Mengonfigurasi klasifikasi traffic terkelola

Halaman ini menjelaskan cara mengonfigurasi klasifikasi traffic terkelola untuk mengotomatiskan penetapan bit titik kode (DSCP) kolom layanan yang berbeda-beda dalam paket keluar Anda.

Untuk mengonfigurasi klasifikasi traffic terkelola, Anda membuat resource kebijakan jaringan yang berfungsi sebagai penampung untuk aturan klasifikasi traffic. Aturan ini memberi tahu Cloud Interconnect cara menandai paket keluar Anda. Bagian berikut menjelaskan cara kerja kebijakan jaringan dan aturan klasifikasi traffic secara bersamaan.

Kebijakan jaringan

Kebijakan jaringan adalah penampung yang dapat menyimpan kumpulan aturan klasifikasi traffic. Saat membuat kebijakan jaringan baru, Anda menentukan region tempat Anda ingin menerapkan kebijakan. Kemudian, setelah menambahkan aturan ke kebijakan, Anda mengaitkannya dengan satu atau beberapa jaringan VPC. Kemudian, Cloud Interconnect akan menerapkan aturan Anda ke semua instance virtual machine dalam setiap jaringan terkait di region yang ditentukan. Atau, Anda dapat menggunakan tag aman untuk menerapkan aturan hanya ke sebagian kecil instance di setiap jaringan.

Anda hanya dapat mengaitkan satu kebijakan jaringan dengan setiap jaringan VPC per region. Artinya, Anda dapat mengaitkan beberapa kebijakan jaringan di berbagai region dengan satu jaringan VPC, atau Anda dapat memiliki beberapa kebijakan jaringan di region yang sama yang dikaitkan dengan jaringan VPC yang berbeda.

Aturan klasifikasi traffic

Aturan klasifikasi traffic memiliki tiga komponen:

  • Prioritas: angka yang menentukan urutan evaluasi aturan dalam kebijakan jaringan
  • Kondisi kecocokan: nilai yang menentukan paket mana yang akan menerapkan aturan
  • Tindakan aturan: tindakan yang dilakukan pada paket yang cocok dengan kondisi kecocokan. Aturan klasifikasi traffic hanya dapat memiliki tindakan APPLY_TRAFFIC_CLASSIFICATION.

Bagian berikut menjelaskan setiap komponen aturan secara mendetail.

Urutan evaluasi aturan

Urutan evaluasi aturan terhadap paket ditentukan oleh prioritas aturan, dari angka terendah hingga angka tertinggi. Aturan dengan nilai numerik terendah yang ditetapkan memiliki prioritas logis tertinggi, dan dievaluasi sebelum aturan dengan prioritas logis yang lebih rendah. Artinya, aturan dengan prioritas numerik minimum, 0, selalu dievaluasi terlebih dahulu.

Anda tidak dapat mengonfigurasi dua aturan atau lebih dengan prioritas yang sama. Prioritas untuk setiap aturan harus ditetapkan ke nomor dari 0 hingga 2147483646 inklusif. Nilai prioritas 2147483647, juga dikenal sebagai INT-MAX, dicadangkan untuk aturan default dalam kebijakan jaringan. Anda tidak dapat menghapus aturan default, tetapi dapat mengubahnya.

Angka prioritas dapat memiliki kesenjangan. Dengan adanya kesenjangan ini, Anda dapat menambahkan atau menghapus aturan di masa mendatang tanpa memengaruhi aturan lainnya. Misalnya, 1, 2, 3, 4, 5, 9, 12, 16 adalah rangkaian nomor prioritas yang valid, yang memungkinkan Anda menambahkan aturan bernomor 6 hingga 8, 10 hingga 11, dan 13 hingga 15 di masa mendatang. Menambahkan aturan dengan nilai prioritas 7, 10, dan 14 mengubah urutan eksekusi meskipun Anda tidak mengubah aturan asli.

Kondisi pencocokan

Kondisi pencocokan adalah ekspresi yang menjelaskan kriteria yang harus dicocokkan oleh paket agar tindakan aturan diterapkan. Anda dapat menggunakan kategori kondisi kecocokan berikut dengan aturan klasifikasi traffic, berdasarkan atribut yang ingin Anda cari:

  • Rentang alamat IP: cocok dengan rentang alamat IP sumber atau tujuan paket. Setiap aturan dapat berisi maksimal 5.000 rentang alamat IP Classless Inter-Domain Routing (CIDR), yang semuanya harus berupa IPv4 atau semuanya harus berupa IPv6. Jika Anda perlu mencocokkan rentang alamat IPv4 dan IPv6, Anda harus membuat lebih dari satu aturan.

  • Port dan protokol: cocok dengan port atau port tujuan paket, nomor Protokol Internet (IP), atau salah satu string protokol berikut:

    • tcp
    • udp
    • icmp
    • esp
    • ah
    • ipip
    • sctp

    Anda hanya dapat mencocokkan port tujuan saat menggunakan protokol UDP, TCP, atau SCTP.

  • Tag target: cocok dengan paket masuk yang targetnya memiliki tag aman yang ditentukan. Untuk mengetahui informasi selengkapnya tentang tag aman, lihat Ringkasan tag.

Anda dapat menggabungkan beberapa atau semua kondisi pencocokan ini untuk mencapai pencocokan yang lebih terperinci.

Tindakan aturan

Tindakan aturan adalah tindakan yang dilakukan saat paket cocok dengan kondisi kecocokan aturan. Hanya satu tindakan yang diterapkan pada setiap paket, dan jika tindakan telah diterapkan, aturan lainnya tidak akan dievaluasi. Aturan klasifikasi traffic hanya dapat memiliki tindakan APPLY_TRAFFIC_CLASSIFICATION.

Tindakan APPLY_TRAFFIC_CLASSIFICATION menerapkan class traffic yang ditentukan ke paket IP. Anda dapat memilih apakah nilai DSCP ditetapkan secara otomatis berdasarkan kelas traffic, atau apakah nilai DSCP ditetapkan dengan nilai kustom. Penetapan otomatis berdasarkan kelas traffic adalah sebagai berikut:

Kelas traffic Nilai DSCP
TC1 7 (000111)
TC2 15 (001111)
TC3 23 (010111)
TC4 31 (011111)
TC5 47 (101111)
TC6 63 (111111)

Nilai DSCP kustom dapat memiliki nilai 0-63 inklusif.

Mengonfigurasi kebijakan jaringan

Prosedur berikut menjelaskan cara membuat kebijakan jaringan dan menetapkannya ke suatu region:

Konsol

  1. Di konsol Google Cloud , buka tab Traffic Classification.

    Buka Klasifikasi Traffic

  2. Klik Create policy.

  3. Di kolom Name, masukkan nama untuk kebijakan jaringan.

  4. Di kotak daftar Region, pilih region tempat Anda ingin menerapkan kebijakan jaringan.

  5. Klik Create.

gcloud 

gcloud compute network-policies create NETWORK_POLICY_NAME \
  --region REGION

Ganti kode berikut:

  • NETWORK_POLICY_NAME: nama yang ingin Anda berikan ke kebijakan jaringan Anda
  • REGION: region tempat Anda ingin menerapkan kebijakan jaringan

Mengonfigurasi aturan klasifikasi traffic

Bagian berikut menjelaskan cara membuat aturan klasifikasi traffic dan melampirkannya ke kebijakan jaringan yang ada.

Mencocokkan paket menggunakan rentang alamat IP tujuan

Gunakan prosedur berikut untuk membuat aturan yang cocok dengan paket berdasarkan rentang alamat IP tujuannya:

Konsol

  1. Di konsol Google Cloud , buka tab Traffic Classification.

    Buka Klasifikasi Traffic

  2. Klik nama kebijakan jaringan yang ingin Anda tambahi aturan.

  3. Klik Buat aturan.

  4. Di kolom Name, masukkan nama untuk aturan.

  5. Di kolom Priority, masukkan prioritas numerik yang akan digunakan dalam urutan evaluasi aturan.

  6. Di kotak daftar Class, pilih class traffic yang ingin Anda tetapkan ke paket ini.

  7. Di kolom Nilai DSCP, pilih Otomatis atau Ditentukan. Jika Anda memilih Ditentukan, masukkan nilai DSCP.

  8. Di kolom Destination Filters, tentukan protokol dan rentang alamat IP:

    • Di kotak daftar IP type, pilih protokol alamat IP
    • Di kolom Rentang IP, masukkan setidaknya satu rentang alamat IP tujuan.

  9. Klik Create.

gcloud

Untuk membuat aturan klasifikasi traffic yang otomatis menetapkan DSCP, gunakan perintah berikut:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

Ganti kode berikut:

  • PRIORITY: prioritas numerik yang akan digunakan dalam urutan evaluasi aturan
  • TRAFFIC_CLASS: class traffic yang ingin Anda gunakan untuk menetapkan paket ini
  • NETWORK_POLICY_NAME: nama kebijakan jaringan yang ingin Anda tambahi aturan ini
  • DESTINATION_RANGES: daftar rentang alamat IP tujuan yang dipisahkan koma yang ingin Anda cocokkan

Untuk membuat aturan klasifikasi traffic yang menetapkan nilai DSCP kustom, gunakan perintah berikut:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

Ganti kode berikut:

  • PRIORITY: prioritas numerik yang akan digunakan dalam urutan evaluasi aturan
  • TRAFFIC_CLASS: class traffic yang ingin Anda tetapkan ke paket yang cocok
  • DSCP_VALUE: nilai DSCP kustom yang ingin Anda berikan ke paket yang cocok
  • NETWORK_POLICY_NAME: nama kebijakan jaringan yang ingin Anda tambahi aturan ini
  • DESTINATION_RANGES: daftar rentang alamat IP tujuan yang dipisahkan koma yang ingin Anda cocokkan

Mencocokkan paket menggunakan port atau protokol

Gunakan prosedur berikut untuk membuat aturan yang cocok dengan paket berdasarkan port atau protokolnya:

Konsol

  1. Di konsol Google Cloud , buka tab Traffic Classification.

    Buka Klasifikasi Traffic

  2. Klik nama kebijakan jaringan yang ingin Anda tambahi aturan.

  3. Klik Buat aturan.

  4. Di kolom Name, masukkan nama untuk aturan.

  5. Di kolom Priority, masukkan prioritas numerik yang akan digunakan dalam urutan evaluasi aturan.

  6. Di kotak daftar Class, pilih class traffic yang ingin Anda tetapkan ke paket ini.

  7. Di kolom Nilai DSCP, pilih Otomatis atau Ditentukan. Jika Anda memilih Ditentukan, masukkan nilai DSCP.

  8. Di kolom Destination Filters, tentukan protokol dan rentang alamat IP:

    • Di kotak daftar IP type, pilih protokol alamat IP
    • Di kolom Rentang IP, masukkan setidaknya satu rentang alamat IP tujuan.

  9. Di kolom Protocols and ports, pilih Specified protocols and ports.

  10. Untuk setiap protokol yang tercantum yang ingin Anda cocokkan, centang kotaknya dan masukkan port ke dalam kolom Ports.

  11. Opsional: Untuk mencocokkan protokol yang tidak tercantum, pilih kotak centang Protokol lainnya, lalu masukkan daftar protokol yang dipisahkan koma.

  12. Klik Create.

gcloud

Untuk membuat aturan klasifikasi traffic yang otomatis menetapkan DSCP, gunakan perintah berikut:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

Ganti kode berikut:

  • PRIORITY: prioritas numerik yang akan digunakan dalam urutan evaluasi aturan
  • TRAFFIC_CLASS: class traffic yang ingin Anda gunakan untuk menetapkan paket ini
  • NETWORK_POLICY_NAME: nama kebijakan jaringan yang ingin Anda tambahi aturan ini
  • PROTOCOLS: daftar protokol yang dipisahkan koma yang ingin Anda cocokkan. Untuk menentukan port atau rentang port dengan setiap protokol, gunakan format berikut:
    • Satu port: protocol:port. Misalnya, tcp:80
    • Rentang port: protocol:port1-port2. Misalnya, tcp:20000-25000

Untuk membuat aturan klasifikasi traffic yang menetapkan nilai DSCP kustom, gunakan perintah berikut:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

Ganti kode berikut:

  • PRIORITY: prioritas numerik yang akan digunakan dalam urutan evaluasi aturan
  • TRAFFIC_CLASS: class traffic yang ingin Anda tetapkan ke paket yang cocok
  • DSCP_VALUE: nilai DSCP kustom yang ingin Anda berikan ke paket yang cocok
  • NETWORK_POLICY_NAME: nama kebijakan jaringan yang ingin Anda tambahi aturan ini
  • PROTOCOLS: daftar protokol yang dipisahkan koma yang ingin Anda cocokkan. Untuk menentukan port atau rentang port dengan setiap protokol, gunakan format berikut:
    • Satu port: protocol:port. Misalnya, tcp:80
    • Rentang port: protocol:port1-port2. Misalnya, tcp:20000-25000

Mencocokkan paket menggunakan tag

Gunakan prosedur berikut untuk membuat aturan yang cocok dengan paket berdasarkan tag aman target. Untuk mengonfigurasi tag aman, lihat Membuat dan mengelola tag.

Konsol

  1. Di konsol Google Cloud , buka tab Traffic Classification.

    Buka Klasifikasi Traffic

  2. Klik nama kebijakan jaringan yang ingin Anda tambahi aturan.

  3. Klik Buat aturan.

  4. Di kolom Name, masukkan nama untuk aturan.

  5. Di kolom Priority, masukkan prioritas numerik yang akan digunakan dalam urutan evaluasi aturan.

  6. Di kotak daftar Class, pilih class traffic yang ingin Anda tetapkan ke paket ini.

  7. Di kolom Nilai DSCP, pilih Otomatis atau Ditentukan. Jika Anda memilih Ditentukan, masukkan nilai DSCP.

  8. Di kolom Target, pilih Tag aman.

  9. Klik Pilih cakupan untuk tag. Di jendela baru, pilih cakupan, yang dapat berupa project, folder, atau organisasi. Tentukan tag aman Anda:

    1. Di kolom Kunci 1, pilih kunci dari kotak daftar.
    2. Di kolom Nilai 1, pilih nilai dari kotak daftar.
    3. Opsional: Untuk menambahkan lebih banyak tag aman, klik Tambahkan tag, lalu ulangi dua langkah sebelumnya.

  10. Di kolom Destination Filters, tentukan protokol dan rentang alamat IP:

    • Di kotak daftar IP type, pilih protokol alamat IP
    • Di kolom Rentang IP, masukkan setidaknya satu rentang alamat IP tujuan.

  11. Klik Create.

gcloud

Untuk membuat aturan klasifikasi traffic yang otomatis menetapkan DSCP, gunakan perintah berikut:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

Ganti kode berikut:

  • PRIORITY: prioritas numerik yang akan digunakan dalam urutan evaluasi aturan
  • TRAFFIC_CLASS: class traffic yang ingin Anda gunakan untuk menetapkan paket ini
  • NETWORK_POLICY_NAME: nama kebijakan jaringan yang ingin Anda tambahi aturan ini
  • TAG_KEY: kunci tag aman
  • TAG_VALUE: nilai yang akan ditetapkan ke kunci tag aman

Untuk membuat aturan klasifikasi traffic yang menetapkan nilai DSCP kustom, gunakan perintah berikut:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

Ganti kode berikut:

  • PRIORITY: prioritas numerik yang akan digunakan dalam urutan evaluasi aturan
  • TRAFFIC_CLASS: class traffic yang ingin Anda tetapkan ke paket yang cocok
  • DSCP_VALUE: nilai DSCP kustom yang ingin Anda berikan ke paket yang cocok
  • NETWORK_POLICY_NAME: nama kebijakan jaringan yang ingin Anda tambahi aturan ini
  • TAG_KEY: kunci tag aman
  • TAG_VALUE: nilai yang akan ditetapkan ke kunci tag aman

Mengaitkan kebijakan jaringan dengan jaringan

Setelah melampirkan aturan klasifikasi traffic ke kebijakan jaringan, gunakan prosedur berikut untuk mengaitkan kebijakan jaringan dengan satu atau beberapa jaringan.

Konsol

  1. Di konsol Google Cloud , buka tab Traffic Classification.

    Buka Klasifikasi Traffic

  2. Klik nama kebijakan jaringan yang ingin Anda kaitkan dengan jaringan.

  3. Pilih tab Pengaitan.

  4. Klik Tambahkan pengaitan.

  5. Centang kotak untuk setiap jaringan yang ingin Anda kaitkan dengan kebijakan jaringan.

  6. Klik Kaitkan.

gcloud

Gunakan perintah berikut untuk mengaitkan kebijakan jaringan dengan setiap jaringan.

gcloud compute network-policies associations create \
  --network-policy NETWORK_POLICY_NAME \
  --network NETWORK_NAME

Ganti kode berikut:

  • NETWORK_POLICY_NAME: nama kebijakan jaringan yang ingin Anda kaitkan
  • NETWORK_NAME: nama jaringan yang ingin Anda kaitkan dengan kebijakan jaringan