מסלולים מבוססי-מדיניות

במסמך הזה מפורטת סקירה כללית של ניתוב על סמך מדיניות.

מסלולים מבוססי-מדיניות מאפשרים לכם לבחור את הניתור הבא על סמך יותר מכתובת ה-IP של היעד של המנה. אפשר גם להתאים את התנועה לפי פרוטוקול וכתובת IP של המקור. תעבורה תואמת מופנית מחדש למאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי. האפשרות הזו יכולה לעזור לכם להוסיף מכשירים כמו חומות אש לנתיב של תנועה ברשת.

מפרטים

  • כשיוצרים נתיב מבוסס-מדיניות, בוחרים את המשאבים שאליהם חל הנתיב מבוסס-המדיניות. המסלול יכול לחול על:
    • כל המכונות הווירטואליות, קובצי ה-VLAN המצורפים של Cloud Interconnect והמנהרות של Cloud VPN שנמצאים באותה רשת VPC כמו הנתיב
    • רק מכונות וירטואליות שנמצאות באותה רשת VPC כמו המסלול ומזוהות על ידי תגי רשת
    • רק חיבורי VLAN שנמצאים באזור ספציפי של אותה רשת VPC כמו הנתיב. אי אפשר ליצור נתיב מבוסס-מדיניות שחל רק על צירוף ל-VLAN יחיד או על מנהרת Cloud VPN
  • הניתוב הבא של נתיב מבוסס-מדיניות חייב להיות מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי. מאזן עומסי הרשת הפנימי להעברת סיגנל ללא שינוי צריך להיות באותה רשת VPC כמו הנתיב מבוסס המדיניות, או ברשת VPC שמקושרת לרשת ה-VPC של הנתיב באמצעות קישור בין רשתות VPC שכנות (peering).
  • במכונות הווירטואליות בקצה העורפי של מאזן העומסים הפנימי להעברת סיגנל ללא שינוי של הצעד הבא, צריך להפעיל העברת IP.
  • מסלולים מבוססי-מדיניות נבדקים לפני מסלולי רשתות משנה, מסלולים סטטיים ומסלולים דינמיים, אבל אחרי נתיבי ניתוב מיוחדים. מידע נוסף מופיע בשלב מסלולים מבוססי-מדיניות בסדר הניתוב.
  • אם לשני נתיבים או יותר שמבוססים על מדיניות יש אותה עדיפות, והמאפיינים של מנה (packet) תואמים לפחות לשני נתיבים כאלה, Google Cloudבוחר נתיב יחיד שמבוסס על מדיניות באמצעות אלגוריתם פנימי. יכול להיות שהנתיב שנבחר שמבוסס על מדיניות לא יהיה ההתאמה הספציפית ביותר למאפיינים של החבילה, כי נתיבים שמבוססים על מדיניות לא משתמשים בהתאמה של הקידומת הארוכה ביותר. חשוב לוודא שלכל המסלולים שמבוססים על מדיניות באותה רשת VPC יש עדיפויות ייחודיות.
  • נתיב מבוסס-מדיניות יכול לחול על תעבורת נתונים של IPv4 או IPv6.
  • אפשר ליצור כלל אחד לתנועה חד-כיוונית או כמה כללים לטיפול בתנועה דו-כיוונית.

מגבלות

  • מסלולים מבוססי-מדיניות לא מועברים בין רשתות VPC שמקושרות באמצעות קישור בין רשתות VPC שכנות.
  • מסלולים שמבוססים על מדיניות לא מועברים בין מרכזי תקשורת ורכזות של Network Connectivity Center.
  • מסלולים שמבוססים על מדיניות לא תומכים בהתאמת תנועה על סמך יציאה.
  • אי אפשר לעדכן נתיב מבוסס-מדיניות אחרי שהוא נוצר. כדי לעדכן מסלול, צריך למחוק את המסלול וליצור מסלול חדש.
  • לכלל ההעברה של מאזן עומסי הרשת הפנימי להעברת סיגנל ללא שינוי צריכה להיות כתובת IP ייעודית שלא נמצאת בשימוש של מאזן עומסי רשת פנימי אחר להעברת סיגנל ללא שינוי. אין תמיכה בשימוש בכתובת IP משותפת (כתובת IP שהמטרה שלה מוגדרת כSHARED_LOADBALANCER_VIP).
  • מסלולים מבוססי-מדיניות עלולים להפריע לתקשורת בין מישור הבקרה של GKE לבין הצמתים. מידע נוסף זמין במאמר שימוש בנתיבים מבוססי-מדיניות ב-GKE.
  • מסלולים מבוססי-מדיניות לא יכולים לנתב מנות לנקודות קצה או לקצה עורפי של Private Service Connect.
  • אפשר להשתמש במסלולים מבוססי-מדיניות רק בחיבורי VLAN שמשתמשים בDataplane v2. כדי לבדוק איזו גרסה של צירוף ל-VLAN מחוברת, אפשר לעיין בהוראות ל-Dedicated Interconnect או ל-Partner Interconnect.

דילוג על נתיבים אחרים שמבוססים על מדיניות

אפשר ליצור נתיב מבוסס-מדיניות שמדלג על נתיבים אחרים מבוססי-מדיניות באמצעות Google Cloud CLI או שליחת בקשת API. ב-CLI של gcloud, משתמשים בדגל --next-hop-other-routes=DEFAULT_ROUTING. בבקשת API, צריך לכלול את "nextHopOtherRoutes": "DEFAULT_ROUTING" בגוף הבקשה.

אם נתיב מבוסס-מדיניות מהסוג הזה תואם למאפיינים של חבילה מסוימת, והוא בעדיפות גבוהה יותר מנתיבים אחרים מבוססי-מדיניות שתואמים לחבילה, Google Cloud המערכת מתעלמת מהנתיבים האחרים מבוססי-המדיניות וממשיכה לשלב היעד הספציפי ביותר בסדר הניתוב של VPC.

לדוגמה, נניח שיש נתיב מבוסס-מדיניות שמשתמש במאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי כנקודת קפיצה הבאה. למסלול מבוסס-המדיניות הזה יש טווח מקור של 0.0.0.0/0 ותג רשת של compute-vm.

כדי לדלג על ההערכה של הנתיב הראשון שמבוסס על מדיניות כשמקורות החבילות תואמים לטווח כתובות IP ספציפי, צריך ליצור נתיב שמבוסס על מדיניות עם עדיפות גבוהה יותר, שמוגדר לדלג על נתיבים אחרים שמבוססים על מדיניות. מגדירים את טווח כתובות ה-IP של המקור עבור הניתוב על סמך מדיניות הזה עם העדיפות הגבוהה יותר לטווח כתובות ה-IP של המקור של המערכות שצריך לדלג על הניתוב על סמך מדיניות.

מכסה

יש מכסה למספר המסלולים מבוססי-המדיניות שאפשר ליצור בפרויקט יחיד. מידע נוסף זמין במאמר בנושא מכסות לכל פרויקט במסמכי התיעוד של VPC.