שימוש בנתיבים שמבוססים על מדיניות
מסלולים מבוססי-מדיניות מאפשרים לכם לבחור את הצעד הבא על סמך יותר מכתובת ה-IP של היעד של החבילה. בדף הזה נסביר איך ליצור, להציג, לתאר ולמחוק מסלולים מבוססי-מדיניות.
לפני שמתחילים
- כדי להשתמש בדוגמאות של שורת הפקודה במדריך הזה, צריך להתקין או לעדכן לגרסה האחרונה של Google Cloud CLI.
- צריך להפעיל את Network Connectivity API בפרויקט.
- צריך מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי. מומלץ להפעיל גישה גלובלית כדי שמאזן העומסים הפנימי להעברת סיגנל ללא שינוי לא יפיל מנות מאזורים אחרים, מלבד האזור שבו הוא מוגדר.
התפקידים הנדרשים
כדי לקבל את ההרשאות שנדרשות לשימוש בנתיבים מבוססי-מדיניות, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM Compute Network Admin (roles/compute.networkAdmin) בפרויקט.
כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
יצירת מסלולים על סמך מדיניות
כשיוצרים מסלול מבוסס-מדיניות, מציינים את הפרטים הבאים:
- היקף המסלול: המשאבים שהמסלול יכול לחול עליהם.
- קריטריוני סיווג: טווחי כתובות ה-IP של המקור, טווחי כתובות ה-IP של היעד והפרוטוקולים שקובעים לאילו חבילות נתונים המסלול חל. ניתוב מבוסס-מדיניות חל על מנות שתואמות לכל הקריטריונים שצוינו לסיווג.
הצעד הבא: מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי או הצעד הבא שמדלג על מסלולים אחרים שמבוססים על מדיניות.
המסוף
במסוף Google Cloud , פותחים את הדף Routes.
לוחצים על ניהול נתיבים.
לוחצים על יצירת מסלול.
מזינים שם למסלול.
אופציונלי: מזינים תיאור.
לוחצים על Network (רשת) ואז בוחרים את הרשת שבה רוצים להוסיף את המסלול מבוסס המדיניות.
לוחצים על סוג המסלול ובוחרים באפשרות מסלול מבוסס-מדיניות.
בוחרים גרסת IP.
בקטע היקף ההרשאות של המסלול, מבצעים אחת מהפעולות הבאות:
כדי שהמסלול יחול על כל המכונות הווירטואליות (VM), על כל חיבורי ה-VLAN ל-Cloud Interconnect ועל כל מנהרות ה-Cloud VPN ברשת הענן הווירטואלי הפרטי, בוחרים באפשרות המסלול הזה חל על כל המכונות הווירטואליות, על כל חיבורי ה-VLAN ועל כל מנהרות ה-VPN.
Google ממליצה לנקוט משנה זהירות כשיוצרים מסלולים מהסוג הזה. המסלול חל על כל מנות הנתונים היוצאות שתואמות לקריטריוני הסיווג, שיכולים לכלול תעבורת נתונים יוצאת מהקצה העורפי של מאזן עומסי הרשת הפנימי להעברת סיגנל ללא שינוי.
כדי שהניתוב יחול רק על מופעי VM מסוימים, בוחרים באפשרות הניתוב הזה חל רק על מופעי VM ומזינים את תגי הרשת של מכונות ה-VM שהניתוב הזה צריך לחול עליהן. אפשר להזין כמה תגי רשת ברשימה מופרדת בפסיקים.
כדי שהנתיב יחול על כל צירופי ה-VLAN ל-Cloud Interconnect ברשת ה-VPC של הנתיב, בוחרים באפשרות הנתיב הזה חל רק על צירופי VLAN.
כדי שהמסלול יחול על צירופים ל-VLAN ב-Cloud Interconnect באזור ספציפי, בוחרים באפשרות המסלול הזה חל רק על צירופים ל-VLAN, ואז בוחרים את האזור של הצירופים ל-VLAN. אי אפשר ליצור מסלול מבוסס-מדיניות שחל על חיבור VLAN ספציפי.
בקטע Classification criteria (קריטריונים לסיווג), מבצעים את הפעולות הבאות:
- מזינים טווח של כתובות IP של מקור.
- מזינים טווח של כתובות IP של היעד.
- לוחצים על פרוטוקול ואז בוחרים את הפרוטוקולים שאליהם המסלול הזה חל.
מזינים עדיפות.
בקטע Next hop (הניתוב הבא), לוחצים על Next hop (הניתוב הבא) ומבצעים את הפעולות הבאות:
כדי לציין מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי כנקודת קפיצה הבאה, בוחרים באפשרות Specify a forwarding rule of the internal passthrough Network Load Balancer (ציון כלל העברה של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי), ואז מבצעים את הפעולות הבאות:
- כדי לבחור כלל העברה מרשימה של כללי העברה קיימים:
- בוחרים באפשרות בשימוש בכלל ההעברה של מאזן עומסים פנימי בפרויקט הנוכחי.
- לוחצים על כתובת ה-IP של כלל ההעברה, ואז בוחרים כתובת IP שמשויכת למאזן עומסים פנימי בפרויקט שנבחר.
כדי להזין כתובת IP:
- בוחרים באפשרות לא בשימוש.
בשדה כתובת ה-IP של כלל ההעברה מזינים כתובת IP, בלי אורך הקידומת. כתובת ה-IP חייבת להגיע מאחד מהמקורות הבאים:
- טווחי כתובות ה-IP של רשת ה-VPC שבה אתם יוצרים את הנתיב מבוסס המדיניות הזה.
- טווח כתובות ה-IP של רשת VPC שמחוברת לרשת ה-VPC של המסלול באמצעות קישור בין רשתות VPC שכנות (peering).
אפשר לציין כתובת IP שכבר משויכת לכלל העברה של מאזן עומסים פנימי מסוג passthrough, או לציין כתובת IP שלא נמצאת בשימוש וליצור את כלל ההעברה אחרי שיוצרים את נתיב מבוסס-המדיניות הזה.
- כדי לבחור כלל העברה מרשימה של כללי העברה קיימים:
כדי ליצור ניתוב על סמך מדיניות שמדלג על ניתובים אחרים על סמך מדיניות, בוחרים באפשרות Skip other policy-based routes (דילוג על ניתובים אחרים על סמך מדיניות).
לוחצים על יצירה.
gcloud
משתמשים בפקודה policy-based-routes create.
כדי להחיל את המסלול על כל המכונות הווירטואליות, על חיבורי VLAN ל-Cloud Interconnect ועל מנהרות Cloud VPN ברשת הענן הווירטואלי הפרטי, משתמשים בפקודה הבאה.
Google ממליצה לנקוט משנה זהירות כשיוצרים מסלולים מהסוג הזה. המסלול חל על כל מנות הנתונים היוצאות שתואמות לקריטריוני הסיווג, שיכולים לכלול תעבורת נתונים יוצאת מהקצה העורפי של מאזן עומסי הרשת הפנימי להעברת סיגנל ללא שינוי.
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE \ --destination-range=DESTINATION_RANGE \ --ip-protocol=PROTOCOL \ --protocol-version=IP_VERSION \ --network="projects/PROJECT_ID/global/networks/NETWORK" \ --next-hop-ilb-ip=NEXT_HOP \ --description=DESCRIPTION \ --priority=PRIORITYמחליפים את מה שכתוב בשדות הבאים:
-
ROUTE_NAME: השם של הניתוב על סמך מדיניות. -
SOURCE_RANGE: טווח CIDR של כתובות ה-IP של המקור. -
DESTINATION_RANGE: טווח ה-CIDR של כתובת ה-IP של היעד. -
PROTOCOL: הפרוטוקול של התנועה להעברה. האפשרויות הןALL, TCPאוUDP. ערך ברירת המחדל הואALL. -
IP_VERSION: גרסה אחת של פרוטוקול אינטרנט שהמסלול הזה חל עליה. צריך לצייןIPv4אוIPv6. ערך ברירת המחדל הואIPv4. -
PROJECT_ID: מזהה הפרויקט -
NETWORK: השם של הרשת שבה רוצים להחיל את המסלול שמבוסס על מדיניות.
NEXT_HOP: כתובת IP אחת, ללא אורך קידומת, למאזן עומסי הרשת הפנימי להעברת סיגנל ללא שינוי של הצעד הבא במסלול. מציינים כתובת IPv4 כצעד הבא לתנועת IPv4, או מציינים כתובת IPv6 לתנועת IPv6. מאזן העומסים צריך להיות באותה רשת VPC כמו הנתיב מבוסס המדיניות, או ברשת VPC שמקושרת לרשת ה-VPC של הנתיב באמצעות קישור בין רשתות VPC שכנות (peering).אם המסלול חל על תנועת IPv6, צריך להגדיר את מאזן העומסים עם רשתות משנה שיש להן טווחי כתובות IPv6.
DESCRIPTION: תיאור אופציונלי של המסלול.
PRIORITY: העדיפות של הניתוב על סמך מדיניות בהשוואה לניתובים אחרים על סמך מדיניות.
-
כדי להחיל את המסלול רק על מכונות וירטואליות מסוימות, משתמשים בפקודה הבאה:
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE \ --destination-range=DESTINATION_RANGE \ --ip-protocol=PROTOCOL \ --protocol-version=IP_VERSION \ --network="projects/PROJECT_ID/global/networks/NETWORK" \ --next-hop-ilb-ip=NEXT_HOP \ --description=DESCRIPTION \ --priority=PRIORITY \ --tags=NETWORK_TAGSמחליפים את
NETWORK_TAGSבתג רשת אחד או יותר של המכונות הווירטואליות שרוצים להחיל עליהן את המסלול. אפשר לכלול כמה תגי רשת ברשימה מופרדת בפסיקים.כדי להחיל את המסלול רק על קבצים מצורפים של VLAN ל-Cloud Interconnect, משתמשים בפקודה הבאה. אפשר להחיל את המסלול על חיבורי VLAN ל-Cloud Interconnect באזור ספציפי או על כל חיבורי ה-VLAN ל-Cloud Interconnect ברשת VPC.
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE \ --destination-range=DESTINATION_RANGE \ --ip-protocol=PROTOCOL \ --protocol-version=IP_VERSION \ --network="projects/PROJECT_ID/global/networks/NETWORK" \ --next-hop-ilb-ip=NEXT_HOP \ --description=DESCRIPTION \ --priority=PRIORITY \ --interconnect-attachment-region=INTERCONNECT_REGIONמחליפים את
INTERCONNECT_REGIONבאזור של חיבורי ה-VLAN ל-Cloud Interconnect כדי להחיל את המסלול. כדי להחיל את הנתיב מבוסס המדיניות על כל חיבורי ה-VLAN ל-Cloud Interconnect ברשת ה-VPC של הנתיב, משתמשים ב-all.כדי לציין מכונת של הצעד הבא שמדלגת על מסלולים אחרים שמבוססים על מדיניות עבור מכונות וירטואליות ספציפיות שמזוהות לפי תגי רשת, משתמשים בפקודה הבאה:
gcloud network-connectivity policy-based-routes create ROUTE_NAME \ --source-range=SOURCE_RANGE \ --destination-range=DESTINATION_RANGE \ --ip-protocol=PROTOCOL \ --protocol-version=IP_VERSION \ --network="projects/PROJECT_ID/global/networks/NETWORK" \ --next-hop-other-routes=DEFAULT_ROUTING \ --description=DESCRIPTION \ --priority=PRIORITY \ --tags=NETWORK_TAGS
API
שליחת בקשת POST ל-method policyBasedRoutes.create:
POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes?policyBasedRouteId=ROUTE_NAME
כדי להחיל את המסלול על כל המכונות הווירטואליות, על חיבורי VLAN ל-Cloud Interconnect ועל מנהרות Cloud VPN ברשת הענן הווירטואלי הפרטי, צריך לכלול את גוף הבקשה הבא.
Google ממליצה לנקוט משנה זהירות כשיוצרים מסלולים מהסוג הזה. המסלול חל על כל מנות הנתונים היוצאות שתואמות לקריטריוני הסיווג, שיכולים לכלול תעבורת נתונים יוצאת מהקצה העורפי של מאזן עומסי הרשת הפנימי להעברת סיגנל ללא שינוי.
{ "filter": { "srcRange": "SOURCE_RANGE", "destRange": "DESTINATION_RANGE", "ipProtocol": "PROTOCOL", "protocolVersion": "IP_VERSION" }, "network": "projects/PROJECT_ID/global/networks/NETWORK", "nextHopIlbIp": "NEXT_HOP", "description": "DESCRIPTION", "priority": "PRIORITY" }מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט -
ROUTE_NAME: השם של הניתוב על סמך מדיניות. -
SOURCE_RANGE: טווח CIDR של כתובות ה-IP של המקור. -
DESTINATION_RANGE: טווח ה-CIDR של כתובת ה-IP של היעד. -
PROTOCOL: הפרוטוקול של התנועה להעברה. האפשרויות הןALL, TCPאוUDP. ערך ברירת המחדל הואALL. -
IP_VERSION: גרסה אחת של פרוטוקול אינטרנט שהמסלול חל עליה. צריך לצייןIPv4אוIPv6. ברירת המחדל היאIPv4. -
NETWORK: השם של הרשת שבה רוצים להחיל את המסלול שמבוסס על מדיניות. המסלול חל על תנועה יוצאת (egress) ממופעים ברשת הזו שעומדים בקריטריונים האחרים לסיווג.
NEXT_HOP: כתובת IP יחידה, ללא אורך קידומת, למאזן עומסי הרשת הפנימי להעברת סיגנל ללא שינוי של הצעד הבא במסלול. מציינים כתובת IPv4 כצעד הבא לתנועת IPv4, או מציינים כתובת IPv6 לתנועת IPv6. מאזן העומסים צריך להיות באותה רשת VPC כמו הנתיב מבוסס המדיניות, או ברשת VPC שמקושרת לרשת ה-VPC של הנתיב באמצעות קישור בין רשתות VPC שכנות (peering).אם המסלול חל על תנועת IPv6, צריך להגדיר את מאזן העומסים עם רשתות משנה שיש להן טווחי כתובות IPv6.
DESCRIPTION: תיאור אופציונלי של המסלול.
PRIORITY: העדיפות של הניתוב על סמך מדיניות בהשוואה לניתובים אחרים על סמך מדיניות.
-
כדי להחיל את המסלול רק על מכונות VM מסוימות, צריך לכלול את גוף הבקשה הבא:
{ "filter": { "srcRange": "SOURCE_RANGE", "destRange": "DESTINATION_RANGE", "ipProtocol": "PROTOCOL", "protocolVersion": "IP_VERSION" }, "network": "projects/PROJECT_ID/global/networks/NETWORK", "nextHopIlbIp": "NEXT_HOP", "description": "DESCRIPTION", "priority": "PRIORITY", "virtualMachine": { "tags": [ "NETWORK_TAGS" ] } }מחליפים את
NETWORK_TAGSבתג רשת אחד או יותר. המסלול שמבוסס על מדיניות חל על תעבורת נתונים יוצאת (egress) ממכונות שיש להן לפחות אחד מהתגים האלה. אפשר לכלול כמה תגים בטופס הבא:"tag1","tag2","tag3".כדי להחיל את המסלול רק על קובצי מצורפים של VLAN ל-Cloud Interconnect, צריך לכלול את גוף הבקשה הבא. אי אפשר ליצור מסלול מבוסס-מדיניות שחל על צירוף ל-VLAN ספציפי.
{ "filter": { "srcRange": "SOURCE_RANGE", "destRange": "DESTINATION_RANGE", "ipProtocol": "PROTOCOL", "protocolVersion": "IP_VERSION" }, "interconnectAttachment": { "region": "INTERCONNECT_REGION" }, "network": "projects/PROJECT_ID/global/networks/NETWORK", "nextHopIlbIp": "NEXT_HOP", "description": "DESCRIPTION", "priority": "PRIORITY" }מחליפים את
INTERCONNECT_REGIONבאזור של חיבורי ה-VLAN ל-Cloud Interconnect כדי להחיל את המסלול הזה. כדי להחיל את המסלול מבוסס המדיניות על כל חיבורי ה-VLAN ל-Cloud Interconnect ברשת ה-VPC של המסלול, משתמשים ב-all.כדי לציין מכונת של הצעד הבא שמדלגת על מסלולים אחרים שמבוססים על מדיניות עבור מכונות וירטואליות ספציפיות שמזוהות לפי תגי רשת, משתמשים בפקודה הבאה:
{ "filter": { "srcRange": "SOURCE_RANGE", "destRange": "DESTINATION_RANGE", "ipProtocol": "PROTOCOL", "protocolVersion": "IP_VERSION" }, "network": "projects/PROJECT_ID/global/networks/NETWORK", "nextHopOtherRoutes": "DEFAULT_ROUTING", "description": "DESCRIPTION", "priority": "PRIORITY", "virtualMachine": { "tags": [ "NETWORK_TAGS" ] } }
אימות הקישוריות של ניתוב על סמך מדיניות
בדיקות קישוריות הן כלי אבחון שמאפשר לבדוק את הקישוריות בין נקודות קצה ברשת. הוא מנתח את ההגדרה ובמקרים מסוימים מבצע אימות בזמן ריצה. בדיקות הקישוריות תומכות בניתוב על סמך מדיניות. כדי להריץ בדיקות קישוריות עם מסלולים מבוססי-מדיניות, אפשר לעיין במאמר בנושא יצירה והרצה של בדיקות קישוריות.
הצגת ניתובים על סמך מדיניות
אפשר לכלול ברשימה מסלולים מבוססי-מדיניות כדי לראות את כל המסלולים מבוססי-המדיניות בפרויקט, ברשת או באזור.
המסוף
במסוף Google Cloud , פותחים את הדף Routes.
כדי לראות את כל המסלולים שמבוססים על מדיניות ברשת VPC ובאזור:
- לוחצים על מסלולים יעילים.
- לוחצים על רשת ובוחרים רשת.
- לוחצים על אזור ובוחרים אזור.
- לוחצים על תצוגה.
כדי לראות את כל המסלולים מבוססי המדיניות בפרויקט:
- לוחצים על ניהול נתיבים.
gcloud
משתמשים בפקודה policy-based-routes list.
gcloud network-connectivity policy-based-routes list
API
שולחים בקשת GET ל-method policyBasedRoutes.list.
GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes
מחליפים את PROJECT_ID במזהה הפרויקט שבו רוצים להציג את המסלולים שמבוססים על מדיניות.
תיאור של מסלולים שמבוססים על מדיניות
אתם יכולים לתאר מסלול שמבוסס על מדיניות כדי לראות פרטים על המסלול.
המסוף
במסוף Google Cloud , פותחים את הדף Routes.
לוחצים על מסלולים פעילים.
לוחצים על רשת ובוחרים רשת.
לוחצים על אזור ובוחרים אזור.
לוחצים על תצוגה.
כדי לראות את הפרטים של נתיב מבוסס-מדיניות, לוחצים על השם שלו.
gcloud
כדי לתאר נתיב מבוסס-מדיניות, משתמשים בפקודה policy-based-routes describe.
gcloud network-connectivity policy-based-routes describe NAME
מחליפים את NAME בשם של המסלול שרוצים לתאר.
API
שולחים בקשת GET ל-method policyBasedRoutes.get.
GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes/ROUTE_NAME
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט -
ROUTE_NAME: השם של הניתוב מבוסס-המדיניות שרוצים לתאר.
מחיקת מסלולים שמבוססים על מדיניות
אפשר למחוק מסלול מבוסס-מדיניות כדי להסיר אותו מרשת VPC.
המסוף
במסוף Google Cloud , פותחים את הדף Routes.
לוחצים על מסלולים פעילים.
לוחצים על רשת ובוחרים רשת.
לוחצים על אזור ובוחרים אזור.
לוחצים על תצוגה.
לוחצים על השם של נתיב מבוסס-מדיניות.
לוחצים על מחיקה ואז שוב על מחיקה כדי לאשר.
gcloud
כדי למחוק מסלול מבוסס-מדיניות, משתמשים בפקודה policy-based-routes delete.
gcloud network-connectivity policy-based-routes delete NAME
מחליפים את NAME בשם של המסלול שרוצים למחוק.
API
שולחים בקשת DELETE ל-method policyBasedRoutes.delete.
DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes/ROUTE_NAME
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט -
ROUTE_NAME: השם של ניתוב מבוסס-מדיניות למחיקה.
תאימות
כדי להשתמש בנתיבים מבוססי-מדיניות בדרכים הבאות, צריך לבצע הגדרה מיוחדת.
שימוש במסלולים מבוססי-מדיניות ב-GKE
אם יוצרים מסלולים מבוססי-מדיניות ברשתות VPC שיש בהן אשכולות Google Kubernetes Engine (GKE), חשוב לזכור את הנקודות הבאות:
- אל תיצרו נתיבים מבוססי-מדיניות שהיעדים שלהם כוללים כתובות IP של צומת או של Pod באשכול.
- אל תיצרו מסלולים מבוססי-מדיניות שהיעדים שלהם כוללים נקודות קצה פרטיות של מישור הבקרה של האשכול.
- בחלק מאשכולות Google Kubernetes Engine (GKE) הציבוריים יש נקודות קצה פרטיות של Private Service Connect במישור הבקרה. באשכולות האלה, כברירת מחדל, GKE יוצר את נקודת הקצה הפרטית של מישור הבקרה Private Service Connect בטווח הכתובות הראשי של IPv4 של תת-הרשת של האשכול. כדי לבחור טווח מותאם אישית של תת-רשת (של תת-רשת באותו אזור) עבור נקודת הקצה הפרטית של מישור הבקרה של Private Service Connect, אפשר לעיין במאמר בנושא יצירת אשכול ובחירת טווח כתובות ה-IP של מישור הבקרה.
- כשיוצרים אשכול GKE פרטי, מציינים טווח כתובות IP לנקודת הקצה הפרטית של מישור הבקרה (
--master-ipv4-cidr). חשוב לוודא שלא יוצרים ניתוב מבוסס-מדיניות שהיעד שלו כולל את הטווח הזה. מידע נוסף זמין במאמר בנושא נקודות קצה (endpoint) באשכולות פרטיים.
מסלולים מבוססי-מדיניות ו-Private Service Connect לשירותים שפורסמו
לא ניתן להשתמש בנתיבים מבוססי-מדיניות כדי לנתב תנועה אל נקודות קצה של Private Service Connect לשירותים שפורסמו או אל שרתי קצה עורפיים של Private Service Connect לשירותים שפורסמו. כשמשתמשים בנתיבים מבוססי-מדיניות וב-Private Service Connect לשירותים שפורסמו:
- משתמשים בתגי רשת כדי שהנתיבים מבוססי-המדיניות יחולו על מכונות וירטואליות ספציפיות.
- מומלץ להימנע מיצירת מסלולים מבוססי-מדיניות עם טווחי כתובות IP של מקור או יעד של
0.0.0.0/0. - אם אתם צריכים ליצור נתיב מבוסס-מדיניות עם טווח יעד שכולל את כתובת ה-IP של נקודת קצה (endpoint) או של קצה עורפי של Private Service Connect, אתם צריכים ליצור נתיב מבוסס-מדיניות עם עדיפות גבוהה יותר שמדלג על נתיבים אחרים מבוססי-מדיניות. מגדירים את היעד של המסלול שמבוסס על מדיניות עם עדיפות גבוהה יותר, עם טווח כתובות IP ספציפי יותר שכולל את כתובת ה-IP של נקודת הקצה או הקצה העורפי של Private Service Connect.
מסלולים מבוססי-מדיניות וגישה לממשקי API ולשירותים של Google
Google Cloud לא תומך בניתוב תעבורה אל Google APIs ושירותים של Google דרך מופעים אחרים של מכונות וירטואליות או קפיצות מותאמות אישית – כולל אל קצה העורף של מכונות וירטואליות של מאזני עומסים פנימיים של העברת נתונים דרך קפיצות מותאמות אישית ברשת בניתוב מבוסס-מדיניות.
אם אתם משתמשים באחת מהדרכים הבאות כדי לגשת לממשקי ה-API ולשירותים של Google, כדאי לעיין בשיטות המומלצות שמפורטות בקטע הבא:
- שימוש בגישה פרטית ל-Google כדי לגשת לממשקי API ולשירותים של Google
- גישה לממשקי API ולשירותים של Google ממכונות וירטואליות עם כתובות IP חיצוניות
- שימוש בנקודות קצה של Private Service Connect ל-Google APIs
- שימוש בבק-אנדים של Private Service Connect ל-Google APIs
שיטות מומלצות
מומלץ לפעול לפי השיטות המומלצות הבאות כשניגשים לממשקי Google API ולשירותים של Google בדרכים שצוינו למעלה:
- משתמשים בתגי רשת כדי שהנתיבים מבוססי-המדיניות יחולו על מכונות וירטואליות ספציפיות.
- לא מומלץ ליצור מסלולים מבוססי-מדיניות עם טווחי מקור או יעד של
0.0.0.0/0. - אם יוצרים נתיבים מבוססי-מדיניות שכוללים טווחי יעד שמשמשים את Google APIs ושירותים של Google, נקודות קצה של Private Service Connect ל-Google APIs או עורפי קצה של Private Service Connect ל-APIs, צריך ליצור נתיבים מבוססי-מדיניות עם עדיפות גבוהה יותר שמדלגים על נתיבים אחרים מבוססי-מדיניות.
צריך להגדיר את היעדים של המסלולים האלה שמבוססים על מדיניות עם עדיפות גבוהה יותר כך שיתאימו לכתובות ה-IP של ממשקי Google APIs והשירותים, לנקודות הקצה של Private Service Connect או לבק-אנדים של Private Service Connect שבהם אתם משתמשים. טווחי כתובות ה-IP שבהם נעשה שימוש ב-Google APIs ובשירותים של Google כוללים את הכתובות הבאות:
- כתובות ה-IP של הדומיינים שמוגדרים כברירת מחדל שמשמשים את השירותים ואת Google APIs
- כתובות ה-IP הווירטואליות (VIP) של גישה פרטית ל-Google:
private.googleapis.com(199.36.153.8/30)restricted.googleapis.com(199.36.153.4/30)