Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Rotas com base em políticas
Neste documento, apresentamos uma visão geral das rotas com base na política.
Rotas com base na política permitem a seleção de um próximo salto baseado em mais do que o endereço IP de destino de um pacote. Também é possível corresponder o tráfego por protocolo e endereço IP de origem. O tráfego correspondente é redirecionado para um balanceador de carga de rede de passagem interna. Isso pode ajudar você a inserir dispositivos, como firewalls, no caminho de tráfego de rede.
Especificações
Ao criar uma rota com base na política, você seleciona quais recursos podem ter o tráfego processado pela rota. A rota pode ser aplicada a estes casos:
Selecionar instâncias de máquina virtual (VM) na rede VPC
Todo o tráfego que entra na rede VPC por meio de anexos da VLAN
do Cloud Interconnect em uma única região ou
Rede VPC
Todas as instâncias de VM, anexos da VLAN para
o Cloud Interconnect e os túneis do Cloud VPN na rede VPC
O próximo salto de uma rota com base em políticas precisa ser um
Balanceador de carga de rede de passagem interna. O balanceador de carga de rede de passagem interna precisa
estar na mesma rede VPC que a rota com base em políticas ou
em uma rede VPC conectada à rede VPC
da rota pelo
Peering de rede VPC. O uso de um próximo salto em uma rede VPC de peering
está disponível
Visualização.
Se duas rotas com base na política tiverem a mesma prioridade, o Google Cloud usará um algoritmo interno determinístico para selecionar uma única rota com base na política, ignorando outras com a mesma prioridade. Rotas com base na política não usam a correspondência de prefixo mais longo e selecionam apenas a rota de prioridade mais alta.
Uma rota com base em políticas pode ser aplicada ao tráfego IPv4 ou IPv6. A aplicação de uma
rota com base em políticas para o tráfego IPv6 está disponível em
Visualização.
É possível criar uma única regra para o tráfego unidirecional ou várias regras para lidar com o tráfego bidirecional.
Para usar rotas com base em políticas com o Cloud Interconnect,
a rota precisa ser aplicada a todas as conexões do Cloud Interconnect em uma região inteira ou em uma rede VPC. Não é possível aplicar rotas com base na política a uma única conexão do Cloud Interconnect.
As instâncias de VM que recebem tráfego de uma rota com base na política precisam estar com o encaminhamento de IP ativado.
Limitações
As rotas com base em políticas não são trocadas entre redes VPC
que estão conectados por peering de rede VPC.
As rotas com base na política não aceitam tráfego correspondente baseado na porta.
Não é possível atualizar uma rota com base na política depois que ela é criada. Se você quiser atualizar uma rota, exclua-a e crie uma nova.
A regra de encaminhamento do balanceador de carga de rede interno de passagem precisa ter um endereço IP dedicado. Não é possível usar um endereço IP compartilhado (finalidade do endereço IP definida como SHARED_LOADBALANCER_VIP).
Rotas baseadas em políticas podem interferir na comunicação entre o
plano de controle do GKE e os nós. Para mais informações, consulte
Usar rotas baseadas em políticas com o GKE.
É possível criar uma rota com base em políticas que pule outras rotas
com base em políticas usando a CLI do Google Cloud ou enviando uma solicitação de API. Para a
gcloud CLI, use a
flag --next-hop-other-routes=DEFAULT_ROUTING. Para solicitações de API, inclua "nextHopOtherRoutes": "DEFAULT_ROUTING" no corpo da solicitação.
Se uma rota
com base em políticas desse tipo corresponder às características de um pacote e tiver
uma prioridade mais alta do que outras rotas com base em políticas correspondentes, o Google Cloud
ignorará as outras rotas com base em políticas e prosseguirá para a etapa de destino mais
específico da
ordem de roteamento da VPC.
Por exemplo, considere uma rota com base em políticas que usa um balanceador de carga de rede de passagem interna de próximo salto. Essa rota com base em políticas tem um intervalo de origem de 0.0.0.0/0 e uma tag de rede de compute-vm.
Para pular a avaliação da primeira rota com base em políticas quando as origens de pacotes corresponderem a um intervalo de endereços IP específico, crie uma rota com base em políticas de prioridade mais alta configurada para ignorar outras rotas com base em políticas. Defina o intervalo de endereços IP
de origem para essa rota com base em políticas de prioridade mais alta para o
intervalo de endereços IP de origem dos sistemas que precisam pular o roteamento com base em políticas.
Cota
Há um limite de quantas rotas com base na política podem ser criadas em um único projeto. Para mais informações, consulte as cotas por projeto na documentação da VPC.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2024-12-06 UTC."],[],[],null,["# Policy-based routes\n===================\n\nThis document provides an overview of Policy-based Routing.\n\nPolicy-based routes let you select a next hop based on more than a packet's\ndestination IP address. You can match traffic by protocol and source IP address\nas well. Matching traffic is redirected to an internal passthrough Network Load Balancer. This can help\nyou insert appliances such as firewalls into the path of network traffic.\n\nSpecifications\n--------------\n\n- When you [create a policy-based\n route](/vpc/docs/use-policy-based-routes#create), you select which resources the policy-based route applies to. The route can apply to:\n - All VM instances, Cloud Interconnect VLAN attachments, and Cloud VPN tunnels that are in the same VPC network as the route\n - Only VM instances that are in the same VPC network as the route and identified by [network\n tags](/vpc/docs/add-remove-network-tags)\n - Only VLAN attachments that are in a specific region of the same VPC network as the route. You can't create a policy-based route that only applies to a single VLAN attachment or Cloud VPN tunnel\n- The next hop of a policy-based route must be a valid [internal passthrough Network Load Balancer](/load-balancing/docs/internal). This internal passthrough Network Load Balancer must either be in the same VPC network as the policy-based route or in a VPC network that is connected to the route's VPC network through [VPC Network Peering](/vpc/docs/vpc-peering).\n- The backend VM instances of the next hop internal passthrough Network Load Balancer must have [IP\n forwarding](/vpc/docs/using-routes#create-vm-canipforward) enabled.\n- Policy-based routes are evaluated before subnet routes, static routes, and dynamic routes, but after [special routing\n paths](/vpc/docs/routes#special_return_paths). For more information, see the [Policy-based routes](/vpc/docs/routes#check-for-pbrs) step in the routing order.\n- If two or more policy-based routes have the same priority, and a packet's characteristics match at least two of those policy-based routes, Google Cloud selects a single policy-based route by using an internal algorithm. The selected policy-based route might not be the most specific match for the packet's characteristics because policy-based routes don't use longest-prefix matching. Make sure that all policy-based routes in the same VPC network have unique priorities.\n- A policy-based route can apply to either IPv4 or IPv6 traffic.\n- You can create a single rule for one-way traffic or multiple rules to handle bidirectional traffic.\n\nLimitations\n-----------\n\n- Policy-based routes are not exchanged between VPC networks that are connected through [VPC Network Peering](/vpc/docs/vpc-peering).\n- Policy-based routes are not exchanged between [Network Connectivity Center spokes and hubs](/network-connectivity/docs/network-connectivity-center/concepts/vpc-spokes-overview).\n- Policy-based routes don't support matching traffic based on port.\n- It is not possible to update a policy-based route after it is created. If you want to update a route, [delete the route](/vpc/docs/use-policy-based-routes#delete) and then create a new one.\n- The internal passthrough Network Load Balancer forwarding rule must have a dedicated IP address that's not used by any other internal passthrough Network Load Balancer. Using a shared IP address (IP address purpose set to `SHARED_LOADBALANCER_VIP`) is not supported.\n- Policy-based routes can interfere with communication between the GKE control plane and nodes. For more information, see [Use policy-based routes with GKE](/vpc/docs/use-policy-based-routes#pbr-with-gke).\n- Policy-based routes can't route packets to Private Service Connect endpoints or backends.\n - For information about using policy-based routes in VPC networks with endpoints or backends that access published services, see [Policy-based routes and Private Service Connect for published services](/vpc/docs/use-policy-based-routes#pbr-with-psc).\n - For information about using policy-based routes in VPC networks with endpoints or backends that access Google APIs and services, see [Policy-based routes and accessing Google APIs and services](/vpc/docs/use-policy-based-routes#pbr-with-pga-psc-apis).\n- Only VLAN attachments that use [Dataplane v2](/network-connectivity/docs/interconnect/concepts/terminology#dataplaneVersion) can use policy-based routes. To inspect your VLAN attachment to check what version it uses, see the instructions for [Dedicated Interconnect](/network-connectivity/docs/interconnect/how-to/dedicated/viewing-vlans#dataplane) or [Partner Interconnect](/network-connectivity/docs/interconnect/how-to/partner/viewing-vlans#dataplane).\n\nSkipping other policy-based routes\n----------------------------------\n\nYou can create a policy-based route that skips other policy-based\nroutes by using the Google Cloud CLI or sending an API request. For the\ngcloud CLI, use the\n`--next-hop-other-routes=DEFAULT_ROUTING` flag. For an API request,\ninclude `\"nextHopOtherRoutes\": \"DEFAULT_ROUTING\"` with the request body.\n\nIf a policy-based\nroute of this type matches a packet's characteristics and has\na higher priority than other matching policy-based routes, Google Cloud\nignores the other policy-based routes and proceeds to the *most specific\ndestination* step of the\n[VPC routing order](/vpc/docs/routes#routeselection).\n\nFor example, consider a policy-based route that uses a next hop\ninternal passthrough Network Load Balancer. This policy-based route has a source\nrange of `0.0.0.0/0` and a network tag of `compute-vm`.\n\nTo skip evaluation of the first policy-based route when packet sources match\na specific IP address range, create a higher-priority policy-based route that\nis configured to skip other policy-based routes. Set the source IP\naddress range for this higher-priority policy-based route to the\nsource IP address range of the systems that need to skip policy-based routing.\n\nQuota\n-----\n\nThere is a limit for how many policy-based routes you can create in a single\nproject. For more information, see the per-project [quotas](/vpc/docs/quota#policy-based-routes-quota)\nin the VPC documentation."]]
