Esta página foi traduzida pela API Cloud Translation.

Rotas com base em políticas

Neste documento, apresentamos uma visão geral do roteamento com base em políticas.

Rotas com base na política permitem a seleção de um próximo salto baseado em mais do que o endereço IP de destino de um pacote. Também é possível corresponder o tráfego por protocolo e endereço IP de origem. O tráfego correspondente é redirecionado para um balanceador de carga de rede de passagem interna. Isso pode ajudar você a inserir dispositivos, como firewalls, no caminho de tráfego de rede.

Especificações

Ao criar uma rota com base em política, você seleciona a quais recursos ela se aplica. A rota pode ser aplicada a:
- Todas as instâncias de VM, anexos da VLAN do Cloud Interconnect e túneis do Cloud VPN que estão na mesma rede VPC da rota
- Somente instâncias de VM que estão na mesma rede VPC da rota e são identificadas por tags de rede.
- Somente anexos da VLAN que estão em uma região específica da mesma rede VPC da rota. Não é possível criar uma rota com base em políticas que se aplique apenas a um único anexo da VLAN ou túnel do Cloud VPN
O próximo salto de uma rota com base em políticas precisa ser um Balanceador de carga de rede de passagem interna. O balanceador de carga de rede de passagem interna precisa estar na mesma rede VPC que a rota com base em políticas ou em uma rede VPC conectada à rede VPC da rota pelo Peering de rede VPC.
As instâncias de VM de back-end do balanceador de carga de rede de passagem interna de próximo salto precisam ter o encaminhamento de IP ativado.
As rotas com base em políticas são avaliadas antes das rotas de sub-rede, estáticas e dinâmicas, mas depois dos caminhos de roteamento especiais. Para mais informações, consulte a etapa Rotas com base na política na ordem de roteamento.
Se duas ou mais rotas com base na política tiverem a mesma prioridade e as características de um pacote corresponderem a pelo menos duas dessas rotas, o Google Cloudselecionará uma única rota com base na política usando um algoritmo interno. A rota com base em política selecionada pode não ser a correspondência mais específica para as características do pacote porque essas rotas não usam a correspondência de prefixo mais longo. Verifique se todas as rotas com base em políticas na mesma rede VPC têm prioridades exclusivas.
Uma rota com base em políticas pode ser aplicada ao tráfego IPv4 ou IPv6.
É possível criar uma única regra para o tráfego unidirecional ou várias regras para lidar com o tráfego bidirecional.

Limitações

As rotas com base em políticas não são trocadas entre redes VPC que estão conectados por peering de rede VPC.
Rotas com base em políticas não são trocadas entre Spokes e hubs do Network Connectivity Center.
As rotas com base na política não aceitam tráfego correspondente baseado na porta.
Não é possível atualizar uma rota com base na política depois que ela é criada. Se você quiser atualizar uma rota, exclua-a e crie uma nova.
A regra de encaminhamento do balanceador de carga de rede interno de passagem precisa ter um endereço IP dedicado que não seja usado por nenhum outro balanceador de carga de rede interno de passagem. Não é possível usar um endereço IP compartilhado (finalidade do endereço IP definida como SHARED_LOADBALANCER_VIP).
Rotas baseadas em políticas podem interferir na comunicação entre o plano de controle do GKE e os nós. Para mais informações, consulte Usar rotas baseadas em políticas com o GKE.
As rotas com base em políticas não podem rotear pacotes para endpoints ou back-ends do Private Service Connect.
- Para informações sobre como usar rotas baseadas em políticas em redes VPC com endpoints ou back-ends que acessam serviços publicados, consulte Rotas baseadas em políticas e Private Service Connect para serviços publicados.
- Para informações sobre como usar rotas baseadas em políticas em redes VPC com endpoints ou back-ends que acessam APIs e serviços do Google, consulte Rotas baseadas em políticas e acesso a APIs e serviços do Google.
Somente anexos da VLAN que usam o Dataplane v2 podem usar rotas baseadas em políticas. Para inspecionar o anexo da VLAN e verificar qual versão ele usa, consulte as instruções da Interconexão dedicada ou da Interconexão por parceiro.

Ignorar outras rotas com base em políticas

É possível criar uma rota com base em políticas que pule outras rotas com base em políticas usando a CLI do Google Cloud ou enviando uma solicitação de API. Para a gcloud CLI, use a flag --next-hop-other-routes=DEFAULT_ROUTING. Para solicitações de API, inclua "nextHopOtherRoutes": "DEFAULT_ROUTING" no corpo da solicitação.

Se uma rota com base em políticas desse tipo corresponder às características de um pacote e tiver uma prioridade mais alta do que outras rotas com base em políticas correspondentes,o Google Cloud vai ignorar as outras rotas com base em políticas e prosseguir para a etapa de destino mais específico da ordem de roteamento da VPC.

Por exemplo, considere uma rota com base em políticas que usa um balanceador de carga de rede de passagem interna de próximo salto. Essa rota com base em políticas tem um intervalo de origem de 0.0.0.0/0 e uma tag de rede de compute-vm.

Para pular a avaliação da primeira rota com base em políticas quando as origens de pacotes corresponderem a um intervalo de endereços IP específico, crie uma rota com base em políticas de prioridade mais alta configurada para ignorar outras rotas com base em políticas. Defina o intervalo de endereços IP de origem para essa rota com base em políticas de prioridade mais alta para o intervalo de endereços IP de origem dos sistemas que precisam pular o roteamento com base em políticas.

Cota

Há um limite de quantas rotas com base na política podem ser criadas em um único projeto. Para mais informações, consulte as cotas por projeto na documentação da VPC.