策略路徑

本文將概要說明以策略為準的路由。

您可以依據封包目的地 IP 位址等條件，透過策略路徑選擇下一個躍點。您也可以依據通訊協定和來源 IP 位址比對流量。相符的流量會重新導向至內部直通式網路負載平衡器。這有助於您在網路流量路徑中插入防火牆等設備。

規格

• 建立策略路徑時，請選取要套用策略路徑的資源。路線可套用至：
  • 與路徑位於相同 VPC 網路中的所有 VM 執行個體、Cloud Interconnect VLAN 連結和 Cloud VPN 通道
  • 只有與路徑位於相同虛擬私有雲網路，且以網路標記識別的 VM 執行個體
  • 只有與路徑位於相同虛擬私有雲網路的特定區域中的 VLAN 連結，您無法建立僅適用於單一 VLAN 連結或 Cloud VPN 通道的依據政策的路徑
• 策略路徑的下一個躍點必須是有效的內部直通式網路負載平衡器。這個內部直通式網路負載平衡器必須與策略路由位於同一個虛擬私有雲網路，或是透過 VPC 網路對等互連連線至路由的虛擬私有雲網路。
• 下一個躍點內部直通式網路負載平衡器的後端 VM 執行個體必須啟用 IP 轉送。
• 系統會先評估政策型路徑，再評估子網路路徑、靜態路徑和動態路徑，但會先評估特殊轉送路徑。詳情請參閱轉送順序中的「以政策為依據的路徑」步驟。
• 如果兩個以上的策略路徑優先順序相同，且封包特徵符合至少兩個策略路徑， Google Cloud會使用內部演算法選取單一策略路徑。由於政策型路徑不使用最長前置字元比對，因此選取的政策型路徑可能不是封包特徵最明確的相符項目。請確認相同虛擬私有雲網路中的所有策略路由，都具有不重複的優先順序。
• 策略路徑可套用至 IPv4 或 IPv6 流量。
• 您可以為單向流量建立單一規則，也可以建立多個規則來處理雙向流量。

限制

• 透過虛擬私有雲網路對等互連連線的虛擬私有雲網路之間，不會交換策略路徑。
• Network Connectivity Center 輪輻和中樞不會交換以政策為依據的路徑。
• 策略路由不支援根據連接埠比對流量。
• 策略路徑建立後就無法更新。如要更新路線，請刪除路線，然後建立新路線。
• 內部直通式網路負載平衡器轉送規則必須有專屬 IP 位址，且不得由任何其他內部直通式網路負載平衡器使用。系統不支援使用共用 IP 位址 (IP 位址用途設為 SHARED_LOADBALANCER_VIP)。
• 以政策為依據的路由可能會干擾 GKE 控制層與節點之間的通訊。詳情請參閱「搭配使用 GKE 與以政策為準的路徑」。
• 以政策為準的路由無法將封包路由至 Private Service Connect 端點或後端。
  • 如要瞭解如何在虛擬私有雲網路中使用以政策為準的路徑，搭配可存取已發布服務的端點或後端，請參閱「以政策為準的路徑和 Private Service Connect，適用於已發布的服務」。
  • 如要瞭解如何在虛擬私有雲網路中使用以政策為準的路由，搭配存取 Google API 和服務的端點或後端，請參閱「以政策為準的路由和存取 Google API 和服務」。
• 只有使用 Dataplane v2 的 VLAN 連結才能使用策略型路徑。如要檢查 VLAN 連結使用的版本，請參閱專屬互連網路或合作夥伴互連網路的相關操作說明。

略過其他策略路徑

您可以使用 Google Cloud CLI 或傳送 API 要求，建立略過其他以政策為依據的路由的路由。如要使用 gcloud CLI，請使用 --next-hop-other-routes=DEFAULT_ROUTING 旗標。如果是 API 要求，請在要求主體中加入 "nextHopOtherRoutes": "DEFAULT_ROUTING"。

如果這類策略路由符合封包特徵，且優先順序高於其他相符的策略路由， Google Cloud就會忽略其他策略路由，並繼續執行 VPC 路由順序的「目的地明確度最高」步驟。

舉例來說，假設某個策略路由使用下一個躍點內部直通式網路負載平衡器。這個策略路由的來源範圍為 0.0.0.0/0，網路標記為 compute-vm。

如要略過封包來源符合特定 IP 位址範圍時的第一個策略路由評估作業，請建立優先順序較高的策略路由，並設定略過其他策略路由。將這條優先順序較高的策略路徑來源 IP 位址範圍，設為需要略過策略路徑的系統來源 IP 位址範圍。

配額

單一專案可建立的策略路徑數量有限。詳情請參閱虛擬私有雲說明文件中的專案配額。