基于政策的路由

本文档简要介绍了基于政策的路由。

基于政策的路由允许您根据多个数据包的目的地 IP 地址选择下一个跃点。您还可以按协议和来源 IP 地址匹配流量。匹配的流量会重定向到内部直通网络负载均衡器。这有助于您将防火墙等设备插入到网络流量路径中。

规格

• 创建基于政策的路由时，您可以选择基于政策的路由所适用的资源。该路由可适用于：
  • 与该路由位于同一 VPC 网络中的所有虚拟机实例、Cloud Interconnect VLAN 连接和 Cloud VPN 隧道
  • 仅与该路由位于同一 VPC 网络中且由网络标记标识的虚拟机实例
  • 仅与该路由位于同一 VPC 网络所属的特定区域中的 VLAN 连接。您无法创建仅适用于单个 VLAN 连接或 Cloud VPN 隧道的基于政策的路由
• 基于政策的路由的下一个跃点必须是有效的内部直通式网络负载均衡器。此内部直通式网络负载均衡器必须与基于政策的路由位于同一 VPC 网络中，或者位于通过 VPC 网络对等互连连接到路由的 VPC 网络的 VPC 网络中。
• 下一个跃点内部直通式网络负载均衡器的后端虚拟机实例必须启用 IP 转发。
• 基于政策的路由的评估时间早于子网路由、静态路由和动态路由，但晚于特殊路由路径。如需了解详情，请参阅路由顺序中的基于政策的路由步骤。
• 如果两个或更多基于政策的路由具有相同的优先级，并且数据包的特征与至少两个此类基于政策的路由匹配，则 Google Cloud会使用内部算法来选择单个基于政策的路由。所选基于政策的路由可能不是数据包特征的最具体匹配项，因为基于政策的路由不使用最长前缀匹配。确保同一 VPC 网络中的所有基于政策的路由都具有唯一的优先级。
• 基于政策的路由可适用于 IPv4 或 IPv6 流量。
• 您可以为单向流量创建单个规则，也可以创建多个规则来处理双向流量。

限制

• 基于政策的路由不会在通过 VPC 网络对等互连连接的 VPC 网络之间交换。
• 基于政策的路由不会在 Network Connectivity Center Spoke 和 Hub 之间交换。
• 基于政策的路由不支持基于端口匹配流量。
• 基于政策的路由创建后无法更新。如果您要更新路由，请删除路由并创建新路由。
• 内部直通式网络负载均衡器转发规则必须具有专用 IP 地址，该地址不能被任何其他内部直通式网络负载均衡器使用。不支持使用共享 IP 地址（IP 地址用途设置为 SHARED_LOADBALANCER_VIP）。
• 基于政策的路由可能会干扰 GKE 控制平面与节点之间的通信。如需了解详情，请参阅将基于政策的路由与 GKE 搭配使用。
• 基于政策的路由无法将数据包路由到 Private Service Connect 端点或后端。
  • 如需了解如何将 VPC 网络中基于政策的路由用于访问已发布服务的端点或后端，请参阅基于政策的路由和用于已发布服务的 Private Service Connect。
  • 如需了解如何将 VPC 网络中基于政策的路由用于访问 Google API 和服务的端点或后端，请参阅基于政策的路由以及访问 Google API 和服务。
• 只有使用 Dataplane v2 的 VLAN 连接才能使用基于政策的路由。如需检查 VLAN 连接以查看它使用的版本，请参阅专用互连或合作伙伴互连说明。

跳过其他基于政策的路由

您可以使用 Google Cloud CLI 或发送 API 请求来创建基于政策的路由，该路由会跳过其他基于政策的路由。对于 gcloud CLI，请使用 --next-hop-other-routes=DEFAULT_ROUTING 标志。对于 API 请求，请在请求正文中添加 "nextHopOtherRoutes": "DEFAULT_ROUTING"。

如果此类基于政策的路由与数据包的特征匹配，且优先级高于其他基于政策的路由，则 Google Cloud会忽略其他基于政策的路由，并继续进行 VPC 路由顺序中最具体的目标这一步骤。

例如，假设某个基于政策的路由使用下一个跃点内部直通网络负载均衡器。这种基于政策的路由的来源范围为 0.0.0.0/0，网络标记为 compute-vm。

如需在数据包来源与特定 IP 地址范围匹配时跳过对第一个基于政策的路由的评估，请创建一个优先级较高的基于政策的路由，该路由配置为跳过其他基于政策的路由。将此优先级较高的基于政策的路由的来源 IP 地址范围设置为需要跳过基于政策的路由的系统的来源 IP 地址范围。

配额

单个项目中可以创建的基于政策的路由数量有限制。如需了解详情，请参阅 VPC 文档中每个项目的配额。