Routingdetails für Verbindungen zu Ihrem On-Premise-Netzwerk

FastConnect-Private Peering und Site-to-Site-VPN bieten Ihrem On-Premise-Netzwerk privaten Zugriff auf ein VCN. Beide Verbindungstypen enden an einem einzelnen DRG, das an das VCN angehängt ist. Denken Sie daran, dass Site-to-Site-VPN das Border Gateway Protocol (BGP), statisches Routing oder eine Kombination aus beiden verwenden kann. FastConnect verwendet stets BGP für Routen-Advertisements.

Bei Anhängen an Virtual Circuits und IPsec-Tunneln, die für die Verwendung von dynamischem Routing konfiguriert sind, bietet das DRG alle Routen in der ihnen zugewiesenen DRG-Routentabelle an.

Wenn ein angehängtes VCN Ingress-Routing verwendet, um Zugriff auf Oracle-Services über das Servicegateway des VCN zu erteilen, können Sie die als einzelne mnemonische Route aufgelistete Route mit dem API-Vorgang ListDrgRouteRules beobachten. Wenn diese Route über eine RPC an ein anderes DRG propagiert oder über BGP Ihrem On-Premise-Netzwerk angeboten wird, wird sie als Set von Literalregeln angezeigt. Eine Liste dieser Bereiche finden Sie unter Öffentliche IP-Adressen für VCNs und das Oracle Services Network.

In diesem Abschnitt wird ausführlicher beschrieben, wie die Routenauswahl mit dem BGP-Attribut AS_PATH im Kontext einer einzelnen DRG-Routentabelle beeinflusst werden kann.

Wenn die Routen für die verschiedenen Pfade identisch sind, verwendet Oracle den kürzesten AS-Pfad beim Senden von Traffic an Ihr On-Premise-Netzwerk, unabhängig davon, welcher Pfad zum Initiieren der Verbindung zu Oracle verwendet wurde. Daher ist asymmetrisches Routing zulässig. Asymmetrisches Routing bedeutet hier, dass die Antwort von Oracle auf eine Anforderung einem anderen Pfad als die Anforderung folgen kann. Beispiel: Je nach Konfiguration Ihres Edge-Geräts (auch als Customer Premises Equipment oder CPE bezeichnet) können Sie eine Anforderung über Site-to-Site-VPN senden, die Oracle-Antwort könnte jedoch über FastConnect zurückgegeben werden. Wenn Sie ein symmetrisches Routing erzwingen möchten, empfiehlt Oracle die Verwendung des BGP und AS Path Prepending bei Ihren Routen, um Einfluss darauf zu nehmen, welchen Pfad Oracle beim Antworten und Initiieren von Verbindungen verwendet.

Oracle implementiert das AS Path Prepending, um zu bestimmen, welcher Pfad bevorzugt verwendet werden soll, wenn Ihr Edge-Gerät dieselbe Route und dieselben Routingattribute über mehrere unterschiedliche Verbindungstypen zwischen Ihrem On-Premise-Netzwerk und dem VCN anbietet. Die Details werden in der folgenden Tabelle zusammengefasst. Sofern Sie das Routing nicht anderweitig beeinflussen, bevorzugt Oracle die Pfade in der folgenden Reihenfolge, wenn Sie dieselbe Route über mehrere Pfade zum DRG auf der Oracle-Seite der Verbindungen anbieten:

In der obigen Tabelle wird davon ausgegangen, dass Sie eine einzelne AS-Nummer in Ihrem AS-Pfad senden. Oracle berücksichtigt den kompletten AS-Pfad, den Sie senden. Wenn Sie statisches Routing verwenden und außerdem einen AS-Pfad mit "Ihrer ASN" plus zwei oder mehr anderen ASNs senden, kann dies zu unerwartetem Verhalten führen, weil sich die Routingvoreinstellung von Oracle ändern könnte.

Das policybasierte Verhalten von VPN mit statischem Routing wurde bereits dokumentiert. Oracle empfiehlt außerdem, dass Sie BGP auf Ihrem routenbasierten IPsec-VPN verwenden, wenn Sie FastConnect-Verbindungen mit VPN-Backups verwenden. Mit dieser Strategie können Sie das Failover-Verhalten vollständig kontrollieren.

Sie können das Edge-Gerät so konfigurieren, dass es einen bestimmten Pfad bevorzugt, um Traffic von Ihrem On-Premise-Netzwerk zu Oracle zu senden. Im folgenden Abschnitt wird eine bestimmte Situation beschrieben, in der Sie damit sicherstellen müssen, dass ein konsistenter Trafficpfad gewährleistet wird, wenn Ihre On-Premise-Hosts Oracle-Services verwenden.

Ihr On-Premise-Netzwerk kann über mehrere Pfade auf öffentliche Oracle Services Network-Services wie Überblick über Object Storage zugreifen. Sie können öffentliche Pfade verwenden, wie das Internet oder das FastConnect-Public Peering. Bei diesen öffentlichen Pfaden kommunizieren die On-Premise-Hosts mit Oracle-Services über öffentliche IP-Adressen.

Sie können Ihr On-Premise-Netzwerk auch mit privatem Zugriff auf Oracle-Services über das Servicegateway  des VCN einrichten. Mit einem Servicegateway können Hosts in Ihrem On-Premise-Netzwerk einen der unter Servicegateway: Unterstützte Cloud-Services in Oracle Services Network aufgeführten Services verwenden und mit diesen Oracle-Services über Ihre privaten IP-Adressen kommunizieren.

Wenn Sie Ihr On-Premise-Netzwerk mit mehreren Verbindungspfaden für Oracle-Services konfiguriert haben, erhält Ihr Edge-Gerät möglicherweise ein Routen-Advertisement der Routen für öffentliche IP-Adressen der Oracle-Services über mehrere Pfade. Sie können die folgenden Pfade mit Ihrem On-Premise-Netzwerk verwenden:

• Öffentliche Zugriffspfade:
  • Internet Service Provider (ISP)
  • Public Peering mit FastConnect
• Private Zugriffspfade über das DRG und Servicegateway des VCN:
  • FastConnect Private Peering
  • Site-to-Site-VPN

Ihr Edge-Gerät empfängt Routen-Advertisement vom DRG und möglicherweise von Routern über öffentliche Pfade. Die meisten Routen für Oracle-Services, die vom DRG angeboten werden, haben ein längeres Präfix (sie sind genauer) als die Routen für Oracle-Services, die über die öffentlichen Zugriffspfade angeboten werden. Wenn Sie also Ihr Netzwerk sowohl mit öffentlichem Zugriff als auch mit privatem Zugriff auf Oracle-Services einrichten, müssen Sie Ihr Edge-Gerät so konfigurieren, dass der private Zugriffspfad zum DRG für Traffic vom On-Premise-Netzwerk zu Oracle-Services bevorzugt wird. Wenn Sie sowohl öffentlichen als auch privaten Zugriff einrichten, wird ein konsistenter Pfad für den Zugriff auf Oracle-Services sichergestellt.

Eine Liste der öffentlichen IP-Bereiche, die über FastConnect-Public Peering angeboten werden, finden Sie unter FastConnect-Public Peering - Angebotene Routen.

Eine Liste der regionalen öffentlichen IP-Bereiche, die über die privaten Pfade (für ein VCN mit einem Servicegateway) angeboten werden, finden Sie unter Öffentliche IP-Adressen für VCNs und das Oracle Services Network.

Mit der Routenfilterung können Sie wählen, welche Routen in BGP-Advertisements an Ihr On-Premise-Netzwerk aufgenommen werden sollen. RFC 5291 bietet allgemeinere Informationen zu Routenfilterung und BGP-Advertisement von Routen.

Private Virtual Circuits unterstützen keine Routenfilterung. Öffentliche Virtual Circuits über FastConnect bieten Routen gemäß den ausgewählten Routenfiltereinstellungen an, die den Geltungsbereich der gemeinsamen Routen definieren. Verfügbare Optionen:

• Regional - Bietet Ihrem On-Premise-Netzwerk nur verfügbare öffentliche Routen für die Region dieses Virtual Circuits an.
• Markt - Bietet Ihrem On-Premise-Netzwerk verfügbare öffentliche Routen für die Region dieses Virtual Circuits und Routen für andere Regionen im selben Teil der Welt an. Dies ist die Standardeinstellung. Die in den vier Märkten verfügbaren Regionen werden in Tabellen und auf einer Karte im Artikel FastConnect-Public Peering - Angebotene Routen angezeigt.
• Global - Bietet Ihrem On-Premise-Netzwerk verfügbare öffentliche Routen für alle Regionen in allen Märkten der Oracle Cloud an.
• Oracle Services Network - Bietet Ihrem On-Premise-Netzwerk nur öffentliche Routen an, die für den Zugriff auf Oracle Services Network-(OSN-)Ressourcen verwendet werden.

Sie können Routenfilterungsoptionen auswählen, wenn Sie einen FastConnect-Virtual Circuit einrichten. Die Details variieren je nachdem, ob Sie einen FastConnect-Partner, einen externen Provider oder eine Colocation verwenden.

Weitere Informationen finden Sie in den folgenden zugehörigen Ressourcen:

• Connectivity Redundancy Guide (PDF)
• Best Practices für Site-to-Site-VPN (IPSec) (PDF)
• FastConnect-Redundanz - Best Practices