Verwaltete Traffic-Klassifizierung konfigurieren

Auf dieser Seite wird beschrieben, wie Sie die verwaltete Traffic-Klassifizierung konfigurieren können, um die Zuweisung von DSCP-Bits (Differentiated Services Code Point) in Ihren ausgehenden Paketen zu automatisieren.

Wenn Sie die verwaltete Traffic-Klassifizierung konfigurieren möchten, erstellen Sie eine Netzwerkrichtlinienressource, die als Container für Regeln zur Traffic-Klassifizierung dient. Diese Regeln geben an, wie Cloud Interconnect Ihre ausgehenden Pakete markieren soll. In den folgenden Abschnitten wird beschrieben, wie Netzwerkrichtlinien und Regeln zur Traffic-Klassifizierung zusammenarbeiten.

Netzwerkrichtlinien

Eine Netzwerkrichtlinie ist ein Container, der eine Sammlung von Regeln zur Traffic-Klassifizierung enthalten kann. Wenn Sie eine neue Netzwerkrichtlinie erstellen, geben Sie eine Region an, in der Sie die Richtlinie anwenden möchten. Nachdem Sie der Richtlinie Regeln hinzugefügt haben, verknüpfen Sie sie mit einem oder mehreren Ihrer VPC-Netzwerke. Cloud Interconnect wendet Ihre Regeln dann auf alle Instanzen virtueller Maschinen in jedem zugehörigen Netzwerk in der angegebenen Region an. Alternativ können Sie sichere Tags verwenden, um Regeln nur auf eine Teilmenge von Instanzen in jedem Netzwerk anzuwenden.

Sie können jedem VPC-Netzwerk pro Region nur eine Netzwerkrichtlinie zuordnen. Das bedeutet, dass Sie mehrere Netzwerkrichtlinien in verschiedenen Regionen mit einem VPC-Netzwerk verknüpfen können. Sie können auch mehrere Netzwerkrichtlinien in derselben Region haben, die mit verschiedenen VPC-Netzwerken verknüpft sind.

Regeln zur Traffic-Klassifizierung

Regeln zur Traffic-Klassifizierung haben drei Komponenten:

  • Priorität: Eine Zahl, die die Reihenfolge bestimmt, in der die Regeln in einer Netzwerkrichtlinie ausgewertet werden.
  • Abgleichsbedingung: Ein Wert, der bestimmt, auf welche Pakete eine Regel angewendet wird.
  • Regelaktion: Eine Aktion, die für Pakete ausgeführt wird, die der Abgleichsbedingung entsprechen. Regeln zur Traffic-Klassifizierung können nur die Aktion APPLY_TRAFFIC_CLASSIFICATION haben.

In den folgenden Abschnitten werden die einzelnen Regelkomponenten im Detail beschrieben.

Regelauswertungsreihenfolge

Die Reihenfolge, in der Ihre Regeln für ein Paket ausgewertet werden, wird anhand der Regelpriorität bestimmt, von der niedrigsten zur höchsten Zahl. Die Regel mit dem niedrigsten zugewiesenen numerischen Wert hat die höchste logische Priorität und wird vor Regeln mit niedrigeren logischen Prioritäten ausgewertet. Das bedeutet, dass eine Regel mit der minimalen numerischen Priorität 0 immer zuerst ausgewertet wird.

Jede Priorität kann nur einer Regel zugewiesen werden. Für die Priorität jeder Regel muss ein Wert im Bereich von 0 bis 2147483646 festgelegt werden. Der Prioritätswert 2147483647, auch als INT-MAX bezeichnet, ist für die Standardregel in der Netzwerkrichtlinie reserviert. Die Standardregel kann nicht gelöscht, sondern nur bearbeitet werden.

Prioritätsnummern müssen nicht aufeinanderfolgen. Durch diese Lücken können Sie auch später noch Regeln einfügen oder entfernen, ohne dass sich dies auf die übrigen Regeln auswirkt. Beispielsweise ist 1, 2, 3, 4, 5, 9, 12, 16 eine gültige Reihe von Prioritätsnummern, der Sie in Zukunft Regeln mit den Nummern 6 bis 8, 10 bis 11 und 13 bis 15 hinzufügen können. Wenn Sie eine Regel mit den Prioritätswerten 7, 10 und 14 hinzufügen, ändert sich die Ausführungsreihenfolge, obwohl Sie keine der ursprünglichen Regeln ändern.

Übereinstimmungsbedingungen

Die Abgleichsbedingung ist ein Ausdruck, der die Kriterien beschreibt, die ein Paket erfüllen muss, damit die Aktion der Regel angewendet wird. Je nachdem, nach welchem Attribut Sie suchen möchten, können Sie die folgenden Kategorien von Abgleichsbedingungen mit Regeln für die Traffic-Klassifizierung verwenden:

  • IP-Adressbereiche: Abgleich mit dem Quell- oder Ziel-IP-Adressbereich eines Pakets. Jede Regel kann maximal 5.000 CIDR-IP-Adressbereiche (Classless Inter-Domain Routing) enthalten, die entweder alle IPv4 oder alle IPv6 sein müssen. Wenn Sie sowohl IPv4- als auch IPv6-Adressbereiche abgleichen müssen, müssen Sie mehrere Regeln erstellen.

  • Ports und Protokolle: Abgleich mit dem Zielport oder den Zielports eines Pakets, der Internet Protocol-Nummer (IP) oder einem der folgenden Protokollstrings:

    • tcp
    • udp
    • icmp
    • esp
    • ah
    • ipip
    • sctp

    Sie können nur bei Verwendung der Protokolle UDP, TCP oder SCTP nach Zielports filtern.

  • Ziel-Tags: Abgleich mit eingehenden Paketen, deren Ziel ein bestimmtes sicheres Tag hat. Weitere Informationen zu sicheren Tags finden Sie in der Tag-Übersicht.

Sie können einige oder alle dieser Abgleichsbedingungen kombinieren, um einen detaillierteren Abgleich zu erzielen.

Regelaktionen

Die Regelaktion ist die Aktion, die ausgeführt wird, wenn ein Paket der Abgleichsbedingung einer Regel entspricht. Auf jedes Paket wird nur eine Aktion angewendet. Wenn eine Aktion angewendet wurde, werden keine weiteren Regeln ausgewertet. Regeln zur Traffic-Klassifizierung können nur die Aktion APPLY_TRAFFIC_CLASSIFICATION haben.

Mit der Aktion APPLY_TRAFFIC_CLASSIFICATION wird dem IP-Paket die angegebene Traffic-Klasse zugewiesen. Sie können festlegen, ob der DSCP-Wert automatisch anhand der Traffic-Klasse zugewiesen wird oder ob er einen benutzerdefinierten Wert erhält. Die automatischen Zuweisungen basierend auf der Traffic-Klasse sind wie folgt:

Traffic-Klasse DSCP-Wert
TC1 7 (000111)
TC2 15 (001111)
TC3 23 (010111)
TC4 31 (011111)
TC5 47 (101111)
TC6 63 (111111)

Benutzerdefinierte DSCP-Werte können einen Wert zwischen 0 und 63 haben (einschließlich).

Netzwerkrichtlinie konfigurieren

In der folgenden Anleitung wird beschrieben, wie Sie eine Netzwerkrichtlinie erstellen und einer Region zuweisen:

Console

  1. Rufen Sie in der Google Cloud Console den Tab Traffic Classification (Traffic-Klassifizierung) auf.

    Zur Traffic-Klassifizierung

  2. Klicken Sie auf Richtlinie erstellen.

  3. Geben Sie im Feld Name einen Namen für die Netzwerkrichtlinie ein.

  4. Wählen Sie im Listenfeld Region die Region aus, in der Sie Ihre Netzwerkrichtlinie anwenden möchten.

  5. Klicken Sie auf Erstellen.

gcloud 

gcloud compute network-policies create NETWORK_POLICY_NAME \
  --region REGION

Ersetzen Sie Folgendes:

  • NETWORK_POLICY_NAME: der Name, den Sie Ihrer Netzwerkrichtlinie geben möchten
  • REGION: die Region, in der Sie Ihre Netzwerkrichtlinie anwenden möchten

Regeln zur Traffic-Klassifizierung konfigurieren

In den folgenden Abschnitten wird beschrieben, wie Sie Regeln zur Traffic-Klassifizierung erstellen und an eine vorhandene Netzwerkrichtlinie anhängen.

Pakete anhand von Ziel-IP-Adressbereichen abgleichen

Gehen Sie so vor, um eine Regel zu erstellen, die Pakete anhand ihres Ziel-IP-Adressbereichs abgleicht:

Console

  1. Rufen Sie in der Google Cloud Console den Tab Traffic Classification (Traffic-Klassifizierung) auf.

    Zur Traffic-Klassifizierung

  2. Klicken Sie auf den Namen der Netzwerkrichtlinie, der Sie eine Regel hinzufügen möchten.

  3. Klicken Sie auf Regel erstellen.

  4. Geben Sie im Feld Name einen Namen für die Regel ein.

  5. Geben Sie im Feld Priorität die numerische Priorität ein, die in der Reihenfolge der Regelauswertung verwendet werden soll.

  6. Wählen Sie im Listenfeld Klasse eine Traffic-Klasse aus, der Sie dieses Paket zuweisen möchten.

  7. Wählen Sie im Feld DSCP-Wert die Option Automatisch oder Angegeben aus. Wenn Sie Angegeben auswählen, geben Sie einen DSCP-Wert ein.

  8. Geben Sie im Feld Zielfilter das IP-Adressprotokoll und den Bereich an:

    • Wählen Sie im Listenfeld IP-Typ ein IP-Adressprotokoll aus.
    • Geben Sie im Feld IP-Bereiche mindestens einen Ziel-IP-Adressbereich ein.

  9. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den folgenden Befehl, um eine Regel zur Traffic-Klassifizierung zu erstellen, die automatisch DSCP zuweist:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Priorität, die in der Auswertungsreihenfolge der Regel verwendet werden soll
  • TRAFFIC_CLASS: die Traffic-Klasse, der Sie dieses Paket zuweisen möchten
  • NETWORK_POLICY_NAME: Der Name der Netzwerkrichtlinie, der Sie diese Regel hinzufügen möchten.
  • DESTINATION_RANGES: eine durch Kommas getrennte Liste von Ziel-IP-Adressbereichen, die Sie abgleichen möchten

Verwenden Sie den folgenden Befehl, um eine Regel zur Traffic-Klassifizierung zu erstellen, die einen benutzerdefinierten DSCP-Wert zuweist:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Priorität, die in der Auswertungsreihenfolge der Regel verwendet werden soll
  • TRAFFIC_CLASS: Die Traffic-Klasse, der Sie das übereinstimmende Paket zuweisen möchten.
  • DSCP_VALUE: Der benutzerdefinierte DSCP-Wert, den Sie dem übereinstimmenden Paket zuweisen möchten
  • NETWORK_POLICY_NAME: Der Name der Netzwerkrichtlinie, der Sie diese Regel hinzufügen möchten.
  • DESTINATION_RANGES: eine durch Kommas getrennte Liste von Ziel-IP-Adressbereichen, die Sie abgleichen möchten

Pakete anhand von Port oder Protokoll abgleichen

Gehen Sie so vor, um eine Regel zu erstellen, die Pakete anhand ihrer Ports oder Protokolle abgleicht:

Console

  1. Rufen Sie in der Google Cloud Console den Tab Traffic Classification (Traffic-Klassifizierung) auf.

    Zur Traffic-Klassifizierung

  2. Klicken Sie auf den Namen der Netzwerkrichtlinie, der Sie eine Regel hinzufügen möchten.

  3. Klicken Sie auf Regel erstellen.

  4. Geben Sie im Feld Name einen Namen für die Regel ein.

  5. Geben Sie im Feld Priorität die numerische Priorität ein, die in der Reihenfolge der Regelauswertung verwendet werden soll.

  6. Wählen Sie im Listenfeld Klasse eine Traffic-Klasse aus, der Sie dieses Paket zuweisen möchten.

  7. Wählen Sie im Feld DSCP-Wert die Option Automatisch oder Angegeben aus. Wenn Sie Angegeben auswählen, geben Sie einen DSCP-Wert ein.

  8. Geben Sie im Feld Zielfilter das IP-Adressprotokoll und den Bereich an:

    • Wählen Sie im Listenfeld IP-Typ ein IP-Adressprotokoll aus.
    • Geben Sie im Feld IP-Bereiche mindestens einen Ziel-IP-Adressbereich ein.

  9. Wählen Sie im Feld Protokolle und Ports die Option Angegebene Protokolle und Ports aus.

  10. Klicken Sie für jedes aufgeführte Protokoll, das Sie abgleichen möchten, das entsprechende Kästchen an und geben Sie die Ports in das Feld Ports ein.

  11. Optional: Wenn Sie Protokolle abgleichen möchten, die nicht aufgeführt sind, klicken Sie das Kästchen Sonstige Protokolle an und geben Sie eine durch Kommas getrennte Liste von Protokollen ein.

  12. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den folgenden Befehl, um eine Regel zur Traffic-Klassifizierung zu erstellen, die automatisch DSCP zuweist:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Priorität, die in der Auswertungsreihenfolge der Regel verwendet werden soll
  • TRAFFIC_CLASS: die Traffic-Klasse, der Sie dieses Paket zuweisen möchten
  • NETWORK_POLICY_NAME: Der Name der Netzwerkrichtlinie, der Sie diese Regel hinzufügen möchten.
  • PROTOCOLS: eine durch Kommas getrennte Liste von Protokollen, die Sie abgleichen möchten. Wenn Sie für jedes Protokoll einen Port oder Portbereich angeben möchten, verwenden Sie das folgende Format:
    • Ein Port: protocol:port. Beispiel: tcp:80.
    • Portbereich: protocol:port1-port2. Beispiel: tcp:20000-25000.

Verwenden Sie den folgenden Befehl, um eine Regel zur Traffic-Klassifizierung zu erstellen, die einen benutzerdefinierten DSCP-Wert zuweist:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Priorität, die in der Auswertungsreihenfolge der Regel verwendet werden soll
  • TRAFFIC_CLASS: Die Traffic-Klasse, der Sie das übereinstimmende Paket zuweisen möchten.
  • DSCP_VALUE: Der benutzerdefinierte DSCP-Wert, den Sie dem übereinstimmenden Paket zuweisen möchten
  • NETWORK_POLICY_NAME: Der Name der Netzwerkrichtlinie, der Sie diese Regel hinzufügen möchten.
  • PROTOCOLS: eine durch Kommas getrennte Liste von Protokollen, die Sie abgleichen möchten. Wenn Sie für jedes Protokoll einen Port oder Portbereich angeben möchten, verwenden Sie das folgende Format:
    • Ein Port: protocol:port. Beispiel: tcp:80.
    • Portbereich: protocol:port1-port2. Beispiel: tcp:20000-25000.

Pakete mit Tags abgleichen

So erstellen Sie eine Regel, die Pakete anhand von Ziel-Tags abgleicht: Informationen zum Konfigurieren sicherer Tags finden Sie unter Tags erstellen und verwalten.

Console

  1. Rufen Sie in der Google Cloud Console den Tab Traffic Classification (Traffic-Klassifizierung) auf.

    Zur Traffic-Klassifizierung

  2. Klicken Sie auf den Namen der Netzwerkrichtlinie, der Sie eine Regel hinzufügen möchten.

  3. Klicken Sie auf Regel erstellen.

  4. Geben Sie im Feld Name einen Namen für die Regel ein.

  5. Geben Sie im Feld Priorität die numerische Priorität ein, die in der Reihenfolge der Regelauswertung verwendet werden soll.

  6. Wählen Sie im Listenfeld Klasse eine Traffic-Klasse aus, der Sie dieses Paket zuweisen möchten.

  7. Wählen Sie im Feld DSCP-Wert die Option Automatisch oder Angegeben aus. Wenn Sie Angegeben auswählen, geben Sie einen DSCP-Wert ein.

  8. Wählen Sie im Feld Ziel die Option Sichere Tags aus.

  9. Klicken Sie auf Bereich für Tags auswählen. Wählen Sie im neuen Fenster einen Bereich aus, der ein Projekt, ein Ordner oder eine Organisation sein kann. Geben Sie Ihre sicheren Tags an:

    1. Wählen Sie im Feld Schlüssel 1 einen Schlüssel aus der Listbox aus.
    2. Wählen Sie im Feld Wert 1 einen Wert aus der Liste aus.
    3. Optional: Wenn Sie weitere sichere Tags hinzufügen möchten, klicken Sie auf Tag hinzufügen und wiederholen Sie die beiden vorherigen Schritte.

  10. Geben Sie im Feld Zielfilter das IP-Adressprotokoll und den Bereich an:

    • Wählen Sie im Listenfeld IP-Typ ein IP-Adressprotokoll aus.
    • Geben Sie im Feld IP-Bereiche mindestens einen Ziel-IP-Adressbereich ein.

  11. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den folgenden Befehl, um eine Regel zur Traffic-Klassifizierung zu erstellen, die automatisch DSCP zuweist:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Priorität, die in der Auswertungsreihenfolge der Regel verwendet werden soll
  • TRAFFIC_CLASS: die Traffic-Klasse, der Sie dieses Paket zuweisen möchten
  • NETWORK_POLICY_NAME: Der Name der Netzwerkrichtlinie, der Sie diese Regel hinzufügen möchten.
  • TAG_KEY: der sichere Tag-Schlüssel
  • TAG_VALUE: der Wert, der dem sicheren Tag-Schlüssel zugewiesen werden soll

Verwenden Sie den folgenden Befehl, um eine Regel zur Traffic-Klassifizierung zu erstellen, die einen benutzerdefinierten DSCP-Wert zuweist:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

Ersetzen Sie Folgendes:

  • PRIORITY: die numerische Priorität, die in der Auswertungsreihenfolge der Regel verwendet werden soll
  • TRAFFIC_CLASS: Die Traffic-Klasse, der Sie das übereinstimmende Paket zuweisen möchten.
  • DSCP_VALUE: Der benutzerdefinierte DSCP-Wert, den Sie dem übereinstimmenden Paket zuweisen möchten
  • NETWORK_POLICY_NAME: Der Name der Netzwerkrichtlinie, der Sie diese Regel hinzufügen möchten.
  • TAG_KEY: der sichere Tag-Schlüssel
  • TAG_VALUE: der Wert, der dem sicheren Tag-Schlüssel zugewiesen werden soll

Netzwerkrichtlinie mit Netzwerken verknüpfen

Nachdem Sie Ihre Regeln zur Traffic-Klassifizierung an eine Netzwerkrichtlinie angehängt haben, können Sie die Netzwerkrichtlinie mit einem oder mehreren Netzwerken verknüpfen.

Console

  1. Rufen Sie in der Google Cloud Console den Tab Traffic Classification (Traffic-Klassifizierung) auf.

    Zur Traffic-Klassifizierung

  2. Klicken Sie auf den Namen der Netzwerkrichtlinie, die Sie einem Netzwerk zuweisen möchten.

  3. Wählen Sie den Tab Verknüpfungen aus.

  4. Klicken Sie auf Verknüpfung hinzufügen.

  5. Klicken Sie das Kästchen für jedes Netzwerk an, mit dem Sie die Netzwerkrichtlinie verknüpfen möchten.

  6. Klicken Sie auf Verknüpfen.

gcloud

Verwenden Sie den folgenden Befehl, um die Netzwerkrichtlinie mit jedem Netzwerk zu verknüpfen.

gcloud compute network-policies associations create \
  --network-policy NETWORK_POLICY_NAME \
  --network NETWORK_NAME

Ersetzen Sie Folgendes:

  • NETWORK_POLICY_NAME: Der Name der Netzwerkrichtlinie, die Sie zuweisen möchten.
  • NETWORK_NAME: der Name des Netzwerks, mit dem Sie die Netzwerkrichtlinie verknüpfen möchten