Configura la classificazione del traffico gestita

Questa pagina descrive come configurare la classificazione del traffico gestita per automatizzare l'assegnazione dei bit del punto di codice del campo dei servizi differenziati (DSCP) nei pacchetti in uscita.

Per configurare la classificazione del traffico gestita, crea una risorsa di policy di rete che funge da container per le regole di classificazione del traffico. Queste regole indicano a Cloud Interconnect come contrassegnare i pacchetti in uscita. Le sezioni seguenti spiegano come funzionano insieme le policy di rete e le regole di classificazione del traffico.

Policy di rete

Una policy di rete è un container che può contenere una raccolta di regole di classificazione del traffico. Quando crei una nuova policy di rete, specifichi una regione in cui vuoi applicare la policy. Poi, dopo aver aggiunto le regole alla policy, la associ a una o più reti VPC. Cloud Interconnect applica quindi le regole a tutte le istanze di macchine virtuali all'interno di ogni rete associata nella regione specificata. In alternativa, puoi utilizzare i tag sicuri per applicare le regole solo a un sottoinsieme di istanze in ogni rete.

Puoi associare una sola policy di rete a ogni rete VPC per regione. Ciò significa che puoi associare più policy di rete in regioni diverse a una rete VPC oppure puoi avere più policy di rete nella stessa regione associate a reti VPC diverse.

Regole di classificazione del traffico

Le regole di classificazione del traffico hanno tre componenti:

  • Priorità: un numero che determina l'ordine in cui vengono valutate le regole in una policy di rete
  • Condizione di corrispondenza: un valore che determina a quali pacchetti si applica una regola
  • Azione della regola: un'azione eseguita sui pacchetti che soddisfano la condizione di corrispondenza. Le regole di classificazione del traffico possono avere solo l'azione APPLY_TRAFFIC_CLASSIFICATION.

Le sezioni seguenti descrivono in dettaglio ciascuno dei componenti della regola.

Ordine di valutazione delle regole

L'ordine in cui le regole vengono valutate rispetto a un pacchetto è determinato dalla priorità della regola, dal numero più basso al numero più alto. La regola con il valore numerico assegnato più basso ha la priorità logica più elevata e viene valutata prima delle regole con priorità logiche più basse. Ciò significa che una regola con la priorità numerica minima, 0, viene sempre valutata per prima.

Non puoi configurare due o più regole con la stessa priorità. La priorità di ogni regola deve essere impostata su un numero compreso tra 0 e 2147483646 inclusi. Il valore di priorità 2147483647, noto anche come INT-MAX, è riservato alla regola predefinita nella policy di rete. Non puoi eliminare la regola predefinita, ma puoi modificarla.

Puoi lasciare intervalli vuoti tra i numeri di priorità. Questi ti consentono di aggiungere o rimuovere regole in futuro senza influire sulle altre regole. Ad esempio, 1, 2, 3, 4, 5, 9, 12, 16 è una serie valida di numeri di priorità a cui in futuro puoi aggiungere regole numerate da 6 a 8, da 10 a 11 e da 13 a 15. L'aggiunta di regole con i valori di priorità 7, 10 e 14 modifica l'ordine di esecuzione anche se non modifichi nessuna delle regole originali.

Condizioni di corrispondenza

La condizione di corrispondenza è un'espressione che descrive i criteri che un pacchetto deve soddisfare affinché venga applicata l'azione della regola. Puoi utilizzare le seguenti categorie di condizioni di corrispondenza con le regole di classificazione del traffico, in base all'attributo che vuoi cercare:

  • Intervalli di indirizzi IP: corrispondenza con l'intervallo di indirizzi IP di origine o di destinazione di un pacchetto. Ogni regola può contenere un massimo di 5000 intervalli di indirizzi IP CIDR (Classless Inter-Domain Routing), tutti IPv4 o tutti IPv6. Se devi trovare una corrispondenza con intervalli di indirizzi IPv4 e IPv6, devi creare più di una regola.
  • Porte e protocolli: corrispondenza con la porta o le porte di destinazione di un pacchetto, il numero del protocollo internet (IP) o una delle seguenti stringhe di protocollo:

    • tcp
    • udp
    • icmp
    • esp
    • ah
    • ipip
    • sctp

    Puoi trovare una corrispondenza solo con le porte di destinazione quando utilizzi i protocolli UDP, TCP o SCTP.

  • Tag di destinazione: corrispondenza con i pacchetti in entrata la cui destinazione ha un tag sicuro specificato. Per saperne di più sui tag sicuri, consulta la sezione Introduzione ai tag.

Puoi combinare alcune o tutte queste condizioni di corrispondenza per ottenere una corrispondenza più granulare.

Azioni regola

L'azione della regola è l'azione eseguita quando un pacchetto soddisfa la condizione di corrispondenza di una regola. A ogni pacchetto viene applicata una sola azione e, una volta applicata un'azione, non vengono valutate altre regole. Le regole di classificazione del traffico possono avere solo l'azione APPLY_TRAFFIC_CLASSIFICATION.

L'azione APPLY_TRAFFIC_CLASSIFICATION applica la classe di traffico specificata al pacchetto IP. Puoi scegliere se il valore DSCP viene assegnato automaticamente in base alla classe di traffico o se viene assegnato un valore personalizzato. Le assegnazioni automatiche in base alla classe di traffico sono le seguenti:

Classe di traffico Valore DSCP
TC1 7 (000111)
TC2 15 (001111)
TC3 23 (010111)
TC4 31 (011111)
TC5 47 (101111)
TC6 63 (111111)

I valori DSCP personalizzati possono avere un valore compreso tra 0 e 63 inclusi.

Configurazione di una policy di rete

La seguente procedura descrive come creare una policy di rete e assegnarla a una regione:

Console

  1. Nella Google Cloud console, vai alla scheda Classificazione del traffico.

    Vai a Classificazione del traffico

  2. Fai clic su Crea policy.

  3. Nel campo Nome, inserisci un nome per la policy di rete.

  4. Nella casella di riepilogo Regione, seleziona la regione in cui vuoi applicare la policy di rete.

  5. Fai clic su Crea.

gcloud

gcloud compute network-policies create NETWORK_POLICY_NAME \
  --region REGION

Sostituisci quanto segue:

  • NETWORK_POLICY_NAME: il nome che vuoi assegnare alla policy di rete
  • REGION: la regione in cui vuoi applicare la policy di rete

Configurazione delle regole di classificazione del traffico

Le sezioni seguenti descrivono come creare regole di classificazione del traffico e collegarle a una policy di rete esistente.

Trovare una corrispondenza con i pacchetti utilizzando gli intervalli di indirizzi IP di destinazione

Segui questa procedura per creare una regola che trovi una corrispondenza con i pacchetti in base al loro intervallo di indirizzi IP di destinazione:

Console

  1. Nella Google Cloud console, vai alla scheda Classificazione del traffico.

    Vai a Classificazione del traffico

  2. Fai clic sul nome della policy di rete a cui vuoi aggiungere una regola.

  3. Fai clic su Crea regola.

  4. Nel campo Nome, inserisci un nome per la regola.

  5. Nel campo Priorità, inserisci la priorità numerica da utilizzare nell'ordine di valutazione delle regole.

  6. Nella casella di riepilogo Classe, scegli una classe di traffico a cui vuoi assegnare questo pacchetto.

  7. Nel campo Valore DSCP, scegli Automatico o Specificato. Se scegli Specificato, inserisci un valore DSCP.

  8. Nel campo Filtri di destinazione, specifica il protocollo e l'intervallo di indirizzi IP:

    • Nella casella di riepilogo Tipo IP , scegli un protocollo di indirizzi IP.
    • Nel campo Intervalli IP, inserisci almeno un intervallo di indirizzi IP di destinazione.
  9. Fai clic su Crea.

gcloud

Per creare una regola di classificazione del traffico che assegni automaticamente il DSCP, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione delle regole
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare questo pacchetto
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • DESTINATION_RANGES: un elenco delimitato da virgole di intervalli di indirizzi IP di destinazione con cui vuoi trovare una corrispondenza

Per creare una regola di classificazione del traffico che assegni un valore DSCP personalizzato, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --dest-ip-ranges DESTINATION_RANGES

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione delle regole
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare il pacchetto corrispondente
  • DSCP_VALUE: il valore DSCP personalizzato che vuoi assegnare al pacchetto corrispondente
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • DESTINATION_RANGES: un elenco delimitato da virgole di intervalli di indirizzi IP di destinazione con cui vuoi trovare una corrispondenza

Trovare una corrispondenza con i pacchetti utilizzando la porta o il protocollo

Segui questa procedura per creare una regola che trovi una corrispondenza con i pacchetti in base alle loro porte o ai loro protocolli:

Console

  1. Nella Google Cloud console, vai alla scheda Classificazione del traffico.

    Vai a Classificazione del traffico

  2. Fai clic sul nome della policy di rete a cui vuoi aggiungere una regola.

  3. Fai clic su Crea regola.

  4. Nel campo Nome, inserisci un nome per la regola.

  5. Nel campo Priorità, inserisci la priorità numerica da utilizzare nell'ordine di valutazione delle regole.

  6. Nella casella di riepilogo Classe, scegli una classe di traffico a cui vuoi assegnare questo pacchetto.

  7. Nel campo Valore DSCP, scegli Automatico o Specificato. Se scegli Specificato, inserisci un valore DSCP.

  8. Nel campo Filtri di destinazione, specifica il protocollo e l'intervallo di indirizzi IP:

    • Nella casella di riepilogo Tipo IP , scegli un protocollo di indirizzi IP.
    • Nel campo Intervalli IP, inserisci almeno un intervallo di indirizzi IP di destinazione.
  9. Nel campo Protocolli e porte, seleziona Protocolli e porte specificati.

  10. Per ogni protocollo elencato con cui vuoi trovare una corrispondenza, seleziona la casella di controllo e inserisci le porte nel campo Porte.

  11. (Facoltativo) Per trovare una corrispondenza con i protocolli non elencati, seleziona la casella di controllo Altri protocolli, quindi inserisci un elenco di protocolli delimitato da virgole.

  12. Fai clic su Crea.

gcloud

Per creare una regola di classificazione del traffico che assegni automaticamente il DSCP, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione delle regole
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare questo pacchetto
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • PROTOCOLS: un elenco delimitato da virgole di protocolli con cui vuoi trovare una corrispondenza. Per specificare una porta o un intervallo di porte con ogni protocollo, utilizza il seguente formato:
    • Una porta: protocol:port. Ad esempio, tcp:80
    • Intervallo di porte: protocol:port1-port2. Ad esempio, tcp:20000-25000

Per creare una regola di classificazione del traffico che assegni un valore DSCP personalizzato, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --layer4-configs PROTOCOLS

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione delle regole
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare il pacchetto corrispondente
  • DSCP_VALUE: il valore DSCP personalizzato che vuoi assegnare al pacchetto corrispondente
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • PROTOCOLS: un elenco delimitato da virgole di protocolli con cui vuoi trovare una corrispondenza. Per specificare una porta o un intervallo di porte con ogni protocollo, utilizza il seguente formato:
    • Una porta: protocol:port. Ad esempio, tcp:80
    • Intervallo di porte: protocol:port1-port2. Ad esempio, tcp:20000-25000

Trovare una corrispondenza con i pacchetti utilizzando i tag

Segui questa procedura per creare una regola che trovi una corrispondenza con i pacchetti in base ai tag sicuri di destinazione. Per configurare i tag sicuri, consulta Creazione e gestione dei tag.

Console

  1. Nella Google Cloud console, vai alla scheda Classificazione del traffico.

    Vai a Classificazione del traffico

  2. Fai clic sul nome della policy di rete a cui vuoi aggiungere una regola.

  3. Fai clic su Crea regola.

  4. Nel campo Nome, inserisci un nome per la regola.

  5. Nel campo Priorità, inserisci la priorità numerica da utilizzare nell'ordine di valutazione delle regole.

  6. Nella casella di riepilogo Classe, scegli una classe di traffico a cui vuoi assegnare questo pacchetto.

  7. Nel campo Valore DSCP, scegli Automatico o Specificato. Se scegli Specificato, inserisci un valore DSCP.

  8. Nel campo Destinazione, seleziona Tag sicuri.

  9. Fai clic su Seleziona l'ambito per i tag. Nella nuova finestra, scegli un ambito, che può essere un progetto, una cartella o un'organizzazione. Specifica i tag sicuri:

    1. Nel campo Chiave 1, seleziona una chiave dalla casella di riepilogo.
    2. Nel campo Valore 1, seleziona un valore dalla casella di riepilogo.
    3. (Facoltativo) Per aggiungere altri tag sicuri, fai clic su Aggiungi tag e ripeti i due passaggi precedenti.
  10. Nel campo Filtri di destinazione, specifica il protocollo e l'intervallo di indirizzi IP:

    • Nella casella di riepilogo Tipo IP , scegli un protocollo di indirizzi IP.
    • Nel campo Intervalli IP, inserisci almeno un intervallo di indirizzi IP di destinazione.
  11. Fai clic su Crea.

gcloud

Per creare una regola di classificazione del traffico che assegni automaticamente il DSCP, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode AUTO \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione delle regole
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare questo pacchetto
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • TAG_KEY: la chiave del tag sicuro
  • TAG_VALUE: il valore da assegnare alla chiave del tag sicuro

Per creare una regola di classificazione del traffico che assegni un valore DSCP personalizzato, utilizza il seguente comando:

gcloud compute network-policies traffic-classification-rules create PRIORITY \
  --action APPLY_TRAFFIC_CLASSIFICATION \
  --traffic-class TRAFFIC_CLASS \
  --dscp-mode CUSTOM \
  --dscp-value DSCP_VALUE \
  --network-policy NETWORK_POLICY_NAME \
  --target-secure-tags TAG_KEY/TAG_VALUE

Sostituisci quanto segue:

  • PRIORITY: la priorità numerica da utilizzare nell'ordine di valutazione delle regole
  • TRAFFIC_CLASS: la classe di traffico a cui vuoi assegnare il pacchetto corrispondente
  • DSCP_VALUE: il valore DSCP personalizzato che vuoi assegnare al pacchetto corrispondente
  • NETWORK_POLICY_NAME: il nome della policy di rete a cui vuoi aggiungere questa regola
  • TAG_KEY: la chiave del tag sicuro
  • TAG_VALUE: il valore da assegnare alla chiave del tag sicuro

Associazione di una policy di rete alle reti

Dopo aver collegato le regole di classificazione del traffico a una policy di rete, segui questa procedura per associare la policy di rete a una o più reti.

Console

  1. Nella Google Cloud console, vai alla scheda Classificazione del traffico.

    Vai a Classificazione del traffico

  2. Fai clic sul nome della policy di rete che vuoi associare a una rete.

  3. Seleziona la scheda Associazioni.

  4. Fai clic su Aggiungi associazione.

  5. Seleziona la casella di controllo per ogni rete a cui vuoi associare la policy di rete.

  6. Fai clic su Associa.

gcloud

Utilizza il seguente comando per associare la policy di rete a ogni rete.

gcloud compute network-policies associations create \
  --network-policy NETWORK_POLICY_NAME \
  --network NETWORK_NAME

Sostituisci quanto segue:

  • NETWORK_POLICY_NAME: il nome della policy di rete che vuoi associare
  • NETWORK_NAME: il nome della rete a cui vuoi associare la policy di rete