Richtlinienbasierte Routen

Dieses Dokument bietet einen Überblick über richtlinienbasiertes Routing.

Mit richtlinienbasierten Routen können Sie einen nächsten Hop anhand von mehr als der Ziel-IP-Adresse eines Pakets auswählen. Sie können den Traffic auch mit dem Protokoll und der Quell-IP-Adresse abgleichen. Übereinstimmender Traffic wird an einen internen Passthrough-Network Load Balancer weitergeleitet. Auf diese Weise können Sie Appliances wie Firewalls in den Pfad des Netzwerktraffics einfügen.

Spezifikationen

  • Wenn Sie eine richtlinienbasierte Route erstellen, wählen Sie aus, auf welche Ressourcen sie angewendet wird. Die Route kann für Folgendes gelten:
    • Alle VM-Instanzen, Cloud Interconnect-VLAN-Anhänge und Cloud VPN-Tunnel, die sich im selben VPC-Netzwerk wie die Route befinden
    • Nur VM-Instanzen, die sich im selben VPC-Netzwerk wie die Route befinden und durch Netzwerktags identifiziert werden
    • Nur VLAN-Anhänge, die sich in einer bestimmten Region desselben VPC-Netzwerk wie die Route befinden. Sie können keine richtlinienbasierte Route erstellen, die nur für einen einzelnen VLAN-Anhang oder Cloud VPN-Tunnel gilt.
  • Der nächste Hop einer richtlinienbasierten Route muss ein gültiger interner Passthrough-Network Load Balancer sein. Dieser interne Passthrough-Network Load Balancer muss sich entweder im selben VPC-Netzwerk wie die richtlinienbasierte Route oder in einem VPC-Netzwerk befinden, das über VPC Network Peering mit dem VPC-Netzwerk der Route verbunden ist.
  • Auf den Backend-VM-Instanzen des internen Passthrough-Network Load Balancers für den nächsten Hop muss IP-Weiterleitung aktiviert sein.
  • Richtlinienbasierte Routen werden vor Subnetzrouten, statischen Routen und dynamischen Routen, aber nach speziellen Routingpfaden ausgewertet. Weitere Informationen finden Sie im Schritt Richtlinienbasierte Routen in der Routingreihenfolge.
  • Wenn zwei oder mehr richtlinienbasierte Routen dieselbe Priorität haben und die Eigenschaften eines Pakets mit mindestens zwei dieser richtlinienbasierten Routen übereinstimmen, wählt Google Cloudmithilfe eines internen Algorithmus eine einzelne richtlinienbasierte Route aus. Die ausgewählte richtlinienbasierte Route ist möglicherweise nicht die spezifischste Übereinstimmung für die Eigenschaften des Pakets, da bei richtlinienbasierten Routen kein Abgleich mit dem längsten Präfix erfolgt. Achten Sie darauf, dass alle richtlinienbasierten Routen im selben VPC-Netzwerk eindeutige Prioritäten haben.
  • Eine richtlinienbasierte Route kann entweder auf IPv4- oder IPv6-Traffic angewendet werden.
  • Sie können eine einzelne Regel für unidirektionalen Traffic oder mehrere Regeln zur Verarbeitung von bidirektionalem Traffic erstellen.

Beschränkungen

  • Richtlinienbasierte Routen werden nicht zwischen VPC-Netzwerken ausgetauscht, die über VPC-Netzwerk-Peering verbunden sind.
  • Richtlinienbasierte Routen werden nicht zwischen Spokes und Hubs des Network Connectivity Centers ausgetauscht.
  • Richtlinienbasierte Routen unterstützen nicht den Abgleich von Traffic auf Basis von Ports.
  • Eine richtlinienbasierte Route kann nach dem Erstellen nicht mehr aktualisiert werden. Wenn Sie eine Route aktualisieren möchten, löschen Sie die Route und erstellen Sie eine neue.
  • Die Weiterleitungsregel für den internen Passthrough-Network Load Balancer muss eine dedizierte IP-Adresse haben, die nicht von einem anderen internen Passthrough-Network Load Balancer verwendet wird. Die Verwendung einer freigegebenen IP-Adresse (IP-Adresszweck auf SHARED_LOADBALANCER_VIP festgelegt) wird nicht unterstützt.
  • Richtlinienbasierte Routen können die Kommunikation zwischen der GKE-Steuerungsebene und den Knoten beeinträchtigen. Weitere Informationen finden Sie unter Richtlinienbasierte Routen mit GKE verwenden.
  • Mit richtlinienbasierten Routen können keine Pakete an Private Service Connect-Endpunkte oder -Back-Ends weitergeleitet werden.
  • Richtlinienbasierte Routen können nur für VLAN-Anhänge verwendet werden, die Dataplane v2 verwenden. Eine Anleitung zum Prüfen Ihres VLAN-Anhang finden Sie in der Anleitung für Dedicated Interconnect oder Partner Interconnect.

Andere richtlinienbasierte Routen überspringen

Sie können mit dem Google Cloud CLI oder durch Senden einer API-Anfrage eine richtlinienbasierte Route erstellen, die andere richtlinienbasierte Routen überspringt. Verwenden Sie für die gcloud CLI das Flag --next-hop-other-routes=DEFAULT_ROUTING. Fügen Sie für eine API-Anfrage "nextHopOtherRoutes": "DEFAULT_ROUTING" in den Anfragetext ein.

Wenn eine richtlinienbasierte Route dieses Typs mit den Merkmalen eines Pakets übereinstimmt und eine höhere Priorität als andere übereinstimmende richtlinienbasierte Routen hat,ignoriert Google Clouddie anderen richtlinienbasierten Routen und fährt mit dem Schritt Spezifischstes Ziel der Reihenfolge des VPC-Routings fort.

Betrachten Sie beispielsweise eine richtlinienbasierte Route, die einen internen Network Load Balancer als nächsten Hop verwendet. Diese richtlinienbasierte Route hat den Quellbereich 0.0.0.0/0 und das Netzwerk-Tag compute-vm.

Wenn Sie die Auswertung der ersten richtlinienbasierten Route überspringen möchten, wenn Paketquellen mit einem bestimmten IP-Adressbereich übereinstimmen, erstellen Sie eine richtlinienbasierte Route mit höherer Priorität, die für das Überspringen anderer richtlinienbasierter Routen konfiguriert ist. Legen Sie den Quell-IP-Adressbereich für diese richtlinienbasierte Route mit dem Quell-IP-Adressbereich der Systeme fest, die das richtlinienbasierte Routing überspringen müssen.

Kontingent

Wie viele richtlinienbasierte Routen Sie in einem einzelnen Projekt erstellen können, ist begrenzt. Weitere Informationen erhalten Sie im Abschnitt zu projektbasierten Kontingenten in der VPC-Dokumentation.