Configura la classificazione del traffico gestita

Questa pagina descrive come configurare la classificazione del traffico gestita per automatizzare l'assegnazione dei bit del punto di codice del campo dei servizi differenziati (DSCP) nei pacchetti in uscita.

Per configurare la classificazione del traffico gestita, crea una risorsa policy di rete che funge da contenitore per le regole di classificazione del traffico. Queste regole indicano a Cloud Interconnect come contrassegnare i pacchetti in uscita. Le sezioni seguenti spiegano come funzionano insieme le policy di rete e le regole di classificazione del traffico.

Criteri di rete

Una policy di rete è un contenitore che può contenere una raccolta di regole di classificazione del traffico. Quando crei una nuova policy di rete, specifichi una regione in cui vuoi applicare la policy. Poi, dopo aver aggiunto regole alla policy, la associ a una o più reti VPC. Cloud Interconnect applica quindi le regole a tutte le istanze di macchine virtuali all'interno di ogni rete associata nella regione specificata. In alternativa, puoi utilizzare tag sicuri per applicare regole solo a un sottoinsieme di istanze in ogni rete.

Puoi associare una sola policy di rete a ogni rete VPC per regione. Ciò significa che puoi associare più policy di rete in regioni diverse a una rete VPC oppure puoi avere più policy di rete nella stessa regione associate a reti VPC diverse.

Regole di classificazione del traffico

Le regole di classificazione del traffico sono costituite da tre componenti:

  • Priorità: un numero che determina l'ordine in cui vengono valutate le regole di una policy di rete
  • Condizione di corrispondenza: un valore che determina a quali pacchetti si applica una regola
  • Azione della regola: un'azione eseguita sui pacchetti che corrispondono alla condizione di corrispondenza. Le regole di classificazione del traffico possono avere solo l'azione APPLY_TRAFFIC_CLASSIFICATION.

Le sezioni seguenti descrivono in dettaglio ciascun componente della regola.

Ordine di valutazione delle regole

L'ordine in cui le regole vengono valutate rispetto a un pacchetto è determinato dalla priorità della regola, dal numero più basso al numero più alto. La regola con il valore numerico assegnato più basso ha la priorità logica più elevata e viene valutata prima delle regole con priorità logiche più basse. Ciò significa che una regola con la priorità numerica minima, 0, viene sempre valutata per prima.

Non puoi configurare due o più regole con la stessa priorità. La priorità di ogni regola deve essere impostata su un numero compreso tra 0 e 2147483646 inclusi. Il valore di priorità 2147483647, noto anche come INT-MAX, è riservato alla regola predefinita nella policy di rete. Non puoi eliminare la regola predefinita, ma puoi modificarla.

Puoi lasciare intervalli vuoti tra i numeri di priorità. Questi ti consentono di aggiungere o rimuovere regole in futuro senza influire sulle altre regole. Ad esempio, 1, 2, 3, 4, 5, 9, 12, 16 è una serie valida di numeri di priorità a cui in futuro puoi aggiungere regole numerate da 6 a 8, da 10 a 11 e da 13 a 15. L'aggiunta di una regola con i valori di priorità 7, 10 e 14 modifica l'ordine di esecuzione anche se non modifichi nessuna delle regole originali.

Condizioni di corrispondenza

La condizione di corrispondenza è un'espressione che descrive i criteri che un pacchetto deve soddisfare affinché venga applicata l'azione della regola. Puoi utilizzare le seguenti categorie di condizioni di corrispondenza con le regole di classificazione del traffico, in base all'attributo che vuoi cercare:

  • Intervalli di indirizzi IP: corrispondenza con l'intervallo di indirizzi IP di origine o di destinazione di un pacchetto. Ogni regola può contenere un massimo di 5000 intervalli di indirizzi IP CIDR (Classless Inter-Domain Routing), tutti IPv4 o tutti IPv6. Se devi trovare corrispondenze in intervalli di indirizzi IPv4 e IPv6, devi creare più di una regola.

  • Porte e protocolli: corrispondenza con la porta o le porte di destinazione di un pacchetto, il numero di protocollo internet (IP) o una delle seguenti stringhe di protocollo:

    • tcp
    • udp
    • icmp
    • esp
    • ah
    • ipip
    • sctp

    Puoi eseguire la corrispondenza solo in base alle porte di destinazione quando utilizzi i protocolli UDP, TCP o SCTP.

  • Tag di destinazione: corrispondenza con i pacchetti in entrata la cui destinazione ha un tag sicuro specificato. Per saperne di più sui tag sicuri, consulta la Panoramica dei tag.

Puoi combinare alcune o tutte queste condizioni di corrispondenza per ottenere una corrispondenza più granulare.

Azioni regola

L'azione della regola è l'azione eseguita quando un pacchetto corrisponde alla condizione di corrispondenza di una regola. A ogni pacchetto viene applicata una sola azione e quando un'azione è stata applicata, non vengono valutate altre regole. Le regole di classificazione del traffico possono avere solo l'azione APPLY_TRAFFIC_CLASSIFICATION.

L'azione APPLY_TRAFFIC_CLASSIFICATION applica la classe di traffico specificata al pacchetto IP. Scegli se il valore DSCP viene assegnato automaticamente in base alla classe di traffico o se viene assegnato un valore personalizzato. Le assegnazioni automatiche in base alla classe di traffico sono le seguenti:

Classe di traffico Valore DSCP
TC1 7 (000111)
TC2 15 (001111)
TC3 23 (010111)
TC4 31 (011111)
TC5 47 (101111)
TC6 63 (111111)

I valori DSCP personalizzati possono essere compresi tra 0 e 63 (inclusi).

Configurazione di un criterio di rete

La seguente procedura descrive come creare un criterio di rete e assegnarlo a una regione:

Console

  1. Nella console Google Cloud , vai alla scheda Classificazione del traffico.

    Vai a Classificazione del traffico

  2. Fai clic su Crea policy.

  3. Nel campo Nome, inserisci un nome per la policy di rete.

  4. Nella casella di riepilogo Regione, seleziona la regione in cui vuoi applicare la policy di rete.

  5. Fai clic su Crea.

gcloud 

gcloud compute network-policies create NETWORK_POLICY_NAME \
  --region REGION

Sostituisci quanto segue:

  • NETWORK_POLICY_NAME: il nome che vuoi assegnare alla policy di rete
  • REGION: la regione in cui vuoi applicare la policy di rete

Configurare le regole di classificazione del traffico

Le sezioni seguenti descrivono come creare regole di classificazione del traffico e collegarle a un criterio di rete esistente.

Corrispondenza dei pacchetti utilizzando gli intervalli di indirizzi IP di destinazione

Utilizza la seguente procedura per creare una regola che corrisponda ai pacchetti in base al loro intervallo di indirizzi IP di destinazione:

Console

  1. Nella console Google Cloud , vai alla scheda Classificazione del traffico.

    Vai a Classificazione del traffico

  2. Fai clic sul nome della norma di rete a cui vuoi aggiungere una regola.

  3. Fai clic su Crea regola.

  4. Nel campo Nome, inserisci un nome per la regola.

  5. Nel campo Priority (Priorità), inserisci la priorità numerica da utilizzare nell'ordine di valutazione delle regole.

  6. Nella casella di riepilogo Classe, scegli una classe di traffico a cui vuoi assegnare questo pacchetto.

  7. Nel campo Valore DSCP, scegli Automatico o Specificato. Se scegli Specificato, inserisci un valore DSCP.

  8. Nel campo Filtri di destinazione, specifica il protocollo e l'intervallo di indirizzi IP:

    • Nella casella di riepilogo Tipo di IP, scegli un protocollo di indirizzo IP.
    • Nel campo Intervalli IP, inserisci almeno un intervallo di indirizzi IP di destinazione.

  9. Fai clic su Crea.

gcloud

Per creare una regola di classificazione del traffico che assegna automaticamente DSCP, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione della regola
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare questo pacchetto
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • DESTINATION_RANGES: un elenco delimitato da virgole di intervalli di indirizzi IP di destinazione su cui vuoi trovare una corrispondenza

Per creare una regola di classificazione del traffico che assegni un valore DSCP personalizzato, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione della regola
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare il pacchetto corrispondente
  • DSCP_VALUE: il valore DSCP personalizzato che vuoi assegnare al pacchetto corrispondente
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • DESTINATION_RANGES: un elenco delimitato da virgole di intervalli di indirizzi IP di destinazione su cui vuoi trovare una corrispondenza

Corrispondenza dei pacchetti tramite porta o protocollo

Utilizza la seguente procedura per creare una regola che corrisponda ai pacchetti in base alle porte o ai protocolli:

Console

  1. Nella console Google Cloud , vai alla scheda Classificazione del traffico.

    Vai a Classificazione del traffico

  2. Fai clic sul nome della norma di rete a cui vuoi aggiungere una regola.

  3. Fai clic su Crea regola.

  4. Nel campo Nome, inserisci un nome per la regola.

  5. Nel campo Priority (Priorità), inserisci la priorità numerica da utilizzare nell'ordine di valutazione delle regole.

  6. Nella casella di riepilogo Classe, scegli una classe di traffico a cui vuoi assegnare questo pacchetto.

  7. Nel campo Valore DSCP, scegli Automatico o Specificato. Se scegli Specificato, inserisci un valore DSCP.

  8. Nel campo Filtri di destinazione, specifica il protocollo e l'intervallo di indirizzi IP:

    • Nella casella di riepilogo Tipo di IP, scegli un protocollo di indirizzo IP.
    • Nel campo Intervalli IP, inserisci almeno un intervallo di indirizzi IP di destinazione.

  9. Nel campo Protocolli e porte, seleziona Protocolli e porte specificati.

  10. Per ogni protocollo elencato che vuoi abbinare, seleziona la casella di controllo e inserisci le porte nel campo Porte.

  11. (Facoltativo) Per la corrispondenza con protocolli non elencati, seleziona la casella di controllo Altri protocolli, quindi inserisci un elenco di protocolli separati da virgole.

  12. Fai clic su Crea.

gcloud

Per creare una regola di classificazione del traffico che assegna automaticamente DSCP, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione della regola
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare questo pacchetto
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • PROTOCOLS: un elenco delimitato da virgole dei protocolli su cui vuoi trovare una corrispondenza. Per specificare una porta o un intervallo di porte con ogni protocollo, utilizza il seguente formato:
    • Una porta: protocol:port. Ad esempio, tcp:80
    • Intervallo porte: protocol:port1-port2. Ad esempio, tcp:20000-25000

Per creare una regola di classificazione del traffico che assegni un valore DSCP personalizzato, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione della regola
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare il pacchetto corrispondente
  • DSCP_VALUE: il valore DSCP personalizzato che vuoi assegnare al pacchetto corrispondente
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • PROTOCOLS: un elenco delimitato da virgole dei protocolli su cui vuoi trovare una corrispondenza. Per specificare una porta o un intervallo di porte con ogni protocollo, utilizza il seguente formato:
    • Una porta: protocol:port. Ad esempio, tcp:80
    • Intervallo porte: protocol:port1-port2. Ad esempio, tcp:20000-25000

Corrispondenza dei pacchetti tramite i tag

Utilizza la seguente procedura per creare una regola che corrisponda ai pacchetti in base ai tag sicuri di destinazione. Per configurare i tag sicuri, consulta Creazione e gestione dei tag.

Console

  1. Nella console Google Cloud , vai alla scheda Classificazione del traffico.

    Vai a Classificazione del traffico

  2. Fai clic sul nome della norma di rete a cui vuoi aggiungere una regola.

  3. Fai clic su Crea regola.

  4. Nel campo Nome, inserisci un nome per la regola.

  5. Nel campo Priority (Priorità), inserisci la priorità numerica da utilizzare nell'ordine di valutazione delle regole.

  6. Nella casella di riepilogo Classe, scegli una classe di traffico a cui vuoi assegnare questo pacchetto.

  7. Nel campo Valore DSCP, scegli Automatico o Specificato. Se scegli Specificato, inserisci un valore DSCP.

  8. Nel campo Target, seleziona Tag sicuri.

  9. Fai clic su Seleziona l'ambito per i tag. Nella nuova finestra, scegli un ambito, che può essere un progetto, una cartella o un'organizzazione. Specifica i tag protetti:

    1. Nel campo Chiave 1, seleziona una chiave dalla casella di riepilogo.
    2. Nel campo Valore 1, seleziona un valore dalla casella di riepilogo.
    3. (Facoltativo) Per aggiungere altri tag sicuri, fai clic su Aggiungi tag e ripeti i due passaggi precedenti.

  10. Nel campo Filtri di destinazione, specifica il protocollo e l'intervallo di indirizzi IP:

    • Nella casella di riepilogo Tipo di IP, scegli un protocollo di indirizzo IP.
    • Nel campo Intervalli IP, inserisci almeno un intervallo di indirizzi IP di destinazione.

  11. Fai clic su Crea.

gcloud

Per creare una regola di classificazione del traffico che assegna automaticamente DSCP, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione della regola
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare questo pacchetto
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • TAG_KEY: la chiave tag sicura
  • TAG_VALUE: il valore da assegnare alla chiave del tag sicuro

Per creare una regola di classificazione del traffico che assegni un valore DSCP personalizzato, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione della regola
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare il pacchetto corrispondente
  • DSCP_VALUE: il valore DSCP personalizzato che vuoi assegnare al pacchetto corrispondente
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • TAG_KEY: la chiave tag sicura
  • TAG_VALUE: il valore da assegnare alla chiave del tag sicuro

Associa un criterio di rete alle reti

Dopo aver collegato le regole di classificazione del traffico a una policy di rete, utilizza la seguente procedura per associare la policy di rete a una o più reti.

Console

  1. Nella console Google Cloud , vai alla scheda Classificazione del traffico.

    Vai a Classificazione del traffico

  2. Fai clic sul nome della policy di rete che vuoi associare a una rete.

  3. Seleziona la scheda Associazioni.

  4. Fai clic su Aggiungi associazione.

  5. Seleziona la casella di controllo per ogni rete a cui vuoi associare la norma di rete.

  6. Fai clic su Associa.

gcloud

Utilizza il seguente comando per associare la policy di rete a ogni rete.

gcloud compute network-policies associations create \
  --network-policy NETWORK_POLICY_NAME \
  --network NETWORK_NAME

Sostituisci quanto segue:

  • NETWORK_POLICY_NAME: il nome della policy di rete che vuoi associare
  • NETWORK_NAME: il nome della rete a cui vuoi associare la policy di rete