שימוש בנתיבים שמבוססים על מדיניות

מסלולים מבוססי-מדיניות מאפשרים לכם לבחור את הניתוב הבא על סמך יותר מכתובת ה-IP של היעד של החבילה. בדף הזה מוסבר איך ליצור, להציג, לתאר ולמחוק מסלולים מבוססי-מדיניות.

לפני שמתחילים

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות לשימוש בנתיבים מבוססי-מדיניות, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין של רשת Compute (roles/compute.networkAdmin) בפרויקט. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת מסלולים מבוססי-מדיניות

כשיוצרים מסלול מבוסס-מדיניות, מציינים את הפרטים הבאים:

  • היקף המסלול: המשאבים שהמסלול יכול לחול עליהם.
  • קריטריוני סיווג: טווחי כתובות ה-IP של המקור, טווחי כתובות ה-IP של היעד והפרוטוקולים שקובעים לאילו חבילות נתונים המסלול חל. הניתוב מבוסס-המדיניות חל על מנות שתואמות לכל הקריטריונים שצוינו לסיווג.

  • הצעד הבא: מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי או הצעד הבא מדלג על נתיבים אחרים שמבוססים על מדיניות.

המסוף

  1. במסוף Google Cloud , פותחים את הדף Routes.

    לדף Routes

  2. לוחצים על ניהול נתיבים.

  3. לוחצים על יצירת מסלול.

  4. מזינים שם לנתיב.

  5. אופציונלי: מזינים תיאור.

  6. לוחצים על Network (רשת) ואז בוחרים את הרשת שבה רוצים להוסיף את המסלול מבוסס המדיניות.

  7. לוחצים על סוג המסלול ובוחרים באפשרות מסלול מבוסס-מדיניות.

  8. בוחרים גרסת IP.

  9. בקטע היקף המסלול, מבצעים אחת מהפעולות הבאות:

    • כדי שהמסלול יחול על כל המכונות הווירטואליות, על חיבורי ה-VLAN ל-Cloud Interconnect ועל מנהרות Cloud VPN ברשת הענן הווירטואלי הפרטי, בוחרים באפשרות המסלול הזה חל על כל המכונות הווירטואליות, על חיבורי ה-VLAN ועל מנהרות ה-VPN.

      ‫Google ממליצה לנקוט משנה זהירות כשיוצרים מסלולים מהסוג הזה. המסלול חל על כל מנות הנתונים היוצאות שתואמות לקריטריוני הסיווג, שיכולים לכלול תעבורת נתונים יוצאת מהקצה העורפי של מאזן העומסים הפנימי של הרשת להעברת סיגנל ללא שינוי.

    • כדי שהמסלול יחול רק על מופעים מסוימים של מכונות וירטואליות, בוחרים באפשרות המסלול הזה חל רק על מופעים של מכונות וירטואליות, ואז מזינים את תגי הרשת של המכונות הווירטואליות שהמסלול הזה צריך לחול עליהן. אפשר להזין כמה תגי רשת ברשימה מופרדת בפסיקים.

    • כדי שהמסלול יחול על כל חיבורי ה-VLAN ל-Cloud Interconnect ברשת ה-VPC של המסלול, בוחרים באפשרות המסלול הזה חל רק על חיבורי VLAN.

    • כדי שהמסלול יחול על צירופים ל-VLAN ב-Cloud Interconnect באזור ספציפי, בוחרים באפשרות המסלול הזה חל רק על צירופים ל-VLAN, ואז בוחרים את האזור של הצירופים ל-VLAN. אי אפשר ליצור מסלול מבוסס-מדיניות שחל על חיבור VLAN ספציפי.

  10. בקטע Classification criteria (קריטריונים לסיווג), מבצעים את הפעולות הבאות:

    1. מזינים טווח של כתובות IP של מקור.
    2. מזינים טווח של כתובות IP של היעד.
    3. לוחצים על פרוטוקול ואז בוחרים את הפרוטוקולים שאליהם המסלול הזה חל.

  11. מזינים עדיפות.

  12. בקטע Next hop (הניתוב הבא), לוחצים על Next hop (הניתוב הבא) ומבצעים את הפעולות הבאות:

    • כדי לציין מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי כנקודת קפיצה הבאה, בוחרים באפשרות Specify a forwarding rule of the internal passthrough Network Load Balancer (ציון כלל העברה של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי), ואז מבצעים את הפעולות הבאות:

      • כדי לבחור כלל העברה מרשימה של כללי העברה קיימים:
        1. בוחרים באפשרות בשימוש בכלל ההעברה של מאזן עומסים פנימי בפרויקט הנוכחי.
        2. לוחצים על כתובת ה-IP של כלל ההעברה, ואז בוחרים כתובת IP שמשויכת למאזן עומסים פנימי בפרויקט שנבחר.

      • כדי להזין כתובת IP:

        1. בוחרים באפשרות לא בשימוש.

        2. בשדה כתובת ה-IP של כלל ההעברה מזינים כתובת IP, בלי אורך הקידומת. כתובת ה-IP חייבת להגיע מאחד מהמקורות הבאים:

          • טווחי כתובות ה-IP של רשת ה-VPC שבה אתם יוצרים את הנתיב מבוסס המדיניות הזה.
          • טווח כתובות ה-IP של רשת VPC שמחוברת לרשת ה-VPC של המסלול באמצעות קישור בין רשתות VPC שכנות (peering).

        אפשר לציין כתובת IP שכבר משויכת לכלל העברה של מאזן עומסים פנימי מסוג passthrough, או לציין כתובת IP שלא נמצאת בשימוש וליצור את כלל ההעברה אחרי שיוצרים את נתיב מבוסס-המדיניות הזה.

    • כדי ליצור נתיב מבוסס-מדיניות שמדלג על נתיבים אחרים מבוססי-מדיניות, בוחרים באפשרות Skip other policy-based routes.

  13. לוחצים על יצירה.

gcloud

משתמשים בפקודה policy-based-routes create.

  • כדי להחיל את המסלול על כל מכונות ה-VM, על חיבורי VLAN ל-Cloud Interconnect ועל מנהרות Cloud VPN ברשת הענן הווירטואלי הפרטי, משתמשים בפקודה הבאה.

    ‫Google ממליצה לנקוט משנה זהירות כשיוצרים מסלולים מהסוג הזה. המסלול חל על כל מנות הנתונים היוצאות שתואמות לקריטריוני הסיווג, שיכולים לכלול תעבורת נתונים יוצאת מהקצה העורפי של מאזן העומסים הפנימי של הרשת להעברת סיגנל ללא שינוי.

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
    --source-range=SOURCE_RANGE \
    --destination-range=DESTINATION_RANGE \
    --ip-protocol=PROTOCOL \
    --protocol-version=IP_VERSION \
    --network="projects/PROJECT_ID/global/networks/NETWORK" \
    --next-hop-ilb-ip=NEXT_HOP \
    --description=DESCRIPTION \
    --priority=PRIORITY

    מחליפים את מה שכתוב בשדות הבאים:

    • ROUTE_NAME: השם של הניתוב על סמך מדיניות.
    • SOURCE_RANGE: טווח ה-CIDR של כתובת ה-IP של המקור.
    • DESTINATION_RANGE: טווח ה-CIDR של כתובת ה-IP של היעד.
    • PROTOCOL: הפרוטוקול של התנועה להעברה. האפשרויות הן ALL, ‏TCP או UDP. ערך ברירת המחדל הוא ALL.
    • IP_VERSION: גרסה אחת של פרוטוקול האינטרנט שהמסלול הזה חל עליה. צריך לציין IPv4 או IPv6. ערך ברירת המחדל הוא IPv4.
    • PROJECT_ID: מזהה הפרויקט
    • NETWORK: השם של הרשת שאליה רוצים להחיל את הניתוב שמבוסס על מדיניות.

    • NEXT_HOP: כתובת IP יחידה, ללא אורך קידומת, למאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי של הניתוב. מציינים כתובת IPv4 כנקודת מעבר לתנועת IPv4, או מציינים כתובת IPv6 לתנועת IPv6. מאזן העומסים צריך להיות באותה רשת VPC כמו הנתיב מבוסס המדיניות, או ברשת VPC שמקושרת לרשת ה-VPC של הנתיב באמצעות קישור בין רשתות VPC שכנות (peering).

      אם המסלול חל על תנועת IPv6, צריך להגדיר את מאזן העומסים עם רשתות משנה שיש להן טווחי כתובות IPv6.

    • DESCRIPTION: תיאור אופציונלי של המסלול.

    • PRIORITY: העדיפות של הניתוב על סמך מדיניות בהשוואה לניתובים אחרים על סמך מדיניות.

  • כדי להחיל את המסלול רק על מכונות וירטואליות מסוימות, משתמשים בפקודה הבאה:

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
    --source-range=SOURCE_RANGE \
    --destination-range=DESTINATION_RANGE \
    --ip-protocol=PROTOCOL \
    --protocol-version=IP_VERSION \
    --network="projects/PROJECT_ID/global/networks/NETWORK" \
    --next-hop-ilb-ip=NEXT_HOP \
    --description=DESCRIPTION \
    --priority=PRIORITY \
    --tags=NETWORK_TAGS

    מחליפים את NETWORK_TAGS בתג רשת אחד או יותר של המכונות הווירטואליות שרוצים להחיל עליהן את המסלול. אפשר לכלול כמה תגי רשת ברשימה מופרדת בפסיקים.

  • כדי להחיל את המסלול רק על קובצי VLAN מצורפים ל-Cloud Interconnect, משתמשים בפקודה הבאה. אפשר להחיל את המסלול על קבצים מצורפים של VLAN ל-Cloud Interconnect באזור ספציפי, או על כל הקבצים המצורפים של VLAN ל-Cloud Interconnect ברשת VPC.

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
    --source-range=SOURCE_RANGE \
    --destination-range=DESTINATION_RANGE \
    --ip-protocol=PROTOCOL \
    --protocol-version=IP_VERSION \
    --network="projects/PROJECT_ID/global/networks/NETWORK" \
    --next-hop-ilb-ip=NEXT_HOP \
    --description=DESCRIPTION \
    --priority=PRIORITY \
    --interconnect-attachment-region=INTERCONNECT_REGION

    מחליפים את INTERCONNECT_REGION באזור של חיבורי ה-VLAN ל-Cloud Interconnect כדי להחיל את המסלול. כדי להחיל את המסלול מבוסס המדיניות על כל חיבורי ה-VLAN ל-Cloud Interconnect ברשת ה-VPC של המסלול, משתמשים ב-all.

  • כדי לציין קפיצה הבאה שמדלגת על מסלולים אחרים שמבוססים על מדיניות עבור מכונות וירטואליות ספציפיות שמזוהות באמצעות תגי רשת, משתמשים בפקודה הבאה:

    gcloud network-connectivity policy-based-routes create ROUTE_NAME \
    --source-range=SOURCE_RANGE \
    --destination-range=DESTINATION_RANGE \
    --ip-protocol=PROTOCOL \
    --protocol-version=IP_VERSION \
    --network="projects/PROJECT_ID/global/networks/NETWORK" \
    --next-hop-other-routes=DEFAULT_ROUTING \
    --description=DESCRIPTION \
    --priority=PRIORITY \
    --tags=NETWORK_TAGS

API

שליחת בקשת POST ל-method‏ policyBasedRoutes.create:

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes?policyBasedRouteId=ROUTE_NAME

  • כדי להחיל את המסלול על כל המכונות הווירטואליות, על חיבורי VLAN ל-Cloud Interconnect ועל מנהרות Cloud VPN ברשת הענן הווירטואלי הפרטי, צריך לכלול את גוף הבקשה הבא.

    ‫Google ממליצה לנקוט משנה זהירות כשיוצרים מסלולים מהסוג הזה. המסלול חל על כל מנות הנתונים היוצאות שתואמות לקריטריוני הסיווג, שיכולים לכלול תעבורת נתונים יוצאת מהקצה העורפי של מאזן העומסים הפנימי של הרשת להעברת סיגנל ללא שינוי.

    {
  "filter": {
    "srcRange": "SOURCE_RANGE",
    "destRange": "DESTINATION_RANGE",
    "ipProtocol": "PROTOCOL",
    "protocolVersion": "IP_VERSION"
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "nextHopIlbIp": "NEXT_HOP",
  "description": "DESCRIPTION",
  "priority": "PRIORITY"
}

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט
    • ROUTE_NAME: השם של הניתוב על סמך מדיניות.
    • SOURCE_RANGE: טווח ה-CIDR של כתובת ה-IP של המקור.
    • DESTINATION_RANGE: טווח ה-CIDR של כתובת ה-IP של היעד.
    • PROTOCOL: הפרוטוקול של התנועה להעברה. האפשרויות הן ALL, ‏TCP או UDP. ערך ברירת המחדל הוא ALL.
    • IP_VERSION: גרסה אחת של פרוטוקול אינטרנט שהמסלול חל עליה. צריך לציין IPv4 או IPv6. ברירת המחדל היא IPv4.
    • NETWORK: השם של הרשת שאליה רוצים להחיל את הניתוב שמבוסס על מדיניות. המסלול חל על תעבורת נתונים יוצאת (egress) ממופעים ברשת הזו שעומדים בקריטריונים האחרים לסיווג.

    • NEXT_HOP: כתובת IP יחידה, ללא אורך קידומת, למאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי של הניתוב. מציינים כתובת IPv4 כנקודת מעבר לתנועת IPv4, או מציינים כתובת IPv6 לתנועת IPv6. מאזן העומסים צריך להיות באותה רשת VPC כמו הנתיב מבוסס המדיניות, או ברשת VPC שמקושרת לרשת ה-VPC של הנתיב באמצעות קישור בין רשתות VPC שכנות (peering).

      אם המסלול חל על תנועת IPv6, צריך להגדיר את מאזן העומסים עם רשתות משנה שיש להן טווחי כתובות IPv6.

    • DESCRIPTION: תיאור אופציונלי של המסלול.

    • PRIORITY: העדיפות של הניתוב על סמך מדיניות בהשוואה לניתובים אחרים על סמך מדיניות.

  • כדי להחיל את המסלול רק על מכונות VM מסוימות, צריך לכלול את גוף הבקשה הבא:

    {
  "filter": {
    "srcRange": "SOURCE_RANGE",
    "destRange": "DESTINATION_RANGE",
    "ipProtocol": "PROTOCOL",
    "protocolVersion": "IP_VERSION"
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "nextHopIlbIp": "NEXT_HOP",
  "description": "DESCRIPTION",
  "priority": "PRIORITY",
  "virtualMachine": {
    "tags": [
      "NETWORK_TAGS"
    ]
  }
}

    מחליפים את NETWORK_TAGS בתג רשת אחד או יותר. הניתוב שמבוסס על מדיניות חל על תנועת יציאה ממופעים שיש להם לפחות אחד מהתגים האלה. אפשר לכלול כמה תגים בטופס הבא: "tag1","tag2","tag3".

  • כדי להחיל את המסלול רק על קובצי מצורפים של VLAN ל-Cloud Interconnect, צריך לכלול את גוף הבקשה הבא. אי אפשר ליצור מסלול מבוסס-מדיניות שחל על חיבור VLAN ספציפי.

    {
  "filter": {
    "srcRange": "SOURCE_RANGE",
    "destRange": "DESTINATION_RANGE",
    "ipProtocol": "PROTOCOL",
    "protocolVersion": "IP_VERSION"
  },
  "interconnectAttachment": {
    "region": "INTERCONNECT_REGION"
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "nextHopIlbIp": "NEXT_HOP",
  "description": "DESCRIPTION",
  "priority": "PRIORITY"
}

    מחליפים את INTERCONNECT_REGION באזור של חיבורי ה-VLAN ל-Cloud Interconnect כדי להחיל את המסלול הזה. כדי להחיל את המסלול מבוסס המדיניות על כל חיבורי ה-VLAN ל-Cloud Interconnect ברשת ה-VPC של המסלול, משתמשים ב-all.

  • כדי לציין קפיצה הבאה שמדלגת על מסלולים אחרים שמבוססים על מדיניות עבור מכונות וירטואליות ספציפיות שמזוהות באמצעות תגי רשת, משתמשים בפקודה הבאה:

    {
  "filter": {
    "srcRange": "SOURCE_RANGE",
    "destRange": "DESTINATION_RANGE",
    "ipProtocol": "PROTOCOL",
    "protocolVersion": "IP_VERSION"
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "nextHopOtherRoutes": "DEFAULT_ROUTING",
  "description": "DESCRIPTION",
  "priority": "PRIORITY",
  "virtualMachine": {
    "tags": [
      "NETWORK_TAGS"
    ]
  }
}

אימות הקישוריות של ניתוב על סמך מדיניות

בדיקות קישוריות הוא כלי אבחון שמאפשר לבדוק את הקישוריות בין נקודות קצה ברשת. הוא מנתח את ההגדרה שלכם, ובמקרים מסוימים מבצע אימות בזמן ריצה. בדיקות הקישוריות תומכות בניתוב על סמך מדיניות. כדי להריץ בדיקות קישוריות עם מסלולים מבוססי-מדיניות, אפשר לעיין במאמר בנושא יצירה והרצה של בדיקות קישוריות.

הצגת מסלולים מבוססי-מדיניות

אפשר להציג רשימה של מסלולים מבוססי-מדיניות כדי לראות את כל המסלולים מבוססי-מדיניות בפרויקט, ברשת או באזור.

המסוף

  1. במסוף Google Cloud , פותחים את הדף Routes.

    לדף Routes

    • כדי לראות את כל המסלולים שמבוססים על מדיניות ברשת VPC ובאזור:

      1. לוחצים על מסלולים יעילים.
      2. לוחצים על רשת ובוחרים רשת.
      3. לוחצים על אזור ובוחרים אזור.
      4. לוחצים על תצוגה.

    • כדי לראות את כל המסלולים שמבוססים על מדיניות בפרויקט:

      1. לוחצים על ניהול נתיבים.

gcloud

משתמשים בפקודה policy-based-routes list.

gcloud network-connectivity policy-based-routes list

API

שולחים בקשת GET ל-method‏ policyBasedRoutes.list.

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes

מחליפים את PROJECT_ID במזהה הפרויקט שרוצים להציג בו את המסלולים שמבוססים על מדיניות.

תיאור של מסלולים שמבוססים על מדיניות

אפשר לתאר מסלול מבוסס-מדיניות כדי לראות פרטים על המסלול.

המסוף

  1. במסוף Google Cloud , פותחים את הדף Routes.

    לדף Routes

  2. לוחצים על מסלולים יעילים.

  3. לוחצים על רשת ובוחרים רשת.

  4. לוחצים על אזור ובוחרים אזור.

  5. לוחצים על תצוגה.

  6. כדי לראות את הפרטים של נתיב מבוסס-מדיניות, לוחצים על השם שלו.

gcloud

כדי לתאר נתיב מבוסס-מדיניות, משתמשים בפקודה policy-based-routes describe.

gcloud network-connectivity policy-based-routes describe NAME

מחליפים את NAME בשם של המסלול שרוצים לתאר.

API

שולחים בקשת GET ל-method‏ policyBasedRoutes.get.

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes/ROUTE_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט
  • ROUTE_NAME: השם של ניתוב מבוסס-מדיניות שרוצים לתאר.

מחיקת מסלולים שמבוססים על מדיניות

אפשר למחוק מסלול מבוסס-מדיניות כדי להסיר אותו מרשת VPC.

המסוף

  1. במסוף Google Cloud , פותחים את הדף Routes.

    לדף Routes

  2. לוחצים על מסלולים יעילים.

  3. לוחצים על רשת ובוחרים רשת.

  4. לוחצים על אזור ובוחרים אזור.

  5. לוחצים על תצוגה.

  6. לוחצים על השם של נתיב מבוסס-מדיניות.

  7. לוחצים על מחיקה ואז שוב על מחיקה כדי לאשר.

gcloud

כדי למחוק מסלול מבוסס-מדיניות, משתמשים בפקודה policy-based-routes delete.

gcloud network-connectivity policy-based-routes delete NAME

מחליפים את NAME בשם של המסלול שרוצים למחוק.

API

שולחים בקשת DELETE ל-method‏ policyBasedRoutes.delete.

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes/ROUTE_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט
  • ROUTE_NAME: השם של ניתוב מבוסס-מדיניות למחיקה.

תאימות

כדי להשתמש בנתיבים מבוססי-מדיניות בדרכים הבאות, צריך לבצע הגדרה מיוחדת.

שימוש במסלולים מבוססי-מדיניות ב-GKE

אם יוצרים מסלולי ניתוב מבוססי-מדיניות ברשתות VPC שיש בהן אשכולות Google Kubernetes Engine ‏ (GKE), חשוב לזכור את הנקודות הבאות:

מסלולים מבוססי-מדיניות ו-Private Service Connect לשירותים שפורסמו

אי אפשר להשתמש בנתיבים מבוססי-מדיניות כדי להפנות תנועה אל נקודות קצה של Private Service Connect לשירותים שפורסמו או אל שרתי קצה עורפיים של Private Service Connect לשירותים שפורסמו. כשמשתמשים בנתיבים מבוססי-מדיניות וב-Private Service Connect לשירותים שפורסמו:

  • משתמשים בתגי רשת כדי שניתוב מבוסס-מדיניות יחול על מכונות וירטואליות ספציפיות.
  • מומלץ להימנע מיצירת מסלולים מבוססי-מדיניות עם טווחי כתובות IP של מקור או יעד של 0.0.0.0/0.
  • אם אתם צריכים ליצור נתיב מבוסס-מדיניות עם טווח יעד שכולל את כתובת ה-IP של נקודת קצה (endpoint) או של קצה עורפי של Private Service Connect, אתם צריכים ליצור נתיב מבוסס-מדיניות עם עדיפות גבוהה יותר שמדלג על נתיבים אחרים מבוססי-מדיניות. מגדירים את היעד של המסלול שמבוסס על מדיניות עם עדיפות גבוהה יותר, עם טווח כתובות IP ספציפי יותר שכולל את כתובת ה-IP של נקודת הקצה או הקצה העורפי של Private Service Connect.

מסלולים מבוססי-מדיניות וגישה לממשקי API ולשירותים של Google

Google Cloud לא תומך בהפניית תעבורה אל Google APIs ושירותים דרך מופעי VM אחרים או הצעדים הבאים המותאמים אישית – כולל אל בק-אנד של מופעי VM של מאזני עומסי רשת פנימיים עם העברה דרך הצעדים הבאים המותאמים אישית במסלולים מבוססי-מדיניות.

אם אתם משתמשים באחת מהדרכים הבאות כדי לגשת לממשקי ה-API ולשירותים של Google, כדאי לעיין בשיטות המומלצות שמפורטות בקטע הבא:

שיטות מומלצות

מומלץ לפעול לפי השיטות המומלצות הבאות כשניגשים לממשקי Google API ולשירותים של Google בדרכים שצוינו למעלה:

  • משתמשים בתגי רשת כדי שהנתיבים מבוססי-המדיניות יחולו על מכונות וירטואליות ספציפיות.
  • לא כדאי ליצור מסלולים מבוססי-מדיניות עם טווחי מקור או יעד של 0.0.0.0/0.
  • אם יוצרים מסלולים מבוססי-מדיניות שכוללים טווחי יעד שמשמשים את Google APIs ואת השירותים של Google, נקודות קצה של Private Service Connect ל-Google APIs או עורפי Private Service Connect ל-APIs, צריך ליצור מסלולים מבוססי-מדיניות עם עדיפות גבוהה יותר שמדלגים על מסלולים אחרים מבוססי-מדיניות. מגדירים את היעדים של המסלולים האלה שמבוססים על מדיניות עם עדיפות גבוהה יותר כך שיתאימו לכתובות ה-IP של Google APIs והשירותים, לנקודות הקצה של Private Service Connect או לעורפי ה-Private Service Connect שבהם אתם משתמשים. טווחי כתובות ה-IP שבהם נעשה שימוש ב-Google APIs ובשירותים של Google כוללים את הכתובות הבאות: