Nesta página, descrevemos como configurar a classificação de tráfego gerenciado para automatizar a atribuição de bits de ponto de código do campo de serviços diferenciados (DSCP) nos seus pacotes de saída.
Para configurar a classificação de tráfego gerenciada, crie um recurso de política de rede que funcione como um contêiner para regras de classificação de tráfego. Essas regras informam ao Cloud Interconnect como marcar seus pacotes de saída. As seções a seguir explicam como as políticas de rede e as regras de classificação de tráfego funcionam juntas.
Políticas de rede
Uma política de rede é um contêiner que pode conter uma coleção de regras de classificação de tráfego. Ao criar uma política de rede, especifique uma região em que ela será aplicada. Depois de adicionar regras à política, associe-a a uma ou mais redes VPC. Em seguida, o Cloud Interconnect aplica as regras a todas as instâncias de máquina virtual em cada rede associada na região especificada. Como alternativa, use tags seguras para aplicar regras a apenas um subconjunto de instâncias em cada rede.
Só é possível associar uma política de rede a cada rede VPC por região. Isso significa que é possível associar várias políticas de rede em regiões diferentes a uma rede VPC ou ter várias políticas de rede na mesma região associadas a redes VPC diferentes.
Regras de classificação de tráfego
As regras de classificação de tráfego têm três componentes:
- Prioridade: um número que determina a ordem em que as regras em uma política de rede são avaliadas.
- Condição de correspondência: um valor que determina a quais pacotes uma regra se aplica.
- Ação da regra: uma ação realizada em pacotes que correspondem à condição de correspondência. As regras de classificação de tráfego só podem ter a ação
APPLY_TRAFFIC_CLASSIFICATION.
As seções a seguir descrevem cada um dos componentes da regra em detalhes.
Ordem de avaliação da regra
A ordem em que as regras são avaliadas em relação a um pacote é determinada pela prioridade da regra, do menor número para o maior. A regra com o menor valor numérico atribuído tem a maior prioridade lógica e é avaliada antes das regras com prioridades lógicas mais baixas. Isso significa que uma regra com a prioridade numérica mínima, 0, é sempre avaliada primeiro.
Não é possível configurar duas ou mais regras com a mesma prioridade. A prioridade de
cada regra precisa ser definida como um número entre 0 e 2.147.483.646, incluindo ambos. O valor de prioridade 2147483647, também conhecido como INT-MAX, é reservado para a regra padrão na política de rede. Não é possível excluir a regra padrão, mas é possível modificá-la.
Os números de prioridade podem ter lacunas. Essas lacunas permitem adicionar ou remover regras no futuro sem afetar o restante delas. Por exemplo, 1, 2, 3, 4, 5, 9, 12, 16 é uma série de números de prioridade válidos à qual é possível adicionar regras numeradas de 6 a 8, 10 a 11 e 13 a 15 no futuro. Adicionar uma regra com os valores de prioridade 7, 10 e 14 muda a ordem de execução, mesmo que você não modifique nenhuma das regras originais.
Condições de correspondência
A condição de correspondência é uma expressão que descreve os critérios que um pacote precisa atender para que a ação da regra seja aplicada. Você pode usar as seguintes categorias de condições de correspondência com regras de classificação de tráfego, com base no atributo que você quer procurar:
- Intervalos de endereços IP: correspondem a um intervalo de endereços IP de origem ou destino de um pacote. Cada regra pode conter um máximo de 5.000 intervalos de endereços IP de roteamento entre domínios sem classe (CIDR), todos IPv4 ou todos IPv6. Se você precisar corresponder aos intervalos de endereços IPv4 e IPv6, crie mais de uma regra.
Portas e protocolos: correspondem à porta ou portas de destino de um pacote, ao número do protocolo da Internet (IP) ou a uma das seguintes strings de protocolo:
tcpudpicmpespahipipsctp
Só é possível fazer a correspondência com portas de destino ao usar os protocolos UDP, TCP ou SCTP.
Tags de destino: correspondem a pacotes recebidos cujo destino tem uma tag segura especificada. Para mais informações sobre tags seguras, consulte a Visão geral de tags.
É possível combinar algumas ou todas essas condições de correspondência para conseguir uma correspondência mais granular.
Ações da regra
A ação da regra é o que acontece quando um pacote
corresponde à condição de correspondência de uma regra. Apenas uma ação é aplicada em cada pacote, e quando uma ação é aplicada, mais regras não são avaliadas. As regras de classificação de tráfego só podem ter a ação APPLY_TRAFFIC_CLASSIFICATION.
A ação APPLY_TRAFFIC_CLASSIFICATION aplica a classe de tráfego especificada ao pacote IP. Você escolhe se o valor do DSCP é atribuído automaticamente com base na classe de tráfego ou se recebe um valor personalizado. As atribuições automáticas com base na classe de tráfego são as seguintes:
| Classe de tráfego | Valor DSCP |
|---|---|
| TC1 | 7 (000111) |
| TC2 | 15 (001111) |
| TC3 | 23 (010111) |
| TC4 | 31 (011111) |
| TC5 | 47 (101111) |
| TC6 | 63 (111111) |
Os valores DSCP personalizados podem variar de 0 a 63, inclusive.
Configurar uma política de rede
O procedimento a seguir descreve como criar uma política de rede e atribuí-la a uma região:
Console
No console do Google Cloud , acesse a guia Classificação de tráfego.
Clique em Criar política.
No campo Nome, insira um nome para a política de rede.
Na caixa de listagem Região, selecione a região em que você quer aplicar sua política de rede.
Clique em Criar.
gcloud
gcloud compute network-policies create NETWORK_POLICY_NAME \ --region REGION
Substitua:
NETWORK_POLICY_NAME: o nome que você quer dar à política de rede.REGION: a região em que você quer aplicar a política de rede.
Configurar regras de classificação de tráfego
As seções a seguir descrevem como criar regras de classificação de tráfego e anexá-las a uma política de rede atual.
Fazer correspondência de pacotes usando intervalos de endereços IP de destino
Use o procedimento a seguir para criar uma regra que corresponda a pacotes com base no intervalo de endereços IP de destino:
Console
No console do Google Cloud , acesse a guia Classificação de tráfego.
Clique no nome da política de rede a que você quer adicionar uma regra.
Clique em Criar regra.
No campo Nome, insira um nome para a regra.
No campo Prioridade, insira a prioridade numérica a ser usada na ordem de avaliação da regra.
Na caixa de listagem Classe, escolha uma classe de tráfego a que você quer atribuir este pacote.
No campo Valor de DSCP, escolha Automático ou Especificado. Se você escolher Especificado, insira um valor DSCP.
No campo Filtros de destino, especifique o protocolo e o intervalo de endereços IP:
- Na caixa de listagem Tipo de IP, escolha um protocolo de endereço IP.
- No campo Intervalos de IP, insira pelo menos um intervalo de endereços IP de destino.
Clique em Criar.
gcloud
Para criar uma regra de classificação de tráfego que atribui DSCP automaticamente, use o seguinte comando:
gcloud compute network-policies traffic-classification-rules create PRIORITY \ --action APPLY_TRAFFIC_CLASSIFICATION \ --traffic-class TRAFFIC_CLASS \ --dscp-mode AUTO \ --network-policy NETWORK_POLICY_NAME \ --dest-ip-ranges DESTINATION_RANGES
Substitua:
PRIORITY: a prioridade numérica a ser usada na ordem de avaliação da regra.TRAFFIC_CLASS: a classe de tráfego a que você quer atribuir este pacote.NETWORK_POLICY_NAME: o nome da política de rede a que você quer adicionar essa regra.DESTINATION_RANGES: uma lista delimitada por vírgulas de intervalos de endereços IP de destino em que você quer fazer a correspondência.
Para criar uma regra de classificação de tráfego que atribui um valor DSCP personalizado, use o seguinte comando:
gcloud compute network-policies traffic-classification-rules create PRIORITY \ --action APPLY_TRAFFIC_CLASSIFICATION \ --traffic-class TRAFFIC_CLASS \ --dscp-mode CUSTOM \ --dscp-value DSCP_VALUE \ --network-policy NETWORK_POLICY_NAME \ --dest-ip-ranges DESTINATION_RANGES
Substitua:
PRIORITY: a prioridade numérica a ser usada na ordem de avaliação da regra.TRAFFIC_CLASS: a classe de tráfego a que você quer atribuir o pacote correspondente.DSCP_VALUE: o valor DSCP personalizado que você quer atribuir ao pacote correspondente.NETWORK_POLICY_NAME: o nome da política de rede a que você quer adicionar essa regra.DESTINATION_RANGES: uma lista delimitada por vírgulas de intervalos de endereços IP de destino em que você quer fazer a correspondência.
Corresponder pacotes usando porta ou protocolo
Use o procedimento a seguir para criar uma regra que corresponda a pacotes com base nas portas ou protocolos deles:
Console
No console do Google Cloud , acesse a guia Classificação de tráfego.
Clique no nome da política de rede a que você quer adicionar uma regra.
Clique em Criar regra.
No campo Nome, insira um nome para a regra.
No campo Prioridade, insira a prioridade numérica a ser usada na ordem de avaliação da regra.
Na caixa de listagem Classe, escolha uma classe de tráfego a que você quer atribuir este pacote.
No campo Valor de DSCP, escolha Automático ou Especificado. Se você escolher Especificado, insira um valor DSCP.
No campo Filtros de destino, especifique o protocolo e o intervalo de endereços IP:
- Na caixa de listagem Tipo de IP, escolha um protocolo de endereço IP.
- No campo Intervalos de IP, insira pelo menos um intervalo de endereços IP de destino.
No campo Protocolos e portas, selecione Portas e protocolos especificados.
Para cada protocolo listado que você quer corresponder, marque a caixa de seleção e insira as portas no campo Portas.
Opcional: para corresponder a protocolos que não estão listados, marque a caixa de seleção Outros protocolos e insira uma lista de protocolos separados por vírgula.
Clique em Criar.
gcloud
Para criar uma regra de classificação de tráfego que atribui DSCP automaticamente, use o seguinte comando:
gcloud compute network-policies traffic-classification-rules create PRIORITY \ --action APPLY_TRAFFIC_CLASSIFICATION \ --traffic-class TRAFFIC_CLASS \ --dscp-mode AUTO \ --network-policy NETWORK_POLICY_NAME \ --layer4-configs PROTOCOLS
Substitua:
PRIORITY: a prioridade numérica a ser usada na ordem de avaliação da regra.TRAFFIC_CLASS: a classe de tráfego a que você quer atribuir este pacote.NETWORK_POLICY_NAME: o nome da política de rede a que você quer adicionar essa regra.PROTOCOLS: uma lista separada por vírgulas de protocolos em que você quer fazer a correspondência. Para especificar uma porta ou um intervalo de portas com cada protocolo, use o seguinte formato:- Uma porta:
protocol:port. Por exemplo,tcp:80 - Intervalo de portas:
protocol:port1-port2. Por exemplo,tcp:20000-25000
- Uma porta:
Para criar uma regra de classificação de tráfego que atribui um valor DSCP personalizado, use o seguinte comando:
gcloud compute network-policies traffic-classification-rules create PRIORITY \ --action APPLY_TRAFFIC_CLASSIFICATION \ --traffic-class TRAFFIC_CLASS \ --dscp-mode CUSTOM \ --dscp-value DSCP_VALUE \ --network-policy NETWORK_POLICY_NAME \ --layer4-configs PROTOCOLS
Substitua:
PRIORITY: a prioridade numérica a ser usada na ordem de avaliação da regra.TRAFFIC_CLASS: a classe de tráfego a que você quer atribuir o pacote correspondente.DSCP_VALUE: o valor DSCP personalizado que você quer atribuir ao pacote correspondente.NETWORK_POLICY_NAME: o nome da política de rede a que você quer adicionar essa regra.PROTOCOLS: uma lista separada por vírgulas de protocolos em que você quer fazer a correspondência. Para especificar uma porta ou um intervalo de portas com cada protocolo, use o seguinte formato:- Uma porta:
protocol:port. Por exemplo,tcp:80 - Intervalo de portas:
protocol:port1-port2. Por exemplo,tcp:20000-25000
- Uma porta:
Corresponder pacotes usando tags
Use o procedimento a seguir para criar uma regra que corresponda a pacotes com base em tags seguras de destino. Para configurar tags seguras, consulte Como criar e gerenciar tags.
Console
No console do Google Cloud , acesse a guia Classificação de tráfego.
Clique no nome da política de rede a que você quer adicionar uma regra.
Clique em Criar regra.
No campo Nome, insira um nome para a regra.
No campo Prioridade, insira a prioridade numérica a ser usada na ordem de avaliação da regra.
Na caixa de listagem Classe, escolha uma classe de tráfego a que você quer atribuir este pacote.
No campo Valor de DSCP, escolha Automático ou Especificado. Se você escolher Especificado, insira um valor DSCP.
No campo Destino, selecione Tags seguras.
Clique em Selecionar escopo das tags. Na nova janela, escolha um escopo, que pode ser um projeto, uma pasta ou uma organização. Especifique suas tags seguras:
- No campo Chave 1, selecione uma chave na caixa de listagem.
- No campo Valor 1, selecione um valor na caixa de listagem.
- Opcional: para adicionar mais tags seguras, clique em Adicionar tag e repita as duas etapas anteriores.
No campo Filtros de destino, especifique o protocolo e o intervalo de endereços IP:
- Na caixa de listagem Tipo de IP, escolha um protocolo de endereço IP.
- No campo Intervalos de IP, insira pelo menos um intervalo de endereços IP de destino.
Clique em Criar.
gcloud
Para criar uma regra de classificação de tráfego que atribui DSCP automaticamente, use o seguinte comando:
gcloud compute network-policies traffic-classification-rules create PRIORITY \ --action APPLY_TRAFFIC_CLASSIFICATION \ --traffic-class TRAFFIC_CLASS \ --dscp-mode AUTO \ --network-policy NETWORK_POLICY_NAME \ --target-secure-tags TAG_KEY/TAG_VALUE
Substitua:
PRIORITY: a prioridade numérica a ser usada na ordem de avaliação da regra.TRAFFIC_CLASS: a classe de tráfego a que você quer atribuir este pacote.NETWORK_POLICY_NAME: o nome da política de rede a que você quer adicionar essa regra.TAG_KEY: a chave de tag segura.TAG_VALUE: o valor a ser atribuído à chave de tag segura.
Para criar uma regra de classificação de tráfego que atribui um valor DSCP personalizado, use o seguinte comando:
gcloud compute network-policies traffic-classification-rules create PRIORITY \ --action APPLY_TRAFFIC_CLASSIFICATION \ --traffic-class TRAFFIC_CLASS \ --dscp-mode CUSTOM \ --dscp-value DSCP_VALUE \ --network-policy NETWORK_POLICY_NAME \ --target-secure-tags TAG_KEY/TAG_VALUE
Substitua:
PRIORITY: a prioridade numérica a ser usada na ordem de avaliação da regra.TRAFFIC_CLASS: a classe de tráfego a que você quer atribuir o pacote correspondente.DSCP_VALUE: o valor DSCP personalizado que você quer atribuir ao pacote correspondente.NETWORK_POLICY_NAME: o nome da política de rede a que você quer adicionar essa regra.TAG_KEY: a chave de tag segura.TAG_VALUE: o valor a ser atribuído à chave de tag segura.
Associar uma política de rede a redes
Depois de anexar as regras de classificação de tráfego a uma política de rede, use o procedimento a seguir para associar a política a uma ou mais redes.
Console
No console do Google Cloud , acesse a guia Classificação de tráfego.
Clique no nome da política de rede que você quer associar a uma rede.
Selecione a guia Associações.
Clique em Adicionar associação.
Marque a caixa de seleção de cada rede que você quer associar à política de rede.
Clique em Associar.
gcloud
Use o comando a seguir para associar a política de rede a cada rede.
gcloud compute network-policies associations create \ --network-policy NETWORK_POLICY_NAME \ --network NETWORK_NAME
Substitua:
NETWORK_POLICY_NAME: o nome da política de rede que você quer associar.NETWORK_NAME: o nome da rede com que você quer associar a política de rede.