我正尝试部署一种路由设计,以允许VPC流量通过第三方虚拟防火墙流出,因此我采用了安全检查(IPS等)。
我可以轻松地通过单个防火墙VM进行设置,添加指向防火墙VM接口的静态默认路由,并按预期方式通过VM进行流量。
为了在区域性故障中幸免,我想添加第二个防火墙以及附带的第二个默认路由,并使用更高的路由指标指向该防火墙。
当我关闭防火墙VM#1的电源时,GCP VPC路由UI指示到VM#1的原始路由出现问题(橙色三角形),因为下一跳IP不可用。但是...第二条默认路由(具有更高的度量)不会替代旧路由,因此流量不会转发到我的第二个防火墙VM。
当路由不再健康时,是否有办法取消路由,从而使优先级更高的路由生效?
答案 0 :(得分:0)
就像@doxthefox在他的评论中提到的那样,您需要进行某种监视,以确定哪个路由失败,然后删除该路由以使另一条路由生效。
请记住,如果未找到特定路由的下一跳,则数据包将被丢弃,并且VPC网络将回复ICMP目标或网络不可达错误。
我建议您访问此帮助中心article,以获取有关GCP上路线选择的更多详细信息。