAN tertentu.

    {
      "filter": {
        "srcRange": "SOURCE_RANGE",
        "destRange": "DESTINATION_RANGE",
        "ipProtocol": "PROTOCOL",
        "protocolVersion": "IP_VERSION"
      },
      "interconnectAttachment": {
        "region": "INTERCONNECT_REGION"
      },
      "network": "projects/PROJECT_ID/global/networks/NETWORK",
      "nextHopIlbIp": "NEXT_HOP",
      "description": "DESCRIPTION",
      "priority": "PRIORITY"
    }
    

    Ganti INTERCONNECT_REGION dengan region lampiran VLAN tempat Cloud Interconnect akan menerapkan rute ini. Guna menerapkan rute berbasis kebijakan ke semua lampiran VLAN untuk Cloud Interconnect di jaringan VPC rute, gunakan all.

  • Guna menentukan net hop yang melewati rute berbasis kebijakan lainnya untuk VM tertentu yang diidentifikasi oleh tag jaringan, gunakan perintah berikut:

    {
      "filter": {
        "srcRange": "SOURCE_RANGE",
        "destRange": "DESTINATION_RANGE",
        "ipProtocol": "PROTOCOL",
        "protocolVersion": "IP_VERSION"
      },
      "network": "projects/PROJECT_ID/global/networks/NETWORK",
      "nextHopOtherRoutes": "DEFAULT_ROUTING",
      "description": "DESCRIPTION",
      "priority": "PRIORITY",
      "virtualMachine": {
        "tags": [
          "NETWORK_TAGS"
        ]
      }
    }
    

Memverifikasi konektivitas untuk rute berbasis kebijakan

Uji Konektivitas adalah alat diagnostik yang memungkinkan Anda memeriksa konektivitas antar-endpoint di jaringan. Layanan ini menganalisis konfigurasi Anda dan dalam beberapa kasus melakukan verifikasi runtime. Uji Konektivitas mendukung rute berbasis kebijakan. Untuk menjalankan Uji Konektivitas dengan rute berbasis kebijakan, lihat Membuat dan menjalankan Uji Konektivitas.

Mencantumkan rute berbasis kebijakan

Anda dapat mencantumkan rute berbasis kebijakan untuk melihat semua rute berbasis kebijakan dalam sebuah project atau jaringan dan region.

Konsol

  1. Di Konsol Google Cloud, buka Routes.

    Buka Routes

    • Untuk melihat semua rute berbasis kebijakan dalam region dan jaringan VPC, lakukan hal berikut:

      1. Klik Effective routes.
      2. Klik Network, lalu pilih jaringan.
      3. Klik Region, lalu pilih region.
      4. Klik View.
    • Untuk melihat semua rute berbasis kebijakan dalam sebuah project, lakukan hal berikut:

      1. Klik Route management.

gcloud

Gunakan perintah policy-based-routes list.

gcloud network-connectivity policy-based-routes list

API

Kirim permintaan GET ke metode policyBasedRoutes.list.

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes

Ganti PROJECT_ID dengan ID project untuk mencantumkan rute berbasis kebijakan.

Menjelaskan rute berbasis kebijakan

Anda dapat mendeskripsikan rute berbasis kebijakan untuk melihat detail rute tersebut.

Konsol

  1. Di Konsol Google Cloud, buka Routes.

    Buka Routes

  2. Klik Effective routes.

  3. Klik Network, lalu pilih jaringan.

  4. Klik Region, lalu pilih region.

  5. Klik View.

  6. Klik Name rute berbasis kebijakan untuk melihat detailnya.

gcloud

Untuk mendeskripsikan rute berbasis kebijakan, gunakan perintah policy-based-routes describe.

gcloud network-connectivity policy-based-routes describe NAME

Ganti NAME dengan nama rute yang akan dideskripsikan.

API

Kirim permintaan GET ke metode policyBasedRoutes.get.

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes/ROUTE_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project.
  • ROUTE_NAME: nama rute berbasis kebijakan yang akan dijelaskan.

Menghapus rute berbasis kebijakan

Anda dapat menghapus rute berbasis kebijakan untuk menghapusnya dari jaringan VPC.

Konsol

  1. Di Konsol Google Cloud, buka Routes.

    Buka Routes

  2. Klik Effective routes.

  3. Klik Network, lalu pilih jaringan.

  4. Klik Region, lalu pilih region.

  5. Klik View.

  6. Klik Name rute berbasis kebijakan.

  7. Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.

gcloud

Untuk menghapus rute berbasis kebijakan, gunakan perintah policy-based-routes delete.

gcloud network-connectivity policy-based-routes delete NAME

Ganti NAME dengan nama rute yang akan dihapus.

API

Kirim permintaan DELETE ke metode policyBasedRoutes.delete.

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes/ROUTE_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project.
  • ROUTE_NAME: nama rute berbasis kebijakan yang akan dihapus.

Kompatibilitas

Konfigurasi khusus diperlukan untuk menggunakan rute berbasis kebijakan dengan cara berikut.

Menggunakan rute berbasis kebijakan dengan GKE

Jika Anda membuat rute berbasis kebijakan di jaringan VPC yang memiliki cluster Google Kubernetes Engine (GKE), perhatikan hal-hal berikut:

Rute berbasis kebijakan dan Private Service Connect untuk layanan yang dipublikasikan

Rute berbasis kebijakan tidak dapat digunakan untuk merutekan traffic dari VM ke endpoint Private Service Connect untuk layanan yang dipublikasikan atau backend Private Service Connect untuk layanan yang dipublikasikan. Saat menggunakan rute berbasis kebijakan dan Private Service Connect untuk layanan yang dipublikasikan:

  • Gunakan tag jaringan sehingga rute berbasis kebijakan berlaku untuk VM tertentu.
  • Hindari membuat rute berbasis kebijakan dengan rentang alamat IP sumber atau tujuan 0.0.0.0/0.
  • Jika Anda perlu membuat rute berbasis kebijakan dengan rentang tujuan yang menyertakan alamat IP endpoint atau backend Private Service Connect, buat rute berbasis kebijakan dengan prioritas lebih tinggi yang melewati rute berbasis kebijakan lainnya. Konfigurasikan tujuan rute berbasis kebijakan yang memiliki prioritas lebih tinggi dengan rentang alamat IP yang lebih spesifik dan menyertakan alamat IP endpoint atau backend Private Service Connect.

Rute berbasis kebijakan serta mengakses Google API dan layanan Google

Google Cloud tidak mendukung perutean traffic ke Google API dan layanan Google melalui instance VM lain atau next hop kustom, termasuk ke backend VM dari Load Balancer Jaringan passthrough internal next hop di rute berbasis kebijakan.

Jika Anda menggunakan salah satu cara berikut untuk mengakses Google API dan layanan Google, lihat praktik terbaik yang tercantum di bagian berikut:

Praktik terbaik

Kami merekomendasikan praktik terbaik berikut untuk cara sebelumnya dalam mengakses Google API dan layanan Google:

  • Gunakan tag jaringan sehingga rute berbasis kebijakan berlaku untuk VM tertentu.
  • Hindari membuat rute berbasis kebijakan dengan rentang sumber atau tujuan 0.0.0.0/0.
  • Jika Anda membuat rute berbasis kebijakan yang mencakup rentang tujuan yang digunakan oleh Google API dan layanan Google, endpoint Private Service Connect untuk Google API, atau backend Private Service Connect untuk API, buat rute berbasis kebijakan dengan prioritas yang lebih tinggi yang melewati rute berbasis kebijakan lainnya. Tetapkan tujuan rute berbasis kebijakan dengan prioritas lebih tinggi ini agar cocok dengan alamat IP untuk Google API dan layanan Google, endpoint Private Service Connect, atau backend Private Service Connect yang Anda gunakan. Rentang alamat IP yang digunakan oleh Google API dan layanan Google mencakup:
    • Alamat IP untuk domain default yang digunakan oleh Google API dan layanan Google
    • Alamat IP virtual (VIP) Akses Google Pribadi:
      • private.googleapis.com (199.36.153.8/30)
      • restricted.googleapis.com (199.36.153.4/30)