Rutas basadas en políticas

En este documento, se proporciona una descripción general del enrutamiento basado en políticas.

Las rutas basadas en políticas te permiten elegir un próximo salto basado en más que la dirección IP de destino de un paquete. También puedes hacer coincidir el tráfico por protocolo y la dirección IP de origen. El tráfico coincidente se redirecciona a un balanceador de cargas de red de transferencia interno. Esto puede ayudarte a insertar dispositivos como firewalls en la ruta de tráfico de red.

Especificaciones

  • Cuando creas una ruta basada en políticas, seleccionas a qué recursos se aplica la ruta basada en políticas. La ruta puede aplicarse a lo siguiente:
    • Todas las instancias de VM, los adjuntos de VLAN de Cloud Interconnect y los túneles de Cloud VPN que se encuentran en la misma red de VPC que la ruta
    • Solo las instancias de VM que se encuentran en la misma red de VPC que la ruta y que se identifican con etiquetas de red
    • Solo los adjuntos de VLAN que se encuentran en una región específica de la misma red de VPC que la ruta. No puedes crear una ruta basada en políticas que solo se aplique a un solo adjunto de VLAN o túnel de Cloud VPN.
  • El próximo salto de una ruta basada en políticas debe ser un balanceador de cargas de red de transferencia interno. Este balanceador de cargas de red de transferencia interno debe estar en la misma red de VPC que la ruta basada en políticas o en una red de VPC que esté conectada al red de VPC por medio del Intercambio de tráfico entre redes de VPC.
  • Las instancias de VM de backend del balanceador de cargas de red de transferencia interno de próximo salto deben tener habilitado el reenvío de IP.
  • Las rutas basadas en políticas se evalúan antes que las rutas de subred, las rutas estáticas y las rutas dinámicas, pero después de las rutas de enrutamiento especiales. Para obtener más información, consulta el paso Rutas basadas en políticas en el orden de enrutamiento.
  • Si dos o más rutas basadas en políticas tienen la misma prioridad y las características de un paquete coinciden con al menos dos de esas rutas basadas en políticas, Google Cloudselecciona una sola ruta basada en políticas con un algoritmo interno. Es posible que la ruta basada en políticas seleccionada no sea la coincidencia más específica para las características del paquete, ya que las rutas basadas en políticas no usan la coincidencia de prefijo más largo. Asegúrate de que todas las rutas basadas en políticas de la misma red de VPC tengan prioridades únicas.
  • Una ruta basada en políticas se puede aplicar al tráfico IPv4 o IPv6.
  • Puedes crear una sola regla para el tráfico unidireccional o varias reglas para manejar el tráfico bidireccional.

Limitaciones

  • Las rutas basadas en políticas no se intercambian entre las redes de VPC que están conectadas por medio del intercambio de tráfico entre redes de VPC.
  • Las rutas basadas en políticas no se intercambian entre los radios y concentradores de Network Connectivity Center.
  • Las rutas basadas en políticas no admiten el tráfico coincidente según el puerto.
  • No es posible actualizar una ruta basada en políticas después de crearla. Si deseas actualizar una ruta, borra la ruta y, luego, crea una nueva.
  • La regla de reenvío del balanceador de cargas de red de transferencia interno debe tener una dirección IP dedicada que no use ningún otro balanceador de cargas de red de transferencia interno. No se admite el uso de una dirección IP compartida (propósito de la dirección IP establecido en SHARED_LOADBALANCER_VIP).
  • Las rutas basadas en políticas pueden interferir en la comunicación entre el plano de control de GKE y los nodos. Para obtener más información, consulta Usa rutas basadas en políticas con GKE.
  • Las rutas basadas en políticas no pueden enrutar paquetes a extremos o backends de Private Service Connect.
  • Solo los adjuntos de VLAN que usan Dataplane v2 pueden usar rutas basadas en políticas. Si quieres inspeccionar el adjunto de VLAN para verificar qué versión usa, consulta las instrucciones de Interconexión dedicada o Interconexión de socio.

Omisión de otras rutas basadas en políticas

Puedes crear una ruta basada en políticas que omita otras rutas basadas en políticas con Google Cloud CLI o enviando una solicitud a la API. Para gcloud CLI, usa la marca --next-hop-other-routes=DEFAULT_ROUTING. Para una solicitud a la API, incluye "nextHopOtherRoutes": "DEFAULT_ROUTING" con el cuerpo de la solicitud.

Si una ruta basada en políticas de este tipo coincide con las características de un paquete y tiene una prioridad mayor que otras rutas basadas en políticas coincidentes, Google Cloud ignora las otras rutas basadas en políticas y continúa con el paso de destino más específico del orden de enrutamiento de VPC.

Por ejemplo, considera una ruta basada en políticas que usa un balanceador de cargas de red de transferencia interno de próximo salto. Esta ruta basada en políticas tiene un rango de origen de 0.0.0.0/0 y una etiqueta de red de compute-vm.

Para omitir la evaluación de la primera ruta basada en políticas cuando las fuentes de paquetes coinciden con un rango de direcciones IP específico, crea una ruta de prioridad más alta basada en políticas que esté configurada para omitir otras rutas basadas en políticas. Establece el rango de direcciones IP de origen para esta ruta basada en políticas de mayor prioridad en el rango de direcciones IP de origen de los sistemas que necesitan omitir el enrutamiento basado en políticas.

Cuota

Existe un límite para la cantidad de rutas basadas en políticas que puedes crear en un solo proyecto. Para obtener más información, consulta las cuotas por proyecto en la documentación de VPC.