מסלולים

Cloud de Confiance by S3NS מסלולים מגדירים את הנתיבים שבהם תעבורת הנתונים ברשת עוברת ממכונה וירטואלית ליעדים אחרים. יעדים כאלה יכולים להיות בתוך רשת הענן הווירטואלי הפרטי (VPC) שלכם (לדוגמה, במכונה וירטואלית אחרת) או מחוץ לה. Cloud de Confiance

ברשת VPC, מסלול מורכב מקידומת יעד אחת בפורמט CIDR ומקפיצה הבאה אחת. כשמופע ברשת VPC שולח חבילת נתונים, Cloud de Confiance החבילה מועברת לנקודת הניתוב הבאה של המסלול אם כתובת היעד של החבילה נמצאת בטווח היעד של המסלול.

בדף הזה מוסבר איך מסלולים פועלים ב- Cloud de Confiance.

תכנון מסלול ב- Cloud de Confiance

כל רשת VPC משתמשת במנגנון ניתוב וירטואלי מבוזר וניתן להרחבה. אין מכשיר פיזי שמוקצה לרשת. אפשר להחיל חלק מהמסלולים באופן סלקטיבי, אבל טבלת הניתוב של רשת VPC מוגדרת ברמת רשת ה-VPC.

לכל מכונה וירטואלית יש בקר שמקבל עדכונים לגבי כל המסלולים הרלוונטיים מטבלת הניתוב של הרשת. כל מנה (packet) שיוצאת ממכונה וירטואלית מועברת לניתור הבא המתאים של מסלול רלוונטי על סמך סדר הניתוב. כשמוסיפים או מוחקים נתיב, קבוצת השינויים מועברת לבקרי מכונות וירטואליות באמצעות עיצוב של עקביות בסופו של דבר.

סוגי מסלולים

בטבלאות הבאות מפורטות הקטגוריות של המסלולים ברשתות VPC ב- Cloud de Confiance .

סוג ויעד הצעד הבא הערות
מסלולים שמבוססים על מדיניות: מסלולים שמבוססים על מדיניות מוערכים לפני כל סוג אחר של מסלול.
ניתוב על סמך מדיניות
ניתוב על סמך מדיניות יכול לחול על חבילות נתונים על סמך כתובת ה-IP של המקור, כתובת ה-IP של היעד, פרוטוקול או שילוב שלהם.

מסלולים מבוססי-מדיניות יכולים לחול על כל המכונות הווירטואליות ברשת, על מכונות וירטואליות מסוימות שנבחרו לפי תג רשת, או על תעבורת נתונים שנכנסת לרשת ה-VPC דרך חיבורי VLAN ל-Cloud Interconnect (באזור אחד בלבד או בכל האזורים).

ניתובים על סמך מדיניות אף פעם לא מועברים דרך קישור בין רשתות VPC שכנות.
נתיבי תת-רשת: כל סוגי הנתיבים של תת-הרשת מוערכים אחרי נתיבים שמבוססים על מדיניות אבל לפני נתיבים בהתאמה אישית.
נתיב מקומי של תת-רשת
נוצר אוטומטית לכל טווח כתובות ה-IP של תת-הרשת 		רשת VPC

נוצר, עודכן והוסר באופן אוטומטי על ידי Cloud de Confiance במהלך אירועים של מחזור החיים של רשת משנה.

נתיבי תת-רשת מקומיים חלים על כל רשת ה-VPC.
מסלול של תת-רשת בקישור
מייצג טווח כתובות IP של תת-רשת ברשת VPC אחרת שמחוברת באמצעות קישור בין רשתות VPC שכנות (peering) 		הצעד הבא ברשת ה-VPC המקבילה

קישור בין רשתות VPC שכנות (peering) מספק אפשרויות להחלפת מסלולים של רשתות משנה.

נוצר, עודכן והוסר באופן אוטומטי על ידי Cloud de Confiance במהלך אירועים של מחזור החיים של רשת משנה.

נתיבי תת-רשת של קישור בין רשתות שכנות (peering) שיובאו חלים על כל רשת ה-VPC.
מסלול של רשת משנה ב-NCC
מייצג טווח כתובות IP של רשת משנה ברשת VPC מסוג Spoke (רשת VPC אחרת שמחוברת לרכזת NCC) 		מרכז NCC

אדמינים של רשתות מסוג Spoke ב-NCC יכולים להחריג את הייצוא של נתיבי תת-רשת.

נוצר, עודכן והוסר באופן אוטומטי על ידי Cloud de Confiance במהלך אירועים של מחזור החיים של רשת משנה.

נתיבי תת-רשת של NCC מיובאים חלים על כל רשת ה-VPC.
מסלולים מותאמים אישית: ההערכה של מסלולים מותאמים אישית מתבצעת אחרי מסלולים שמבוססים על מדיניות ואחרי מסלולים של רשתות משנה.
מסלול מקומי סטטי
תומך ביעדים שונים 		העברת מנות אל הצעד הבא במסלול סטטי לפרטים על כל הצעד הבא במסלול סטטי, אפשר לעיין בשיקולים לגבי:
ניתוב דינמי מקומי
יעדים שלא מתנגשים עם מסלולי משנה או מסלולים סטטיים		 עמית של סשן BGP ב-Cloud Router המסלולים מתווספים ומוסרים באופן אוטומטי על סמך מסלולים שנלמדו מ-Cloud Routers ברשת ה-VPC שלכם.

המסלולים חלים על מכונות וירטואליות בהתאם למצב הניתוב הדינמי של רשת ה-VPC.
ניתוב סטטי של קישור בין רשתות שכנות (peering), ניתוב דינמי של קישור בין רשתות שכנות (peering)
ניתובים סטטיים או דינמיים ברשת VPC אחרת שמקושרת באמצעות קישור בין רשתות VPC שכנות (peering) 		הצעד הבא ברשת ה-VPC המקבילה

קישור בין רשתות VPC שכנות (peering) מספק אפשרויות להחלפת מסלולים סטטיים.

מסלולים סטטיים מיובאים של קישור בין רשתות שכנות (peering) חלים על כל רשת ה-VPC.

קישור בין רשתות VPC שכנות (peering) מספק אפשרויות להחלפת מסלולים דינמיים.

ניתוב דינמי של קישוריות בין רשתות חל על אזור אחד או על כל האזורים ברשת ה-VPC, בהתאם ל מצב הניתוב הדינמי של רשת ה-VPC שמייצאת את המסלולים.
NCC dynamic route
Dynamic routes imported from NCC hybrid spokes located in different VPC networks 		מרכז NCC

מרכז NCC יכול לכלול גם רשתות מסוג Hub-and-Spoke של VPC וגם רשתות מסוג Hub-and-Spoke היברידיות.

הניתוב הדינמי ב-NCC חל על אזור אחד או על כל האזורים ברשת ה-VPC, בהתאם למצב הניתוב הדינמי של רשת ה-VPC שמכילה את רכזת ה-Hybrid.
מסלולים שנוצרו על ידי המערכת
מסלולי ברירת מחדל שנוצרו על ידי המערכת
0.0.0.0/0 ל-IPv4 ‫
::/0 ל-IPv6		 default-internet-gateway ההגדרה חלה על כל רשת ה-VPC

אפשר להסיר או להחליף אותה

נתיבי תת-רשת

לכל רשת משנה יש לפחות נתיב אחד ברשת המשנה לכל טווח כתובות IP שמשויך לרשת המשנה. מידע נוסף על טווחי כתובות IP של תת-רשתות זמין במאמר בנושא תת-רשתות.

סוגים של נתיבי תת-רשת

רשת VPC יכולה לכלול את סוגי המסלולים הבאים של רשתות משנה:

  • נתיבי תת-רשת לתת-רשתות באותה רשת VPC, שנקראים נתיבי תת-רשת מקומיים.
  • נתיבי תת-רשת של NCC שיובאו מ-VPC spokes של NCC hub.
  • נתיבי תת-רשת של קישור בין רשתות שכנות (peering) שמיוצאים מרשתות שמחוברות באמצעות קישור בין רשתות שכנות (peering) של VPC.

טווח היעדים של כל סוגי המסלולים ברשתות המשנה חייב להיות ייחודי. למידע נוסף:

נתיבי תת-רשת היברידיים

נתיבי תת-רשת מקומיים ונתיבי תת-רשת של רשתות משנה מקושרות יכולים להיות נתיבי תת-רשת היברידיים אם הוגדרה תת-הרשת המתאימה לשימוש בניתוב תת-רשת היברידי.

מחזור החיים של נתיבי תת-רשת

לכל טווחי כתובות ה-IP שמהווים חלק מרשת משנה – טווחי כתובות IPv4 ראשיים, טווחי כתובות IPv4 משניים וטווחי כתובות IPv6 – יש מסלול רשת משנה תואם. Cloud de Confiance יוצר ומוחק מסלולי רשת משנה בתרחישים הבאים:

  • אתם מבצעים שינוי בהגדרת תת-הרשת, לדוגמה:

    • להוסיף או למחוק רשת משנה.
    • מרחיבים טווח IPv4 ראשי.
    • להוסיף או למחוק טווח משני של כתובות IPv4.
    • הוספה או מחיקה של טווח IPv6.

  • ‫Cloud de Confiance מוסיף אזור חדש, שמוסיף אוטומטית תת-רשת חדשה לרשתות במצב אוטומטי של VPC. מידע על טווחי כתובות IPv4 לכל רשת משנה לפי האזור שלה מופיע במאמר טווחים של IPv4 במצב אוטומטי.

מסלולים דינמיים

נתבי Cloud Router מנחים את רשת ה-VPC ליצור, לעדכן ולהסיר מסלולים דינמיים על סמך הודעות Border Gateway Protocol ‏(BGP) שהתקבלו, מדיניות רלוונטית של מסלולי BGP ומסלולים מותאמים אישית שנלמדו על ידי Cloud Router.

מסלולים דינמיים נוצרים באזור אחד או בכל האזורים על סמך מצב הניתוב הדינמי ומצב בחירת הנתיב הטוב ביותר של רשת ה-VPC שמכילה את Cloud Router. למידע נוסף, תוכלו לקרוא את המאמרים הבאים:

הניתוב הבא של מסלול דינמי יכול להיות אחד מהבאים:

אם לא ניתן לגשת לניתוב הבא של ניתוב דינמי, נתב Cloud Router שמנהל את סשן ה-BGP שלו מורה לרשת ה-VPC להסיר את הניתוב הדינמי. מידע נוסף זמין במאמר שינויים במצב BGP.

סוגים של מסלולים דינמיים

רשת VPC יכולה לכלול את הסוגים הבאים של מסלולים דינמיים:

Cloud de Confiance פותר התנגשויות בין מסלולים דינמיים ומסלולי רשת משנה כפי שמתואר במאמר אינטראקציות עם מסלולים דינמיים.

מסלולי ברירת מחדל שנוצרו על ידי המערכת

למסלול ברירת מחדל יש את היעד הרחב ביותר האפשרי: 0.0.0.0/0 ל-IPv4 ו-::/0 ל-IPv6. Cloud de Confiance רק משתמשים במסלול ברירת מחדל כדי להעביר חבילה כשהחבילה לא תואמת למסלול ספציפי יותר בסדר הניתוב.

היעדר נתיב ברירת מחדל לא בהכרח מבודד את הרשת שלכם מהאינטרנט, כי נתיבי ניתוב מיוחדים למאזנים חיצוניים של עומסי רשת להעברת סיגנל ללא שינוי ולהעברת פרוטוקול חיצונית לא מסתמכים על נתיב ברירת מחדל.

כשיוצרים רשת VPC,‏Cloud de Confiance מוסיף נתיב ברירת מחדל של IPv4 שנוצר על ידי המערכת לרשת ה-VPC. מסלול ברירת המחדל של IPv4 שנוצר על ידי המערכת הוא מסלול סטטי מקומי עם יעד 0.0.0.0/0 ושער ברירת מחדל של האינטרנט כצעד הבא. מסלול סטטי מקומי עם יעד 0.0.0.0/0 והשער של הצעד הבא שמוגדר כברירת מחדל לאינטרנט מספק נתיב לכתובות IPv4 חיצוניות, כולל כתובות IPv4 באינטרנט. בדוגמאות הבאות של משאבים נעשה שימוש בנתיב הזה:

  • מכונות וירטואליות עם כתובות IPv4 חיצוניות שמוקצות לממשקי הרשת שלהן, כשהמקורות של החבילות שהן שולחות תואמים לכתובת ה-IPv4 הפנימית הראשית של ממשק הרשת.
  • שער Cloud NAT ציבורי שהוגדר לספק שירותי NAT לרשתות משנה שמשמשות ממשקי רשת של מכונות וירטואליות. גם ב-NAT44 וגם ב-NAT64, שערים ציבוריים של Cloud NAT תמיד תלויים במסלול סטטי מקומי של IPv4 שמשתמש בצעד הבא של שער האינטרנט שמוגדר כברירת מחדל. מידע נוסף על סוגי התנועה שאפשר לתרגם באמצעות שערים ציבוריים של Cloud NAT זמין במאמר מפרטים כלליים.

כשיוצרים רשת משנה עם טווח כתובות IPv6 חיצוניות, מערכתCloud de Confiance מוסיפה לרשת ה-VPC נתיב ברירת מחדל של IPv6 שנוצר על ידי המערכת, אם עדיין אין כזה. מסלול ברירת המחדל של IPv6 שנוצר על ידי המערכת הוא מסלול סטטי מקומי עם יעד ::/0 ועם שער ברירת מחדל של האינטרנט לצעד הבא. מסלול סטטי מקומי עם ::/0יעד ושער אינטרנט שמוגדר כברירת מחדל לצעד הבא מספק נתיב לכתובות IPv6 חיצוניות, כולל כתובות IPv6 באינטרנט. הנתיב הזה יכול לשמש את:

  • מכונות וירטואליות עם טווחי כתובות IPv6 חיצוניות שהוקצו לממשקי הרשת שלהן, כשהמקור של החבילות שהן שולחות נמצא בטווחי הכתובות האלה./96/96

הגישה ל-Google APIs גלובליים לפעמים תלויה בנתיב ברירת מחדל מקומי של IPv4 או IPv6 עם קפיצה הבאה של שער אינטרנט כברירת מחדל:

  • אם אתם ניגשים לממשקי Google APIs ולשירותים גלובליים על ידי שליחת מנות לנקודת קצה של Private Service Connect לממשקי Google APIs גלובליים, לא נדרש ברשת ה-VPC שלכם מסלול ברירת מחדל עם קפיצה הבאה של שער אינטרנט כברירת מחדל. Cloud de Confiance מוסיף נתיב ניתוב מיוחד לנקודת הקצה.

  • אם אתם ניגשים לשירותים ולממשקי Google APIs גלובליים על ידי שליחת מנות לכתובות IPv4 או IPv6 עבור הדומיינים שמוגדרים כברירת מחדל, לכתובות IPv4 או IPv6 של private.googleapis.com או לכתובות IPv4 או IPv6 של restricted.googleapis.com, אתם יכולים להשתמש במסלולי IPv4 ו-IPv6 שמוגדרים כברירת מחדל עם הצעד הבא של שער האינטרנט שמוגדר כברירת מחדל, או ליצור ולהשתמש במסלולים סטטיים של IPv4 ו-IPv6 עם יעדים ספציפיים יותר והצעד הבא של שער האינטרנט שמוגדר כברירת מחדל:

    • אם למכונות הווירטואליות יש רק כתובות IP פנימיות, כדאי לעיין באפשרויות הניתוב של גישה פרטית ל-Google.
    • אם למכונות הווירטואליות שלכם יש כתובות IP חיצוניות, כדאי לעיין באפשרויות הניתוב.

אינטראקציות עם נתיבים

בקטעים הבאים מתוארות האינטראקציות בין מסלולי משנה של רשתות משנה לבין סוגים אחרים של מסלולים.

אינטראקציות בין נתיבי תת-רשתות לבין נתיבים סטטיים

‫Cloud de Confiance אוכף את הכללים הבאים לגבי מסלולי ניתוב של תת-רשת מקומית, מסלולי ניתוב של תת-רשתות בחיבור VPC, ומסלולי ניתוב של תת-רשתות ב-NCC אלא אם תת-הרשת המתאימה הוגדרה לשימוש בניתוב היברידי של תת-רשתות.

  • Cloud de Confiance לא מאפשרת ליצור נתיב סטטי חדש אם היעד של הנתיב הסטטי החדש זהה בדיוק ליעד של נתיב קיים ברשת משנה מקומית, ברשת משנה של שותף או ברשת משנה של NCC, או שהוא נכלל בו. לדוגמה:

    • אם קיים מסלול של רשת משנה מקומית, מסלול של רשת משנה בפירינג או מסלול של רשת משנה ב-NCC עם היעד 10.70.1.0/24, אי אפשר ליצור מסלול סטטי חדש עבור 10.70.1.0/24, 10.70.1.0/25, 10.70.1.128/25 או כל יעד אחר שמתאים ל-10.70.1.0/24.

    • אם קיים מסלול מקומי או מסלול של רשת משנה עם יעד 2001:0db8:0a0b:0c0d::/64, אי אפשר ליצור מסלול סטטי חדש ל-2001:0db8:0a0b:0c0d::/64, ל-2001:0db8:0a0b:0c0d::/96 או לכל יעד אחר שמתאים ל-2001:0db8:0a0b:0c0d::/64.

  • Cloud de Confiance לא מאפשרת לבצע שינויים ברשתות משנה שיוצרים טווח כתובות IP ברשת משנה שתואם בדיוק ליעד של נתיב סטטי מקומי או של נתיב סטטי של קישור בין רשתות שכנות (peering) קיים, או מכיל אותו. לדוגמה:

    • אם ברשת ה-VPC יש נתיב סטטי עם היעד 10.70.1.128/25, אי אפשר ליצור רשת משנה חדשה עם טווח כתובות IPv4 ראשי או משני של 10.70.1.128/25, של 10.70.1.0/24 או של כל טווח כתובות IP אחר שמכיל את כל כתובות ה-IPv4 ב-10.70.1.128/25.

    • אם ברשת ה-VPC יש נתיב סטטי עם היעד 2001:db8:a0b:c0d:e0f:f0e::/96,אי אפשר ליצור נתיב חדש של רשת משנה מקומית או של רשת משנה בפירינג עם טווח כתובות IPv6 של 2001:db8:a0b:c0d::/64 או כל טווח אחר שמכיל את כל כתובות ה-IPv6 ב-2001:db8:a0b:c0d:e0f:f0e::/96. Cloud de Confiance

אינטראקציות בין נתיבי תת-רשת לנתיבים דינמיים

‫Cloud de Confiance אוכף את הכללים הבאים אלא אם הוגדר תת-רשת לשימוש בניתוב היברידי של תת-רשתות.

  • ‫Cloud de Confiance לא יוצר מסלול דינמי אם Cloud Router שולח קידומת שתואמת בדיוק ליעד של מסלול קיים ברשת משנה מקומית, ברשת משנה של שותף או ברשת משנה של NCC, או שנכללת בתוכו. לדוגמה:

    • אם קיים מסלול מקומי, מסלול של רשת שכנה או מסלול של רכזת NCC עם היעד 10.70.1.0/24, ואם Cloud Router ברשת ה-VPC, ברשת VPC שכנה או ברשת שמכילה רכזת NCC היברידית מקבל את 10.70.1.128/25, את 10.70.1.0/24 או כל קידומת אחרת שמתאימה ל-10.70.1.0/24,‏ Cloud de Confiance לא יוצר מסלולים דינמיים מקומיים, מסלולים של רשת שכנה או מסלולים של רכזת NCC לקידומות הסותרות שהתקבלו.

    • אם קיים מסלול מקומי, מסלול של קישור בין רשתות VPC שכנות או מסלול של NCC עם יעד 2001:0db8:0a0b:0c0d::/64, ואם נתב Cloud ברשת ה-VPC, ברשת VPC שכנה או ברשת שמכילה רכזת היברידית של NCC מקבל את 2001:0db8:0a0b:0c0d::/96, את 2001:0db8:0a0b:0c0d::/64 או כל קידומת אחרת שמתאימה ל-2001:0db8:0a0b:0c0d::/64,‏ Cloud de Confiance לא יוצר מסלולים דינמיים מקומיים, מסלולים של קישור בין רשתות VPC שכנות או מסלולים של NCC לקידומות הסותרות שהתקבלו.

  • Cloud de Confiance מסירה כל מסלול דינמי קיים אם שינוי ברשתות המשנה מוביל ליצירה של מסלול חדש ברשת משנה מקומית, ברשת משנה של שירותי קישור או ברשת משנה של NCC, שהיעד שלו זהה בדיוק ליעד של המסלול הדינמי הקיים ברשת משנה מקומית, ברשת משנה של שירותי קישור או ברשת משנה של NCC, או מכיל אותו. לדוגמה:

    • אם ברשת ה-VPC יש מסלול דינמי מקומי, מסלול דינמי של שירותי VPC או מסלול דינמי של NCC עם 10.70.1.128/25 כיעד,Cloud de Confiance מסיר את המסלול הדינמי כשנוצר מסלול חדש של רשת משנה מקומית, של שירותי VPC או של NCC עבור 10.70.1.128/25, 10.70.1.0/24 או כל טווח כתובות IP אחר שמכיל את כל כתובות ה-IPv4 ב-10.70.1.128/25.

    • אם ברשת ה-VPC יש מסלול דינמי מקומי, מסלול דינמי של קישור בין רשתות שכנות או מסלול דינמי של NCC עם 2001:db8:a0b:c0d::/96יעד Cloud de Confiance , המסלול הדינמי יוסר כשייווצר מסלול חדש של רשת משנה מקומית, של קישור בין רשתות שכנות או של NCC עבור 2001:db8:a0b:c0d::/64.

תחולה וסדר

נתיבים רלוונטיים

לכל מופע, מנהרת Cloud VPN וצירוף ל-VLAN יש קבוצה של מסלולים רלוונטיים – מסלולים שרלוונטיים למשאב הספציפי הזה. המסלולים הרלוונטיים הם קבוצת משנה של כל המסלולים ברשת ה-VPC.

סוגי המסלולים הבאים חלים תמיד על כל המכונות הווירטואליות, קבצים מצורפים של VLAN ומנהרות Cloud VPN:

אפשר להגדיר את סוגי המסלולים הבאים כך שיחולו רק על מכונות וירטואליות מסוימות, על חיבורי VLAN או על מנהרות Cloud VPN:

  • ניתוב על סמך מדיניות יכול לחול על:

    • כל המכונות הווירטואליות, הצירופים ל-VLAN ומנהרות Cloud VPN
    • רק מכונות וירטואליות שמזוהות על ידי תגי רשת
    • רק צירופים ל-VLAN באזור מסוים

  • מסלולים סטטיים יכולים לחול על:

    • כל המכונות הווירטואליות, הצירופים ל-VLAN ומנהרות Cloud VPN
    • רק מכונות וירטואליות שמזוהות באמצעות תגי רשת

  • ניתוב דינמי יכול לחול על מכונות וירטואליות, על חיבורי VLAN ועל מנהרות Cloud VPN באזור שמכיל את הניתוב הדינמי של ה-hop הבא, או בכל האזורים, בהתאם למצב הניתוב הדינמי של רשת ה-VPC.

נתיבי ניתוב מיוחדים

ברשתות VPC יש מסלולים מיוחדים לשירותים מסוימים. נתיבי הניתוב המיוחדים האלה לא מופיעים בטבלת המסלולים של רשת ה-VPC. אי אפשר להסיר נתיבי ניתוב מיוחדים. עם זאת, אפשר לאשר או לדחות חבילות באמצעות כללי חומת אש של VPC או מדיניות חומת אש.

נתיבים למאזני עומסי רשת חיצוניים להעברת סיגנל ללא שינוי ולהעברת פרוטוקולים חיצוניים

מאזני עומסים חיצוניים של רשת להעברת סיגנל ללא שינוי והעברת פרוטוקולים חיצונית משתמשים במערכות Maglev כדי לנתב חבילות מלקוחות באינטרנט למכונות וירטואליות בעורף ולמכונות יעד ברשת ה-VPC. מערכות Maglev האלה מנתבות חבילות שיש להן יעדים שתואמים ליעד של כלל ההעברה החיצוני.

כל כלל העברה למאזן עומסי רשת חיצוני להעברת סיגנל ללא שינוי או להעברת פרוטוקול חיצונית מספק גם נתיב ניתוב למכונות הווירטואליות בקצה העורפי או למופע היעד לשליחת מנות ליעדים מחוץ לרשת ה-VPC:

  • חבילות שנשלחות על ידי מכונות וירטואליות של קצה עורפי או מופעי יעד יכולות להיות חבילות תגובה יוצאות (שנשלחות חזרה ללקוח) או חבילות יוצאות שיוזמות חיבור חדש.
  • כתובות ה-IP של המקור של חבילות הנתונים צריכות להיות זהות לכתובת ה-IP של כלל ההעברה. הפרוטוקול של המנה והיציאה של המקור לא צריכים להיות זהים לפרוטוקול ולמפרט היציאה של כלל ההעברה.
  • נתיבי הניתוב של כללי ההעברה לא תלויים בנתיב ברירת מחדל או בשימוש בשער האינטרנט של ברירת המחדל של הצעד הבא.
  • לא צריך להפעיל העברת IP במכונות וירטואליות של קצה עורפי ובמכונות יעד.

נתיבים בין ממשקי קצה של Google לבין שרתים עורפיים

מאזני עומסים חיצוניים של אפליקציות (ALB) ומאזני עומסי רשת חיצוניים לשרת proxy משתמשים ב-Google Front Ends‏ (GFE). ‫GFE בשכבה השנייה פותחים חיבורי TCP למכונות הווירטואליות של ה-Backend ושולחים מנות מהמקורות הבאים:

  • 35.191.0.0/16 ו-130.211.0.0/22 ל-IPv4
  • 2600:2d00:1:1::/64 ל-IPv6

Cloud de Confiance משתמשת בנתיבים ברשת של Google כדי להעביר מנות מטווח כתובות המקור אל מכונות וירטואליות בעורף ברשת ה-VPC. כל רשת VPC כוללת נתיבי ניתוב שמאפשרים למכונות וירטואליות לשלוח חבילות תגובה לטווחים.

נתיבים לבדיקות תקינות

בדיקות תקינות לכל מאזני העומסים ולתיקון אוטומטי של קבוצת מופעי מכונה מנוהלים שולחות חבילות למכונות ה-VM בקצה העורפי מטווחים של כתובות IP של בדיקות תקינות.

‫Cloud de Confiance משתמש בנתיבים ברשת של Google כדי להעביר חבילות נתונים ממערכות בדיקת תקינות למכונות וירטואליות ברשת ה-VPC. כל רשת VPC כוללת נתיבי ניתוב שמאפשרים למכונות וירטואליות לשלוח חבילות תגובה למערכות של בדיקות התקינות.

נתיבים לשרת proxy לאימות זהויות (IAP)

IAP להעברת TCP משתמש ב-35.235.240.0/20 (IPv4) וב-2600:2d00:1:7::/64 (IPv6). הטווחים האלה משמשים באופן בלעדי ברשת הייצור של Google, ואי אפשר להשתמש בהם למטרה אחרת:

  • נתבים של Google edge משמיטים מנות מהאינטרנט אם המנות מזייפות כתובות IP של מקור מטווחי ה-IAP. גם לנתבי קצה של Google אין קפיצות תקפות ליעדים בטווחים האלה.

  • כל רשת VPC כוללת מסלולים שלא ניתן להסיר, שהיעדים שלהם הם טווחי ה-IAP. המסלולים האלה מספקים תקשורת בין שרתי proxy של IAP לבין מכונות וירטואליות (לפרוטוקולים אדמיניסטרטיביים כמו SSH ו-RDP). אי אפשר להשתמש בטווחים של IAP כטווחים של רשתות משנה ברשתות VPC באופן פרטי.

נתיבים ל-Cloud DNS ול-Service Directory

התכונות הבאות של Cloud DNS ושל Service Directory משתמשות ב-177.222.82.0/25:

הטווח הזה משמש באופן בלעדי ברשת של סביבת הייצור של Google, ואי אפשר להשתמש בו למטרה אחרת:

  • נתבים של Google בקצה הרשת משמיטים מנות מהאינטרנט אם המנות מזייפות כתובות IP של מקור מטווח התכונות של Cloud DNS ושל Service Directory. גם לנתבי הקצה של Google אין קפיצות תקפות ליעדים בטווח הזה.

  • כל רשת VPC כוללת מסלול שלא ניתן להסרה, שהיעד שלו הוא טווח Cloud DNS ו-Service Directory. המסלול הזה מאפשר לשרתי proxy של Cloud DNS ושל Service Directory לתקשר עם משאבים ברשת VPC. אי אפשר להשתמש בטווח של Cloud DNS ו-Service Directory כטווח של תת-רשת ברשת VPC באופן פרטי.

נתיבים לחיבור לרשת (VPC) מאפליקציית serverless

Serverless VPC Access משתמש ב-35.199.224.0/19. הטווח הזה משמש באופן בלעדי ברשת הייצור של Google, ואי אפשר להשתמש בו למטרה אחרת:

  • נתבים של Google edge משמיטים מנות מהאינטרנט אם המנות מזייפות כתובות IP של מקור מטווח הכתובות של חיבור לרשת (VPC) מאפליקציית serverless. גם לנתבי קצה של Google אין קפיצות תקפות ליעדים בטווח הזה.

  • כל רשת VPC כוללת מסלול שלא ניתן להסרה, שהיעד שלו הוא טווח ה-IP של חיבור לרשת (VPC) מאפליקציית serverless. המסלול הזה מאפשר למופעי ה-VM שמפעילים מחברים של חיבור לרשת (VPC) מאפליקציית serverless לתקשר עם מוצרים של serverless. אי אפשר להשתמש בטווח של Serverless VPC Access כטווח של רשת משנה ברשת VPC.

נתיבים ל-Chrome Enterprise Premium

Chrome Enterprise Premium משתמש ב-136.124.16.0/20. הטווח הזה משמש באופן בלעדי ברשת של סביבת הייצור של Google, ואי אפשר להשתמש בו למטרה אחרת:

  • נתבים של Google edge משמיטים מנות מהאינטרנט אם המנות מזייפות כתובות IP של מקור מטווחים של Chrome Enterprise Premium. לנתבי הקצה של Google אין גם קפיצות תקפות לכתובות יעד בטווחים האלה.

  • כל רשת VPC כוללת מסלולים שלא ניתן להסיר, והיעדים שלהם הם טווחי Chrome Enterprise Premium. הנתיבים האלה מאפשרים תקשורת בין שערי Chrome Enterprise Premium מאובטחים לבין אפליקציות פרטיות שפועלות במשאבים ברשת VPC. אי אפשר להשתמש בטווחים של Chrome Enterprise Premium כטווחים של תת-רשתות ברשתות VPC.

נתיבים לנקודות קצה של Private Service Connect לממשקי Google APIs גלובליים

כשיוצרים נקודת קצה של Private Service Connect לממשקי Google APIs גלובליים,‏Cloud de Confiance מוסיף מסלול לנקודת הקצה לרשת ה-VPC. היעד של המסלול הוא כתובת ה-IP הפנימית הגלובלית של נקודת הקצה.

סדר הניתוב

יכול להיות שיש יותר ממסלול רלוונטי אחד לחבילה מסוימת. השלבים הבאים מתארים את התהליך שבו Cloud de Confiance משתמשים כדי לבחור נתיב.

  1. נתיבי ניתוב מיוחדים: חלק מCloud de Confiance נתיבי הניתוב המיוחדים לא מוצגים בטבלאות הניתוב של רשת ה-VPC. פרטים נוספים זמינים במאמר בנושא נתיבי ניתוב מיוחדים.

    אם יש נתיב ניתוב מיוחד שרלוונטי, מודל בחירת המסלול יכיל רק את הנתיב המיוחד. המערכת מתעלמת מכל המסלולים האחרים, וההערכה מסתיימת בשלב הזה.

  2. ניתוב על סמך מדיניות: ניתוב על סמך מדיניות מוערך אחרי נתיבי ניתוב מיוחדים, אבל לפני סוגים אחרים של ניתוב. אם אין מסלולים מבוססי-מדיניות ברשת ה-VPC, Cloud de Confiance השלב הזה יידלג והמערכת תמשיך לשלב מסלולי רשת משנה.

    Cloud de Confiance מעריך מסלולים מבוססי-מדיניות רק לפי העדיפות שלהם. Cloud de Confiance מעריך את המקור והיעד של מנהל התקשורת לכל מסלול מבוסס-מדיניות, החל מהמסלול או המסלולים מבוססי-המדיניות בעלי העדיפות הגבוהה ביותר.Cloud de Confiance אם המאפיינים של מנה לא תואמים לנתיב מבוסס-מדיניות, Cloud de Confiance המערכת מתעלמת מהנתיב מבוסס-המדיניות הזה וממשיכה להעריך את הנתיב מבוסס-המדיניות הבא ברשימה הממוינת. יכול להיות שהנתיב הבא מבוסס-המדיניות שייבדק יהיה בעל אותה עדיפות כמו הנתיב מבוסס-המדיניות שהמערכת התעלמה ממנו, או בעל עדיפות נמוכה יותר.

    • אם המאפיינים של מנה לא תואמים לאף נתיב מבוסס-מדיניות אחרי הערכה של כל הנתיבים מבוססי-המדיניות במודל לבחירת נתיבים,Cloud de Confiance מתעלם מכל הנתיבים מבוססי-המדיניות וממשיך לשלב נתיבי רשת המשנה.

    • אם מאפייני החבילה תואמים לנתיב מבוסס-מדיניות עם העדיפות הכי גבוהה, Cloud de Confiance המערכת מתעלמת קודם מכל הנתיבים מבוססי-המדיניות עם עדיפות נמוכה יותר. אם נשארו ברשימה שתי מדיניות או יותר מבוססות-כללים, Cloud de Confiance מעריך כל אחת מהמדיניות הנותרות מבוססות-הכללים עם עדיפויות זהות. Cloud de Confiance מתעלם מכל מדיניות מבוססת-כללים שנותרה אם מאפייני החבילה לא תואמים לה. אחרי השלב הזה, יכול להיות שמודל בחירת המסלול יכלול מסלול אחד או יותר שמבוססים על מדיניות.

    • אם מודל בחירת המסלול כולל שני מסלולים או יותר שתואמים למסלולים מבוססי-מדיניות עם העדיפות הגבוהה ביותר, Cloud de Confiance בוחר מסלול מבוסס-מדיניות יחיד באמצעות אלגוריתם פנימי. יכול להיות שהנתיב שנבחר שמבוסס על מדיניות הוא לא ההתאמה הכי ספציפית למקור או ליעד של החבילה. כדי להימנע מהדו-משמעות הזו, מומלץ ליצור מסלולים מבוססי-מדיניות עם עדיפויות ייחודיות.

    • אם מודל בחירת המסלול כולל רק מסלול אחד שמבוסס על מדיניות עם העדיפות הכי גבוהה, שהוגדר לדילוג על מסלולים אחרים שמבוססים על מדיניות, Cloud de Confianceהמערכת מתעלמת מכל המסלולים שמבוססים על מדיניות וממשיכה לשלב מסלולי רשת משנה.

    • אם מודל בחירת המסלול כולל רק מסלול יחיד מבוסס-מדיניות בעדיפות הכי גבוהה שלא מוגדר לדלג על מסלולים אחרים מבוססי-מדיניות, Cloud de Confiance מעביר את המנה ל-מאזן עומסי רשת פנימי מסוג passthrough של ה-hop הבא, ומתעלם מכל המסלולים שלא מבוססי-מדיניות.

  3. Subnet routes: Cloud de Confiance הבדיקה הזו קובעת אם היעד של המנה מתאים לטווח היעד של נתיב תת-רשת מקומי, של קישור (peering) או של Network Connectivity Center ברשת ה-VPC.

    • No matching subnet route: If a packet's destination doesn't match the destination range of any subnet route, Cloud de Confiance disregards all subnet routes. מסירים את כל המסלולים של רשתות המשנה ממודל בחירת המסלולים וממשיכים לשלב היעד הספציפי ביותר כדי להעריך מסלולים סטטיים ודינמיים.

    • התאמה למסלול רגיל של רשת משנה: ברוב רשתות המשנה, אם היעד של מנהת מידע תואם לטווח היעד של מסלול רגיל של רשת משנה,Cloud de Confiance המסלול של רשת המשנה משמש באופן בלעדי Cloud de Confiance, מתעלמים מכל המסלולים האחרים וההערכה נעצרת בשלב הזה. אם יעד החבילה לא משויך למשאב או שייך למכונה וירטואלית שהופסקה, החבילה תימחק.

    • התאמה לנתיב של רשת משנה היברידית: אם היעד של חבילת נתונים תואם לטווח היעדים של נתיב של רשת משנה היברידית, והיעד תואם לכתובת IP שמשויכת למכונה וירטואלית פעילה או לכלל העברת תעבורה פנימי, Cloud de Confianceחבילת הנתונים מנותבת באמצעות הנתיב של רשת המשנה ההיברידית. Cloud de Confianceהמערכת מתעלמת מכל הנתיבים האחרים, וההערכה מסתיימת בשלב הזה.

      אם היעד לא תואם למכונה וירטואלית שפועלת או לכלל העברת נתונים פנימי, אפשר לעיין במאמר משאבים לא תואמים במסלולי רשת משנה היברידית.

  4. היעד הספציפי ביותר: בתחילת השלב הזה, Cloud de Confiance מתעלם מכל נתיבי הניתוב המיוחדים, מנתיבי הניתוב שמבוססים על מדיניות ומנתיבי הניתוב של רשתות המשנה.

    ‫Cloud de Confiance determines which applicable static or dynamic routes have the most specific destination that contains the destination IP address of the packet. Cloud de Confiance disregards all routes except those with the most specific destination. לדוגמה, 10.240.1.0/24 הוא יעד ספציפי יותר מ-10.240.0.0/16.

    בסיום השלב הזה, מודל בחירת המסלולים יכיל רק מסלולים סטטיים או דינמיים עם יעדים זהים.

  5. Select only the most favorable custom route type: בשלב הזה, Cloud de Confianceמסיר את כל המסלולים המותאמים אישית חוץ מסוג המסלול המותאם אישית המועדף ביותר. מסלולים מקומיים בהתאמה אישית עדיפים על מסלולים דינמיים של NCC, ומסלולים דינמיים של NCC עדיפים על מסלולים בהתאמה אישית של שותפי פירינג.

    בטבלה הבאה מפורט ההיגיון שבו Cloud de Confiance משתמש בשלב הזה.

    קטגוריית מסלולים בהתאמה אישית מה קורה
    מסלולים מקומיים דינמיים ומסלולים מקומיים סטטיים

    אם מודל המסלול מכיל לפחות מסלול מקומי דינמי אחד או מסלול מקומי סטטי אחד ליעד, Cloud de Confiance הפונקציה מסירה את סוגי המסלולים המותאמים אישית הבאים, אם הם קיימים במודל המסלול:

    • מסלולים דינמיים של NCC ממרכזי רשת היברידיים, ברשתות VPC שונות
    • מסלולים דינמיים של קישור בין רשתות שכנות (שמיובאים מרשתות VPC אחרות שמקושרות באמצעות קישור בין רשתות VPC שכנות)
    מסלולים דינמיים של NCC אם כל התנאים הבאים מתקיימים, Cloud de Confiance מסירה את כל המסלולים הדינמיים והסטטיים של הקישור בין רשתות מהמודל של המסלולים:
    • מודל המסלול לא מכיל מסלולים מקומיים בהתאמה אישית ליעד
    • מצב המסלול שלך מכיל לפחות מסלול דינמי אחד של NCC ליעד
    • המסלול הדינמי של NCC מגיע מ-spoke היברידי ברשת VPC אחרת
    מסלולים דינמיים ומסלולים סטטיים של שותפות peering סוג הנתיב המותאם אישית הכי פחות מועדף מכיל נתיבים מותאמים אישית של שיתוף פעולה. ניתוב מותאם אישית של יעד באמצעות Peering משמש רק אם מודל הניתוב לא מכיל ניתוב מותאם אישית מקומי או ניתוב דינמי של NCC ליעד.

  6. בחירת הצעדים הבאים במסלולים מותאמים אישית של שילוב רשתות מתוך רשת VPC אחת: הצעדים הבאים לאותו יעד חייבים להיות ממוקמים באותה רשת VPC. השלב הזה רלוונטי רק אם מודל המסלול שלכם מכיל מסלולים דינמיים או סטטיים של קישור בין רשתות VPC שכנות (peering) שיובאו משתי רשתות VPC שונות או יותר שמקושרות באמצעות קישור בין רשתות VPC שכנות (peering).

    ‫Cloud de Confiance משתמש באלגוריתם פנימי כדי לייבא מסלולים מותאמים אישית של שירותי Peering מרשת VPC אחת. הרשת השכנה שCloud de Confiance תבחרו עשויה להשתנות אם רשת ה-VPC שלכם מקושרת לרשת VPC חדשה או אם היא מתנתקת מרשת VPC שכנה קיימת.

  7. התעלמות ממסלולים סטטיים ודינמיים עם צעדים הבאים לא שמישים: השלב הזה מדמה מצבים שבהםCloud de Confiance מתעלם מצעדים הבאים שמושבתים או לא תקינים.

    • הגדרה לא חוקית של כתובת ה-IP של המכונה הווירטואלית של הצעד הבא: הערך next-hop-address של מסלול סטטי צריך להיות זהה לכתובת IP שמוקצית למכונה וירטואלית ברשת ה-VPC של המסלול. כתובת ה-IP צריכה להיות מוקצית לממשק הרשת של המכונה הווירטואלית כאחת מהאפשרויות הבאות:

      • כתובת IPv4 פנימית ראשית
      • כתובת IPv6 פנימית
      • כתובת IPv6 חיצונית

      אם כתובת ה-IP שצוינה על ידי next-hop-address תואמת לסוג אחר של משאב (כמו טווח כתובות IP של כינוי) או לא תואמת לאף משאב, next-hop-address מתעלם מהמסלול.Cloud de Confiance

    • מכונת הצעד הבא הופסקה או נמחקה: Cloud de Confiance המערכת מתעלמת מכל מסלול סטטי שמכונת הצעד הבא שלו הופסקה או נמחקה. ההתנהגות הזו חלה על מסלולים שהקפיצות הבאות שלהם מוגדרות באמצעות next-hop-instance או next-hop-address. מידע נוסף זמין במאמר בנושא התנהגות כשמפסיקים או מוחקים מופעים.

    • הגדרה לא חוקית של כתובת IP של מאזן עומסי רשת של הצעד הבא: במסלולים סטטיים שבהם מאזן עומסי הרשת של הצעד הבא מוגדר לפי כתובת IP, כתובת ה-IP צריכה להתאים לכלל העברה של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי שנמצא ברשת ה-VPC של המסלול או ברשת VPC מקושרת. אם כתובת ה-IP של הנתב הבא תואמת לכלל העברה של סוג אחר של מאזן עומסים או לא תואמת לכלל העברה,Cloud de Confiance המסלול מתבטל.

    • מנהרת VPN קלאסי לא פעילה של הצעד הבא: Cloud de Confiance מתעלמת מכל מסלול סטטי עם מנהרת VPN קלאסי של הצעד הבא שאין לה שיוך אבטחה (SA) פעיל בשלב 1 (IKE). פרטים נוספים זמינים במאמר בנושא סדר המסלולים במאמרי העזרה בנושא VPN קלאסי.

    • ניתוב דינמי עם קפיצה הבאה לא פונקציונלית: עוד לפני שסשן ה-BGP שאחראי לתכנות של ניתוב דינמי מפסיק לפעול, Cloud de Confianceמתעלמים מניתוב דינמי אם מנהרת Cloud VPN, קובץ ה-VLAN או מכונת ה-VM של מכשיר הנתב של הקפיצה הבאה לא פונקציונליים. המצב הזה בדרך כלל קיים רק לכמה שניות לפני שהמסלול הדינמי מוסר כשהסשן התואם של Cloud Router BGP מושבת.

    Cloud de Confiance לא מאמתת אם מערכת ההפעלה של מכונת VM של קפיצה הבאה או מכונת VM של קצה עורפי של איזון עומסים של קפיצה הבאה מעבדת חבילות. מידע נוסף זמין במאמר שיקולים משותפים למאזן עומסי רשת להעברת סיגנל ללא שינוי ולמאזן עומסי רשת פנימי בנוגע לניתוב קפיצה הבא.

  8. התעלמות מנתיבים בעדיפות נמוכה: בשלב הזה המערכת מדמה את האופן שבו Cloud de Confiance מסירה את כל הנתיבים מלבד אלה עם העדיפות הכי גבוהה.

    אחרי השלב הזה, יכול להיות שמודל המסלול יהיה ריק, או שהוא יכיל מסלול אחד או יותר. אם המודל לא ריק, לכל המסלולים במודל יש את המאפיינים הבאים:

    • עדיפויות זהות
    • הצעדים הבאים שלא נפסלו
    • יעדים זהים
    • סוגי מסלולים שלא מבוססים על מדיניות או על נתיבי תת-רשת

  9. בחירת נקודות קפיצה הבאות למסלולים דינמיים של NCC מרשת VPC אחת לניתוב: נקודות קפיצה הבאות ליעד של מסלול דינמי של NCC חייבות להיות באותה רשת VPC לניתוב. השלב הזה רלוונטי רק אם מודל המסלול שלכם מכיל מסלולים דינמיים של NCC משני מרכזי רשת היברידיים או יותר שנמצאים ברשתות VPC שונות של ניתוב.

    Cloud de Confiance משתמש באלגוריתם פנימי כדי לבחור רשתות מסוג spoke היברידיות מתוך רשת VPC אחת של ניתוב. יכול להיות שה-spokes ההיברידיים שנבחרו ישתנו אם תשנו את מספר רשתות ה-VPC לניתוב שמכילות spokes היברידיים. כדי להימנע מהמצב הזה, צריך לוודא שלמסלולים דינמיים של NCC יש עדיפות ייחודית בכל רשת מסוג Hub-and-Spoke היברידית, אם רשתות מסוג Hub-and-Spoke היברידיות מגיעות משתי רשתות VPC שונות או יותר.

  10. בחירה רק של קטגוריית ההעדפות הכי נוחה: Cloud de Confiance לא מתבצעת בחירת נתיב בעלות שווה (ECMP) בין נתיבים ששייכים לקטגוריות העדפות שונות, כפי שמוגדר בשלב הזה.

    קטגוריית העדפות סוג המסלול וסוג הצעד הבא
    ההעדפה הראשונה (המועדפת ביותר) מסלול סטטי אחד או יותר עם מכונות של הצעד הבא (next-hop-instance או next-hop-address) או מנהרות VPN קלאסיות של הצעד הבא.
    העדפה שנייה מסלול דינמי אחד או יותר מסוג יחיד.
    הבחירה השלישית מסלול סטטי יחיד עם מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי בתור הצעד הבא.
    העדפה רביעית (הכי פחות מועדפת) מסלול סטטי אחד או יותר עם הצעד הבא default-internet-gateway.

    בשלב הזה, אם קיימים שני מסלולים סטטיים או יותר עם איזון עומסים של הצעד הבא,משאב Cloud de Confiance בוחר מסלול סטטי יחיד באמצעות אלגוריתם פנימי – משאבCloud de Confiance לא מבצע ECMP בין כמה מאזני עומסים. מידע נוסף זמין במאמר בנושא שיקולים לגבי קפיצות (hops) הבאות של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי.

    אחרי השלב הזה, יכול להיות שמודל המסלול יהיה ריק, או שהוא יכיל מסלול אחד או יותר. אם המודל לא ריק, לכל המסלולים במודל יש את המאפיינים הבאים:

    • קטגוריית העדפות זהה
    • עדיפויות זהות
    • הצעדים הבאים שלא נפסלו
    • הצעדים הבאים ברשת VPC אחת
    • יעדים זהים
    • סוגי מסלולים שלא מבוססים על מדיניות או על נתיבי תת-רשת

  11. שליחה או השמטה של חבילה: בהתאם למספר המסלולים שנותרו במודל המסלול, Cloud de Confiance החבילה נשלחת או מושמטת:

    • אם מודל המסלול מכיל מסלול יחיד, Cloud de Confiance הנתב שולח את המנה לקפיצה הבאה, עם היוצא מן הכלל הבא:

      אי אפשר להגיע למאזני עומסי רשת פנימיים להעברת סיגנל ללא שינוי של 'הקפיצה הבאה' שלא מופעלת בהם גישה גלובלית מאזורים שמחוץ לאזור של מאזן העומסים. לכן, אם במאזן עומסים של קפיצה הבאה לא מופעלת גישה גלובלית, הוא משליך את כל החבילות שנשלחות ממכונות וירטואליות, מחיבורי VLAN וממנהרות Cloud VPN באזורים שונים מהאזור של מאזן העומסים. Cloud de Confiance כדי לשנות את ההתנהגות הזו, מפעילים גישה גלובלית.

    • אם מודל המסלול מכיל שני מסלולים או יותר, Cloud de Confianceמבצע ECMP ומפיץ את המנות בין הצעדים הבאים. הבחירה של הניתוב הבא תלויה בחישוב גיבוב ובמספר הניתובים הבאים. Cloud de Confiance משתמשים בגיבוב של חמישה ערכים אם החבילה מכילה פרטי יציאה, אחרת משתמשים בגיבוב של שלושה ערכים. לא מובטח שתיבחר באופן עקבי קפיצה הבאה עבור גיבוב נתון –Cloud de Confianceעשוי להפנות מנות לקפיצה הבאה אחרת גם אם הגיבוב זהה ומודל המסלול לא השתנה.

    • אם מודל המסלול ריק, Cloud de Confiance החבילה נמחקת עם הודעה מסוג ICMP‏ 3, קוד 0 (הרשת לא נגישה).

משאבים לא תואמים בנתיבי תת-רשת היברידיים

אם מודל המסלול מכיל מסלול של רשת משנה היברידית, ויעד החבילה תואם לכתובת IP שמשויכת למכונה וירטואלית שהופסקה, או שלא משויכת למשאב כלשהו בטווח היעד של מסלול רשת המשנה ההיברידית,Cloud de Confiance משתמש בתהליך אחר כדי לנתב את החבילה. השלבים הבאים מתארים את התהליך שבו Cloud de Confiance משתמש כדי לנתב את החבילות האלה:

  1. מזהים את רשת ה-VPC שמכילה את נתיב רשת המשנה ההיברידית:

    • יכול להיות שהנתיב של תת-הרשת ההיברידית והמשאב ששולח מנות לטווח היעד של הנתיב של תת-הרשת ההיברידית משתמשים באותה רשת VPC. במקרה כזה, מסלול רשת המשנה ההיברידי הוא מסלול רשת משנה מקומי.

    • יכול להיות שהנתיב של תת-הרשת ההיברידית והמשאב ששולח חבילות לנתיב של תת-הרשת ההיברידית נמצאים ברשתות VPC שונות שמקושרות באמצעות קישור בין רשתות VPC שכנות. במקרה כזה, נתיב תת-הרשת ההיברידי הוא נתיב תת-רשת של קישור.

  2. מתחילים עם כל המסלולים של רשת ה-VPC שמכילה את המסלול של תת-הרשת ההיברידית, ואז מסירים את המסלולים הבאים:

    • כל המסלולים שמבוססים על מדיניות
    • כל נתיבי תת-הרשת
    • כל המסלולים הסטטיים שיש להם תגי רשת
    • כל המסלולים שיעדי הביניים שלהם רחבים יותר מהמסלול של רשת המשנה ההיברידית, ומכילים אותו, שהותאם במודל המסלול הראשון

  3. מבצעים את היעד הספציפי ביותר באמצעות השלבים של בחירת קטגוריית ההעדפות המתאימה ביותר בלבד בסדר הניתוב.

  4. הכללים הבאים קובעים אם Cloud de Confiance שולח או משליך את המנה:

    • אם מודל המסלול מכיל מסלול יחיד, והניתוב של המסלול הוא באותו אזור כמו הניתוב של רשת המשנה ההיברידית, Cloud de Confianceהחבילה נשלחת לניתוב הבא.

    • אם מודל המסלול מכיל שני מסלולים או יותר, Cloud de Confiance מתבצע ECMP בין המסלולים האלה. כשנקודת מעבר נמצאת באותו אזור כמו נתיב רשת המשנה ההיברידית, Cloud de Confiance שולח את המנה לנקודת המעבר הבאה.

    • Cloud de Confiance משליך את המנה עם הודעה מסוג ICMP‏ 3, קוד 0 (הרשת לא נגישה) אם מודל המסלול ריק, או אם הניתוב הבא נמצא באזור אחר מהניתוב של רשת המשנה ההיברידית.

    למסלולים הבאים יש קפיצות ביניים באזורים שונים מאזור רשת המשנה ההיברידית, ולכן הם תמיד גורמים להשמטת מנות:

    • מסלולים דינמיים שנלמדים על ידי Cloud Routers באזורים שונים מאזור המסלול של תת-הרשת ההיברידית, גם אם מצב הניתוב הדינמי של רשת ה-VPC שמכילה את ה-Cloud Routers הוא גלובלי
    • מסלולים סטטיים שיש להם קפיצות הבאות באזורים שונים מהאזור של רשת המשנה ההיברידית, כולל כל מאזני העומסים הפנימיים של הרשת להעברת סיגנל ללא שינוי באזורים שונים, גם אם הופעלה להם גישה גלובלית

המאמרים הבאים