Questa pagina è stata tradotta dall'API Cloud Translation.

Usa route basate su criteri

Le route basate su criteri ti consentono di selezionare un hop successivo in base a più di un indirizzo IP di destinazione di un pacchetto. Questa pagina descrive come creare, elencare, descrivere ed eliminare le route basate su criteri.

Prima di iniziare

Per utilizzare gli esempi di riga di comando in questa guida, installa o esegui l'aggiornamento alla versione più recente di Google Cloud CLI.
Devi abilitare l'API Network Connectivity nel tuo progetto.
È necessario un bilanciatore del carico di rete passthrough interno. Ti consigliamo di abilitare l'accesso globale in modo che il bilanciatore del carico di rete passthrough interno non elimini i pacchetti provenienti da regioni diverse da quella in cui è definito.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare le route basate su criteri, chiedi all'amministratore di concederti il ruolo IAM Amministratore di rete Compute (roles/compute.networkAdmin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea route basate su criteri

Quando crei una route basata su criteri, specifichi quanto segue:

Ambito route: le risorse a cui può essere applicata la route.
Criteri di classificazione: intervalli di indirizzi IP di origine, intervalli di indirizzi IP di destinazione e protocolli che determinano a quali pacchetti si applica la route. La route basata su criteri si applica ai pacchetti che corrispondono a tutti i criteri di classificazione specificati.
Hop successivo: un bilanciatore del carico di rete passthrough interno o un hop successivo che ignora altre route basate su criteri.

Console

Nella console Google Cloud, vai a Route.

Vai a Route
Fai clic su Gestione route.
Fai clic su Crea route.
Inserisci un nome per il percorso.
(Facoltativo) Inserisci una Descrizione.
Fai clic su Rete e seleziona la rete a cui vuoi aggiungere il percorso basato su criteri.
Fai clic su Tipo di percorso, quindi seleziona Percorso basato su criteri.
Nella sezione Ambito route, esegui una delle seguenti operazioni:
- Per applicare la route a tutte le istanze di macchine virtuali (VM), ai collegamenti VLAN per Cloud Interconnect e ai tunnel Cloud VPN nella rete Virtual Private Cloud, seleziona Questa route si applica a tutte le istanze VM, a tutti i collegamenti VLAN e a tutti i tunnel VPN.
  
  Google consiglia di prestare attenzione quando si creano percorsi di questo tipo. La route viene applicata a tutti i pacchetti in uscita che corrispondono ai criteri di classificazione, che possono includere il traffico in uscita dal backend del bilanciatore del carico di rete passthrough interno.
- Per applicare la route solo a determinate istanze VM, seleziona Questa route si applica solo alle istanze VM, quindi inserisci i tag di rete delle VM a cui deve essere applicata questa route. Puoi inserire più tag di rete in un elenco separato da virgole.
- Per applicare la route a tutti i collegamenti VLAN per Cloud Interconnect nella rete VPC della route, selezionare Questa route si applica solo ai collegamenti VLAN.
- Per applicare la route ai collegamenti VLAN per Cloud Interconnect in una regione specifica, seleziona Questa route si applica solo ai collegamenti VLAN e poi la regione dei collegamenti VLAN. Non è possibile creare una route basata su criteri che si applichi a un collegamento VLAN specifico.
Nella sezione Criteri di classificazione:
1. Inserisci un intervallo IP di origine.
2. Inserisci un intervallo IP di destinazione.
3. Fai clic su Protocollo e seleziona i protocolli a cui si applica questo percorso.
Inserisci una Priorità.
Nella sezione Hop successivo, fai clic su Hop successivo e poi segui questi passaggi:
- Per specificare un bilanciatore del carico di rete passthrough interno per l'hop successivo, seleziona Specifica una regola di forwarding del bilanciatore del carico di rete passthrough interno, quindi:
  - Per selezionare una regola di forwarding da un elenco di regole di inoltro esistenti:
    1. Seleziona Utilizzato dalla regola di forwarding di un bilanciatore del carico interno nel progetto attuale.
    2. Fai clic su Indirizzo IP regola di inoltro e seleziona un indirizzo IP associato a un bilanciatore del carico interno nel progetto selezionato.
  - Per inserire un indirizzo IP:
    1. Seleziona Non utilizzato.
    2. Nel campo Indirizzo IP della regola di inoltro, inserisci un indirizzo IP senza una lunghezza del prefisso. L'indirizzo IP deve provenire da una delle seguenti origini:
      - Gli intervalli di indirizzi IP della rete VPC in cui stai creando questa route basata su criteri.
      - Gli intervalli di indirizzi IP di una rete VPC collegata alla rete VPC della route tramite il peering di rete VPC (anteprima).
    Puoi specificare un indirizzo IP già associato alla regola di forwarding di un bilanciatore del carico di rete passthrough interno oppure puoi specificare un indirizzo IP inutilizzato e creare la regola di inoltro dopo aver creato questa route basata su criteri.
- Per creare una route basata su criteri che ignori altre route basate su criteri, seleziona Salta altre route basate su criteri.
Fai clic su Crea.

gcloud

Utilizza il comando policy-based-routes create.

Per applicare la route a tutte le istanze VM, ai collegamenti VLAN per Cloud Interconnect e ai tunnel Cloud VPN nella rete Virtual Private Cloud, utilizza il seguente comando.

Google consiglia di prestare attenzione quando si creano percorsi di questo tipo. La route viene applicata a tutti i pacchetti in uscita che corrispondono ai criteri di classificazione, che possono includere il traffico in uscita dal backend del bilanciatore del carico di rete passthrough interno.
```
gcloud network-connectivity policy-based-routes create ROUTE_NAME \
    --source-range=SOURCE_RANGE \
    --destination-range=DESTINATION_RANGE \
    --ip-protocol=PROTOCOL \
    --protocol-version=IP_VERSION \
    --network="projects/PROJECT_ID/global/networks/NETWORK" \
    --next-hop-ilb-ip=NEXT_HOP \
    --description=DESCRIPTION \
    --priority=PRIORITY
```
Sostituisci quanto segue:
- ROUTE_NAME: il nome della route basata su criteri.
- SOURCE_RANGE: l'intervallo CIDR IP di origine.
- DESTINATION_RANGE: l'intervallo CIDR IP di destinazione.
- PROTOCOL: il protocollo del traffico da inoltrare. Le opzioni sono ALL, TCP o UDP. Il valore predefinito è ALL.
- IP_VERSION: una singola versione di Internet Protocol a cui si applica questo percorso. Specifica IPv4 o IPv6 (Anteprima). Il valore predefinito è IPv4. Per specificareIPv6, utilizza la versione beta di Google Cloud CLI.
- PROJECT_ID: l'ID del progetto.
- NETWORK: il nome della rete a cui applicare il percorso basato su criteri.
- NEXT_HOP: un singolo indirizzo IP, senza una lunghezza del prefisso, per il bilanciatore del carico di rete passthrough interno dell'hop successivo della route. Specifica un indirizzo IPv4 come hop successivo per il traffico IPv4 oppure un indirizzo IPv6 per il traffico IPv6 (anteprima). Il bilanciatore del carico deve trovarsi nella stessa rete VPC della route basata su criteri o in una rete VPC connessa alla rete VPC della route tramite il peering di reti VPC (anteprima).
  
  Se la route si applica al traffico IPv6 (anteprima), devi configurare il bilanciatore del carico con subnet a doppio stack.
  
  Per specificare un indirizzo IPv6 o un indirizzo IP di una rete VPC peer, utilizza la versione beta di Google Cloud CLI.
- DESCRIPTION: una descrizione facoltativa del percorso.
- PRIORITY: la priorità della route basata su criteri rispetto ad altre route basate su criteri.

Per applicare la route solo a determinate istanze VM, utilizza il seguente comando:

gcloud network-connectivity policy-based-routes create ROUTE_NAME \
    --source-range=SOURCE_RANGE \
    --destination-range=DESTINATION_RANGE \
    --ip-protocol=PROTOCOL \
    --protocol-version=IP_VERSION \
    --network="projects/PROJECT_ID/global/networks/NETWORK" \
    --next-hop-ilb-ip=NEXT_HOP \
    --description=DESCRIPTION \
    --priority=PRIORITY \
    --tags=NETWORK_TAGS

Sostituisci NETWORK_TAGS con uno o più tag di rete delle VM a cui applicare la route. Puoi includere più tag di rete in un elenco separato da virgole.

Per applicare la route solo ai collegamenti VLAN per Cloud Interconnect, utilizza il seguente comando. Puoi applicare la route ai collegamenti VLAN per Cloud Interconnect in una regione specifica o a tutti i collegamenti VLAN per Cloud Interconnect in una rete VPC.
```
gcloud network-connectivity policy-based-routes create ROUTE_NAME \
    --source-range=SOURCE_RANGE \
    --destination-range=DESTINATION_RANGE \
    --ip-protocol=PROTOCOL \
    --protocol-version=IP_VERSION \
    --network="projects/PROJECT_ID/global/networks/NETWORK" \
    --next-hop-ilb-ip=NEXT_HOP \
    --description=DESCRIPTION \
    --priority=PRIORITY \
    --interconnect-attachment-region=INTERCONNECT_REGION
```
Sostituisci INTERCONNECT_REGION con la regione dei collegamenti VLAN a cui Cloud Interconnect deve applicare la route. Per applicare la route basata su criteri a tutti i collegamenti VLAN per Cloud Interconnect nella rete VPC della route, utilizza all.

Per specificare un hop successivo che ignori altre route basate su criteri per VM specifiche identificate dai tag di rete, utilizza il seguente comando:

gcloud network-connectivity policy-based-routes create ROUTE_NAME \
    --source-range=SOURCE_RANGE \
    --destination-range=DESTINATION_RANGE \
    --ip-protocol=PROTOCOL \
    --protocol-version=IP_VERSION \
    --network="projects/PROJECT_ID/global/networks/NETWORK" \
    --next-hop-other-routes=DEFAULT_ROUTING \
    --description=DESCRIPTION \
    --priority=PRIORITY \
    --tags=NETWORK_TAGS

API

Invia una richiesta POST al metodo policyBasedRoutes.create:

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes?policyBasedRouteId=ROUTE_NAME

Per applicare la route a tutte le istanze VM, ai collegamenti VLAN per Cloud Interconnect e ai tunnel Cloud VPN nella rete Virtual Private Cloud, includi il seguente corpo della richiesta.

Google consiglia di prestare attenzione quando si creano percorsi di questo tipo. La route viene applicata a tutti i pacchetti in uscita che corrispondono ai criteri di classificazione, che possono includere il traffico in uscita dal backend del bilanciatore del carico di rete passthrough interno.
```
{
  "filter": {
    "srcRange": "SOURCE_RANGE",
    "destRange": "DESTINATION_RANGE",
    "ipProtocol": "PROTOCOL",
    "protocolVersion": "IP_VERSION"
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "nextHopIlbIp": "NEXT_HOP",
  "description": "DESCRIPTION",
  "priority": "PRIORITY"
}
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID del progetto.
- ROUTE_NAME: il nome della route basata su criteri.
- SOURCE_RANGE: l'intervallo CIDR IP di origine.
- DESTINATION_RANGE: l'intervallo CIDR IP di destinazione.
- PROTOCOL: il protocollo del traffico da inoltrare. Le opzioni sono ALL, TCP o UDP. Il valore predefinito è ALL.
- IP_VERSION: una singola versione dell'Internet Protocol a cui si applica la route. Specifica IPv4 o IPv6 (Anteprima). Il valore predefinito è IPv4. Per specificare un indirizzo IPv6, utilizza l'API v1beta.
- NETWORK: il nome della rete a cui applicare il percorso basato su criteri. La route si applica al traffico in uscita dalle istanze in questa rete che soddisfano gli altri criteri di classificazione.
- NEXT_HOP: un singolo indirizzo IP, senza una lunghezza del prefisso, per il bilanciatore del carico di rete passthrough interno dell'hop successivo della route. Specifica un indirizzo IPv4 come hop successivo per il traffico IPv4 oppure un indirizzo IPv6 per il traffico IPv6 (anteprima). Il bilanciatore del carico deve trovarsi nella stessa rete VPC della route basata su criteri o in una rete VPC connessa alla rete VPC della route tramite il peering di reti VPC (anteprima).
  
  Se la route si applica al traffico IPv6 (anteprima), devi configurare il bilanciatore del carico con subnet a doppio stack.
  
  Per specificare un indirizzo IPv6 o un indirizzo IP da una rete VPC peer, utilizza l'API v1beta.
- DESCRIPTION: una descrizione facoltativa del percorso.
- PRIORITY: la priorità della route basata su criteri rispetto ad altre route basate su criteri.

Per applicare la route solo a determinate istanze VM, includi il seguente corpo della richiesta:

{
  "filter": {
    "srcRange": "SOURCE_RANGE",
    "destRange": "DESTINATION_RANGE",
    "ipProtocol": "PROTOCOL",
    "protocolVersion": "IP_VERSION"
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "nextHopIlbIp": "NEXT_HOP",
  "description": "DESCRIPTION",
  "priority": "PRIORITY",
  "virtualMachine": {
    "tags": [
      "NETWORK_TAGS"
    ]
  }
}

Sostituisci NETWORK_TAGS con uno o più tag di rete. La route basata su criteri si applica al traffico in uscita dalle istanze che hanno almeno uno di questi tag. Puoi includere più tag nel seguente formato: "tag1","tag2","tag3".

Per applicare la route solo ai collegamenti VLAN per Cloud Interconnect, includere il seguente corpo della richiesta. Non è possibile creare una route basata su criteri che si applichi a un collegamento VLAN specifico.
```
{
  "filter": {
    "srcRange": "SOURCE_RANGE",
    "destRange": "DESTINATION_RANGE",
    "ipProtocol": "PROTOCOL",
    "protocolVersion": "IP_VERSION"
  },
  "interconnectAttachment": {
    "region": "INTERCONNECT_REGION"
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "nextHopIlbIp": "NEXT_HOP",
  "description": "DESCRIPTION",
  "priority": "PRIORITY"
}
```
Sostituisci INTERCONNECT_REGION con la regione dei collegamenti VLAN a cui applicare questa route per Cloud Interconnect. Per applicare la route basata su criteri a tutti i collegamenti VLAN per Cloud Interconnect nella rete VPC della route, utilizza all.

Per specificare un hop successivo che ignori altre route basate su criteri per VM specifiche identificate dai tag di rete, utilizza il seguente comando:

{
  "filter": {
    "srcRange": "SOURCE_RANGE",
    "destRange": "DESTINATION_RANGE",
    "ipProtocol": "PROTOCOL",
    "protocolVersion": "IP_VERSION"
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "nextHopOtherRoutes": "DEFAULT_ROUTING",
  "description": "DESCRIPTION",
  "priority": "PRIORITY",
  "virtualMachine": {
    "tags": [
      "NETWORK_TAGS"
    ]
  }
}

Verificare la connettività per una route basata su criteri

Connectivity Tests è uno strumento di diagnostica che consente di verificare la connettività tra gli endpoint della rete. Analizza la tua configurazione e, in alcuni casi, esegue la verifica in fase di esecuzione. Connectivity Tests supporta le route basate su criteri. Per eseguire Connectivity Tests con le route basate su criteri, consulta Creare ed eseguire test di connettività.

Elenca le route basate su criteri

Puoi elencare le route basate su criteri per visualizzarle tutte in un progetto o in una rete e una regione.

Console

Nella console Google Cloud, vai a Route.

Vai a Route
- Per visualizzare tutte le route basate su criteri in una rete VPC e in una regione, segui questi passaggi:
  1. Fai clic su Percorsi efficaci.
  2. Fai clic su Rete e seleziona una rete.
  3. Fai clic su Regione e seleziona una regione.
  4. Fai clic su Visualizza.
- Per visualizzare tutte le route basate su criteri in un progetto:
  1. Fai clic su Gestione route.

gcloud

Utilizza il comando policy-based-routes list.

gcloud network-connectivity policy-based-routes list

API

Invia una richiesta GET al metodo policyBasedRoutes.list.

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes

Sostituisci PROJECT_ID con l'ID del progetto in cui elencare le route basate su criteri.

Descrivi le route basate su criteri

Puoi descrivere un percorso basato su criteri per visualizzarne i dettagli.

Console

Nella console Google Cloud, vai a Route.

Vai a Route
Fai clic su Percorsi efficaci.
Fai clic su Rete e seleziona una rete.
Fai clic su Regione e seleziona una regione.
Fai clic su Visualizza.
Fai clic sul nome di una route basata su criteri per visualizzarne i dettagli.

gcloud

Per descrivere una route basata su criteri, utilizza il comando policy-based-routes describe.

gcloud network-connectivity policy-based-routes describe NAME

Sostituisci NAME con il nome del percorso da descrivere.

API

Invia una richiesta GET al metodo policyBasedRoutes.get.

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes/ROUTE_NAME

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto.
ROUTE_NAME: il nome della route basata su criteri da descrivere.

Elimina route basate su policy

Puoi eliminare una route basata su criteri per rimuoverla da una rete VPC.

Console

Nella console Google Cloud, vai a Route.

Vai a Route
Fai clic su Percorsi efficaci.
Fai clic su Rete e seleziona una rete.
Fai clic su Regione e seleziona una regione.
Fai clic su Visualizza.
Fai clic sul nome di una route basata su criteri.
Fai clic su Elimina, quindi fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare una route basata su criteri, utilizza il comando policy-based-routes delete.

gcloud network-connectivity policy-based-routes delete NAME

Sostituisci NAME con il nome del percorso da eliminare.

API

Invia una richiesta DELETE al metodo policyBasedRoutes.delete.

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/policyBasedRoutes/ROUTE_NAME

Sostituisci quanto segue:

PROJECT_ID: l'ID del progetto.
ROUTE_NAME: il nome della route basata su criteri da eliminare.

Compatibilità

È necessaria una configurazione speciale per utilizzare le route basate su criteri nei seguenti modi.

Utilizzare le route basate su criteri con GKE

Se crei route basate su criteri nelle reti VPC con cluster Google Kubernetes Engine (GKE), tieni presente quanto segue:

Non creare route basate su criteri le cui destinazioni includono indirizzi IP di nodi o pod del cluster.
Non creare route basate su criteri le cui destinazioni includono endpoint privati del piano di controllo del cluster.
- Alcuni cluster Google Kubernetes Engine (GKE) pubblici hanno endpoint privati del control plane di Private Service Connect. Per questi cluster, per impostazione predefinita, GKE crea l'endpoint privato del piano di controllo Private Service Connect nell'intervallo di indirizzi IPv4 principale della subnet del cluster. Per scegliere un intervallo di subnet personalizzato (di una subnet nella stessa regione) per l'endpoint privato del piano di controllo Private Service Connect, consulta Creare un cluster e selezionare l'intervallo IP del piano di controllo.
- Quando crei un cluster GKE privato, specifica un intervallo di indirizzi IP per l'endpoint privato del piano di controllo (--master-ipv4-cidr). Assicurati di non creare una route basata su criteri la cui destinazione includa questo intervallo. Per ulteriori informazioni, consulta Endpoint nei cluster privati.

Percorsi basati su criteri e Private Service Connect per i servizi pubblicati

Le route basate su criteri non possono essere utilizzate per instradare il traffico dalle VM agli endpoint Private Service Connect per i servizi pubblicati o ai backend Private Service Connect per i servizi pubblicati. Quando utilizzi route basati su criteri e Private Service Connect per i servizi pubblicati:

Utilizza i tag di rete in modo che le route basate su criteri vengano applicate a VM specifiche.
Evita di creare route basate su criteri con intervalli di indirizzi IP di origine o di destinazione di 0.0.0.0/0.
Se devi creare una route basata su criteri con un intervallo di destinazione che include l'indirizzo IP di un endpoint o di un backend Private Service Connect, crea una route basata su criteri con una priorità più alta che salta le altre route basate su criteri. Configura la destinazione della route basata su criteri di priorità più elevata con un intervallo di indirizzi IP più specifico che includa l'indirizzo IP dell'endpoint o del backend Private Service Connect.

Route basate su criteri e accesso alle API e ai servizi Google

Google Cloud non supporta il routing del traffico verso le API e i servizi Google tramite altre istanze VM o hop successivi personalizzati, inclusi i backend VM dei bilanciatori del carico di rete passthrough interni di hop successivi nelle route basate su criteri.

Se utilizzi uno dei seguenti metodi per accedere alle API e ai servizi Google, consulta le best practice elencate nella sezione seguente:

Utilizzo di Accesso privato Google per accedere alle API e ai servizi Google
Accesso alle API e ai servizi Google da VM con indirizzi IP esterni
Utilizzo degli endpoint di Private Service Connect per le API di Google
Utilizzo dei backend di Private Service Connect per le API di Google

Best practice

Consigliamo le seguenti best practice per i metodi precedenti per accedere alle API e ai servizi Google:

Utilizza i tag di rete in modo che le route basate su criteri vengano applicate a VM specifiche.
Evita di creare route basate su criteri con intervalli di origine o di destinazione di0.0.0.0/0.
Se crei route basati su criteri che includono intervalli di destinazione utilizzati da API e servizi Google, endpoint Private Service Connect per le API di Google o backend Private Service Connect per le API, crea route basati su criteri di priorità più elevata che salta altri route basati su criteri. Imposta le destinazioni di questi percorsi basati su criteri di priorità più elevata in modo che corrispondano agli indirizzi IP per le API e i servizi Google, agli endpoint Private Service Connect o ai backend Private Service Connect che utilizzi. Gli intervalli di indirizzi IP utilizzati dalle API e dai servizi Google includono quanto segue:
- Gli indirizzi IP per i domini predefiniti utilizzati dalle API e dai servizi Google
- Gli indirizzi IP virtuali (VIP) di Private Google Access:
  - private.googleapis.com (199.36.153.8/30)
  - restricted.googleapis.com (199.36.153.4/30)