Gateways de enrutamiento dinámico (DRG)

En este tema, se describe cómo gestionar un gateway de enrutamiento dinámico (DRG). En este tema, se utilizan los términos gateway de enrutamiento dinámico y DRG de manera indistinta. La consola utiliza el término gateway de enrutamiento dinámico, mientras que la API utiliza DRG para simplificar.

Un DRG es un enrutador virtual al que puede asociar los siguientes recursos:

Un DRG puede tener varias asociaciones de red de cada uno de los siguientes tipos:

  • Asociaciones de VCN: puede asociar varias VCN a un único DRG. Cada VCN puede estar en el mismo arrendamiento o en distintos arrendamientos que el DRG.
  • Asociaciones de RPC: puede conectar un DRG a otros DRG (incluidos los DRG de otras regiones) mediante conexiones con intercambio de tráfico remoto.
  • Asociaciones de IPSEC_TUNNEL: puede utilizar la VPN de sitio a sitio para asociar dos o más túneles de PSec a su DRG para conectarse a redes locales. Esto también se permite en los distintos arrendamientos.
  • Asociaciones de VIRTUAL_CIRCUIT: puede asociar uno o más circuitos virtuales FastConnect a su DRG para conectarse a redes locales.

La creación de tablas de rutas de DRG y distribuciones de rutas de DRG le permite definir políticas de enrutamiento que enruten el tráfico entre asociaciones. Las rutas se pueden importar y exportar de forma dinámica mediante estos anexos. Una tabla de rutas debe estar asociada a un anexo para que se aplique la configuración de esa tabla, pero puede existir una tabla de enrutamiento no asociada. Las distribuciones de rutas de DRG son de un tipo explícito (de importación o de exportación) y no heredan una acción que depende de dónde estén asociadas.

Visión general de los gateways de enrutamiento dinámico

Un DRG actúa como enrutador virtual, proporcionando una ruta de acceso para el tráfico entre sus redes locales y las VCN, y también se puede utilizar para enrutar el tráfico entre las VCN. Mediante el uso de distintos tipos de asociaciones, se pueden crear topologías de red personalizadas mediante componentes de diferentes regiones y arrendamientos. Cada asociación de DRG tiene una tabla de rutas asociada que se utiliza para enrutar los paquetes que entran en el DRG a su siguiente salto. Además de las rutas estáticas, las rutas de las redes asociadas se importan dinámicamente en las tablas de rutas de DRG mediante distribuciones de rutas de importación opcionales.

Trabajar con los DRG y asociaciones de DRG

Al crear un DRG, debe especificar el compartimento en el que desea que resida el DRG. Colocar el DRG en un compartimento ayuda a limitar el control de acceso. Si no está seguro del compartimento que desea utilizar, coloque el DRG en el mismo compartimento que la VCN que utiliza con regularidad. Para obtener más información, consulte Control de acceso.

Opcionalmente, puede asignar un nombre fácil de recordar al DRG. No tiene que ser único y puede cambiarlo más adelante. Oracle asigna automáticamente al DRG un identificador único llamado ID de Oracle Cloud (OCID). Para obtener más información, consulte Identificadores de recursos.

Para utilizar un DRG, este debe estar asociado a otros recursos de red. En la API, el proceso de asociación crea un objeto DrgAttachment con su propio OCID. DrgAttachment tiene un campo de tipo que indica el tipo de objeto que se asocia al DRG. El campo de tipo se puede definir en uno de los siguientes valores:

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION

Para asociar una VCN a un DRG, utilice la operación CreateDrgAttachment o la consola para crear explícitamente el objeto de asociación de DRG. Las conexiones de circuitos virtuales, los túneles de IPSec y las conexiones con intercambio de tráfico remoto se crean (y suprimen) automáticamente en su nombre cuando crea (o suprime) el objeto de red.

Trabajar con tablas de rutas y distribuciones de rutas de DRG

Un paquete que entra en un DRG se enruta mediante reglas de la tabla de rutas de DRG asignadas a esa asociación. Puede asignar la misma tabla de rutas a varias asociaciones de DRG o crear una tabla de rutas dedicada para cada asociación en función de las políticas de enrutamiento que desee.

Cuando crea un DRG, se crean dos tablas de rutas por defecto: una para las asociaciones de VCN y otra para todas las demás asociaciones. Cuando se define una tabla de rutas como la tabla de rutas por defecto de un tipo de asociación, la tabla se asigna a las asociaciones recién creadas de ese tipo, a menos que se especifique explícitamente una tabla alternativa. Las tablas de rutas especificadas como valor por defecto para cualquier tipo no se pueden suprimir. Asegúrese de que no hay una tabla de rutas actualmente definida como tabla de rutas por defecto para un tipo de asociación antes de intentar suprimirla.

Una asociación de VCN tiene dos tablas de rutas: una tabla de enrutamiento de DRG para el tráfico que entra en el DRG y una tabla de enrutamiento de VCN para el tráfico que entra en la VCN. La tabla de rutas del DRG existe en el DRG y se utiliza para enrutar paquetes que entran en el DRG a través de la asociación. La tabla de rutas de la VCN se utiliza para enrutar paquetes que entran en la VCN a través de la asociación. Si no se define una tabla de enrutamiento de VCN, una tabla implícita oculta siempre proporciona conectividad a todas las subredes de la VCN.

Distribuciones de importación de rutas dinámicas

Una distribución es una lista de sentencias declarativas que contienen criterios de coincidencia (como un OCID o un tipo de asociación) y una acción. Puede utilizar las distribuciones de rutas para especificar cómo se importan o exportan las rutas a una asociación de DRG.

Las tablas de rutas de DRG contienen rutas tanto estáticas como dinámicas. Las rutas estáticas se insertan en tablas mediante la API, mientras que las rutas dinámicas se importan de las asociaciones y se insertan mediante una distribución de rutas de importación. Cuando los criterios de una sentencia coinciden con una asociación, las rutas asociadas al objeto de red que se asocia al DRG se importan dinámicamente en la tabla de rutas de DRG asignada a la distribución que contiene. Si la sentencia se elimina de la distribución, las rutas se retiran de las tablas de rutas de DRG. Las sentencias de una distribución de rutas se evalúan en orden de prioridad: el número más bajo tiene la prioridad más alta. El orden en el que se evalúan las sentencias no afecta al juego de preferencias de las rutas que importan.

Al crear sentencias de distribución de rutas en la consola, puede crear una sentencia cuyo tipo de coincidencia sea "Match All". En la API, codifique una sentencia "match all" definiendo los criterios de coincidencia en la lista vacía.

¿Cómo llegan las rutas dinámicas a una asociación?

Las rutas a sus redes locales se anuncian desde el CPE hasta las asociaciones de túnel de IPSec y de circuito virtual mediante BGP. Las rutas se propagan dinámicamente desde una asociación de RPC de un DRG a una asociación RPC de otro DRG mediante las RPC conectadas. Las rutas dinámicas de una VCN incluyen todos los CIDR de subred o todos los CIDR de VCN y todos los CIDR de ruta estática configurados en la tabla de rutas de VCN asociada a la asociación de DRG. La propiedad vcnRouteType de la asociación de VCN determina si los CIDR de subred o los CIDR de VCN se propagan en la asociación de VCN. El comportamiento por defecto es importar los CIDR de subred, pero este comportamiento se puede modificar al crear o actualizar la asociación de VCN.

Distribuciones de exportación de rutas dinámicas

Cuando se asigna una asociación a una tabla de rutas de DRG, el contenido de esa tabla se puede exportar dinámicamente a la asociación. Si la distribución de rutas de exportación por defecto se asigna a una asociación, todo el contenido de la tabla de rutas de DRG asignada de la asociación se exporta dinámicamente a la asociación. Si desea desactivar las exportaciones de rutas dinámicas a una asociación, utilice la operación de API removeExportDrgRouteDistribution para definir el campo exportDrgRouteDistributionId de la asociación en NULL. La exportación de rutas dinámicas a asociaciones de VCN no está soportada.

Restricciones de propagación de rutas

Las rutas importadas desde un túnel de IPSec o un circuito virtual nunca se exportan a otras asociaciones de túnel IPSec o de circuito virtual, independientemente de cómo esté configurada la distribución de rutas de exportación. De manera similar, los paquetes que entran en un DRG a través de una asociación de túnel de IPSec o de circuito virtual nunca pueden salir a través de una asociación de túnel de IPSec o de circuito virtual. Los paquetes se borran si el enrutamiento está configurado de modo que los paquetes que se originan desde asociaciones de túnel de IPSec o circuito virtual se envían a las asociaciones de túnel de IPSec o circuito virtual.

ECMP

El enrutamiento de varias rutas de acceso de igual costo (ECMP) es una función que permite el equilibrio de carga basado en flujo del tráfico de red en varios circuitos virtuales de FastConnect o varios túneles de IPSec (pero no una combinación de tipos de circuitos) mediante BGP. ECMP permite el equilibrio de carga activo-activo y el failover del tráfico de red entre un máximo de ocho circuitos.

Oracle utiliza el protocolo, la IP de destino, la IP de origen, el puerto de destino y el puerto de origen para distinguir los flujos para fines de equilibrio de carga mediante un algoritmo consistente y determinista. Por lo tanto, son necesarios varios flujos para utilizar todo el ancho de banda disponible.

ECMP está desactivado por defecto y se puede activar por tabla de rutas. Oracle solo considera las rutas con la misma preferencia de ruta como elegibles para el reenvío de ECMP. Consulte Conflictos de rutas para obtener más información.

Origen de ruta

Las rutas de DRG se originan como rutas estáticas o como rutas dinámicas desde la VCN, el túnel de IPSec, el circuito virtual de FastConnect o asociaciones de RPC. Este origen define su origen, que es una característica inmutable de la ruta. En la API, el origen se denomina routeProvenance de DrgRouteRule.

Las rutas se propagan entre los DRG mediante anexos de RPC.

Las rutas con un origen IPSEC_TUNNEL o VIRTUAL_CIRCUIT no se exportan a las asociaciones de túnel de IPSec o circuito virtual, independientemente de la distribución de exportación de la asociación.

Enrutamiento del tráfico de una subred a un DRG

El escenario de enrutamiento básico envía tráfico desde una subred de la VCN al DRG. Por ejemplo, si está enviando tráfico desde la subred a su red local, puede configurar una regla en la tabla de rutas de la subred. El CIDR de destino de la regla es el CIDR de la red local (o una subred dentro), y el destino de la regla es el DRG. Para obtener más información, consulte Tablas de rutas de VCN.

Política de IAM necesaria

El intercambio de tráfico de varias VCN mediante un DRG requiere permisos de IAM específicos. Consulte Políticas de IAM relacionadas con el intercambio de tráfico de DRG para obtener más información sobre los permisos necesarios.

Versiones de DRG

Los DRG creados antes del 17 de mayo de 2021 utilizan el software heredado y se pueden actualizar a la versión más reciente. Los DRG creados después de esa fecha tienen las funciones actualizadas por defecto.

A continuación se resume la diferencia entre un DRG actualizado y uno heredado:

Un DRG heredado:

  • No tiene ninguna tabla de rutas programable. Tiene un comportamiento de enrutamiento por defecto por el cual todo el tráfico se reenvía de la ubicación local a una VCN asociada y de la VCN a la ubicación local.
  • Se puede asociar a una única VCN. El DRG solo se puede utilizar para el intercambio de tráfico de VCN remotas mediante una RPC.
  • Puede asociar FastConnect o la VPN de sitio a sitio, o ambos. Solo puede acceder a los recursos de la región local mediante estas conexiones.
  • Puede soportar una conexión RPC con un par DRG-VCN remoto en el mismo arrendamiento. Consulte Intercambio de tráfico de VCN remotas a través de una RPC para obtener más información sobre el intercambio de tráfico remoto a través de un DRG heredado.

Un DRG actualizado:

  • Tiene dos tablas de rutas por defecto y se pueden agregar más posteriormente.
  • Puede tener muchas VCN asociadas en la misma región. El tráfico local de VCN a VCN puede pasar a través de un DRG conectado mutuamente en lugar de un LPG. Consulte Intercambio de tráfico de VCN de la misma región a través de un DRG para obtener más información.
  • Se puede asociar a la ubicación local mediante FastConnect o la VPN de sitio a sitio, o ambas. Puede acceder a los recursos tanto en regiones locales como remotas mediante estas conexiones.
  • Soporte de una conexión RPC con un par DRG/VCN en el mismo arrendamiento o en otro. Consulte Intercambio de tráfico de VCN en diferentes regiones a través de un DRG para obtener más información sobre el intercambio de tráfico remoto mediante un DRG actualizado.

El resto de este artículo se ha actualizado recientemente para reflejar las capacidades de un DRG actualizado, como lo han hecho los escenarios de redes comunes. El intercambio de tráfico de VCN remoto mediante una RPC es el único escenario de enrutamiento o intercambio de tráfico específico de un DRG heredado.

Antes de actualizar un DRG

Para aprovechar las funciones de DRG mejoradas, actualice el DRG. El proceso de actualización de DRG está automatizado, pero debe tener los permisos necesarios para iniciar una actualización.

La actualización de un DRG es un proceso unidireccional sin opción de realizar un rollback a un DRG heredado una vez iniciado el proceso de actualización.

Se espera que se produzca una interrupción del tráfico para todas las asociaciones de DRG durante el proceso de actualización. Cada asociación se actualiza por turno, forzando que cada asociación que se actualiza pase a un estado de aprovisionamiento en el que dejará de reenviar tráfico. Si tiene conexiones redundantes, el tráfico realizará un failover a otros circuitos mientras se realiza la actualización en uno de ellos. Si solo tiene un circuito, este podría desactivarse durante unos 20 minutos. Las sesiones de BGP existentes para sus conexiones locales (FastConnect o VPN de sitio a sitio) también se restablecen mientras la asociación y los túneles de IPSec de la VPN de sitio a sitio también se ponen fuera de línea.

Por ejemplo, si el DRG tiene dos asociaciones de circuito virtual de FastConnect, primero se actualiza un circuito virtual, lo que hace que se pierda la conectividad mientras el tráfico puede pasar por el otro circuito virtual. Una vez finalizada esa actualización, el proceso de actualización actualiza la segunda asociación de circuito virtual y el circuito virtual completado vuelve a estar en línea. Se espera que el proceso de actualización dure hasta 30 minutos por cada asociación local.

No es necesario restablecer las conexiones con intercambio de tráfico remoto, como lo hacen las conexiones de túnel de IPSec o de circuito virtual, y no tardan el mismo tiempo en actualizarse.

Nota

Se espera una interrupción del tráfico durante el proceso de actualización de cualquier componente asociado al DRG. Oracle recomienda actualizar el DRG durante un período de mantenimiento.

Una vez completado el proceso de actualización de DRG, se vuelven a poner en línea los túneles de IPSec de la VPN de sitio a sitio y se vuelven a establecer todas las sesiones de BGP para FastConnect y la VPN de sitio a sitio. Por defecto, el DRG actualizado tiene dos tablas de rutas de DRG generadas automáticamente y distribuciones de rutas de importación activadas para las asociaciones. Estos recursos están diseñados para la compatibilidad con versiones anteriores del DRG heredado y permiten que toda comunicación anterior se reanude de la misma manera que antes de la actualización sin ninguna intervención adicional del usuario.

Para obtener instrucciones paso a paso sobre cómo actualizar el DRG, consulte Actualización de un DRG.

Nota

Si el proceso de actualización de DRG se bloquea por cualquier motivo, cree un ticket de solicitud de servicio y marque el ticket como de gravedad alta.

Escenarios

Hemos proporcionado algunos escenarios de red detallados para ayudarle a comprender el rol de un DRG en el servicio Networking y cómo funcionan los componentes en general de forma conjunta.

Enrutamiento de DRG

Conflictos de rutas

Si se observan dos rutas con CIDR idénticos en la misma tabla de rutas de DRG, el DRG resuelve el conflicto utilizando los siguientes criterios:

  1. Las rutas estáticas siempre tienen una mayor preferencia que las rutas dinámicas.

    Nota

    No es posible especificar manualmente dos rutas estáticas con el mismo CIDR en la misma tabla de rutas de DRG, pero sí se puede importar más de una ruta con el mismo CIDR de forma dinámica.
  2. Los conflictos entre rutas dinámicas se resuelven analizando primero la ruta de acceso de AS de la ruta:
    • Las rutas con un origen de ruta VCN o STATIC siempre tienen una ruta de acceso de AS vacía.
    • Las rutas con un origen de ruta IPSEC_TUNNEL o VIRTUAL_CIRCUIT habrán rellenado los datos de la ruta de acceso de AS (consulte Detalles de enrutamiento para conexiones a la red local para obtener más información).
  3. De lo contrario, el tipo de asociación que importó la ruta se evalúa en función de la siguiente prioridad según el tipo de asociación:
    1. VCN: el DRG realiza una selección arbitraria pero estable.
    2. VIRTUAL_CIRCUIT: si ECMP está desactivado, el DRG realiza una selección arbitraria pero estable. Si ECMP está activado, todas las rutas se agregarán a la tabla de rutas y el DRG realiza opciones de enrutamiento mediante ECMP. El ancho de ECMP máximo soportado en un DRG es 8.
    3. IPSEC_TUNNEL: si ECMP está desactivado, el DRG realiza una selección arbitraria pero estable. Si ECMP está activado, todas las rutas se agregarán a la tabla de rutas y el DRG realiza opciones de enrutamiento mediante ECMP. El ancho de ECMP máximo soportado en un DRG es 8.
    4. REMOTE_PEERING_CONNECTION: el DRG seleccionará la ruta con la menor distancia de red.

      Si dos rutas tienen distancias de red idénticas, el DRG selecciona la ruta con el origen de ruta de prioridad más alta (STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL).

      Si dos rutas tienen el mismo origen de ruta, el DRG realiza una selección arbitraria pero estable.

  4. Si se importan rutas en conflicto de asociaciones del mismo tipo, el conflicto se resuelve de forma diferente según el tipo de asociación:
    1. Asociaciones de VCN: si se importan CIDR idénticos de dos asociaciones de VCN, solo se selecciona uno mediante un procedimiento de decisión arbitrario pero estable.
    2. Asociaciones VIRTUAL_CIRCUIT y IPSEC_TUNNEL: si se importan varias rutas con el mismo CIDR y distintas longitudes de AS_PATH en una tabla de rutas de DRG, se selecciona la ruta con la menor longitud de AS_PATH. De lo contrario, se elige una ruta utilizando un procedimiento de decisión arbitrario pero estable.
    3. Asociaciones de RPC: si se importan CIDR idénticos de dos asociaciones de RPC, se selecciona uno de ellos mediante un procedimiento de decisión estable y arbitrario.

Puede observar los resultados del solucionador de conflictos mostrando el contenido de la tabla de rutas. Las rutas en desuso se marcan con el estado "conflict".

Uso de BGP para preferir rutas de Oracle a su red local

En esta sección se describe con mayor detalle cómo se puede utilizar el atributo AS_PATH de BGP para influir en la selección de rutas en el contexto de una única tabla de rutas de DRG.

Si las rutas para las diferentes rutas de acceso son iguales, Oracle utiliza la ruta de acceso AS más corta al enviar tráfico a la red local, independientemente de la ruta de acceso utilizada para iniciar la conexión a Oracle.Por lo tanto, se permite el enrutamiento asimétrico. El enrutamiento asimétrico aquí significa que la respuesta de Oracle a una solicitud puede seguir una ruta de acceso diferente a la solicitud. Por ejemplo, en función de cómo esté configurado el dispositivo perimetral (también denominado equipo local de cliente o CPE), podría enviar una solicitud a través de la VPN de sitio a sitio, pero la respuesta de Oracle podría volver a través de FastConnect. Si desea forzar que el enrutamiento sea simétrico, Oracle recomienda utilizar la ruta de acceso BGP y AS precedida por sus rutas para influir en qué ruta de acceso utiliza Oracle al responder e iniciar conexiones.

Oracle implanta la anteposición de la ruta de AS para establecer la preferencia sobre la ruta que se debe utilizar si el dispositivo perimetral anuncia la misma ruta y los mismos atributos de enrutamiento a través de varios tipos de conexión diferentes entre la red local y la VCN. Los detalles se resumen en la tabla siguiente. A menos que influya en el enrutamiento de alguna otra manera, cuando se anuncia la misma ruta través de varias rutas de acceso al DRG en el extremo de Oracle de las conexiones, Oracle prefiere las rutas de acceso en el siguiente orden:

Preferencia de Oracle Ruta Detalles sobre cómo prefiere Oracle la ruta Ruta AS resultante para el enrutamiento
1 FastConnect Oracle no antepone ningún ASN a las rutas que anuncia su dispositivo perimetral, para una longitud total de ruta de AS de 1. Su ASN
2 VPN de sitio a sitio con enrutamiento BGP Oracle antepone un único ASN privado en todas las rutas que el dispositivo perimetral anuncia a través de la VPN de sitio a sitio con BGP, para una longitud total de ruta de acceso de AS de 2. ASN privado, su ASN
3 VPN de sitio a sitio con enrutamiento estático Oracle antepone 3 ASN privados en las rutas estáticas que ha proporcionado (Oracle anuncia esas rutas al gateway de enrutamiento dinámico [DRG] en el extremo de Oracle de la VPN de sitio a sitio). Esto da como resultado una longitud total de ruta de acceso de AS de 3. ASN privado, ASN privado, ASN privado

En la tabla anterior, se asume que envía un único número de sistema autónomo en la ruta de acceso de AS. Oracle mantiene la ruta de acceso de AS completa que envía. Si utiliza un enrutamiento estático y también envía una ruta de acceso de AS que tiene "Su ASN" más dos o más ASN adicionales, puede provocar un comportamiento inesperado, ya que la preferencia de enrutamiento de Oracle puede cambiar.

Aunque el comportamiento del enrutamiento estático de VPN basado en políticas se ha documentado anteriormente, Oracle también recomienda que si utiliza conexiones de FastConnect con VPN de respaldo, emplee BGP en la VPN con IPSec basada en rutas. Esta estrategia le permite tener el control total del comportamiento de failover.

Otros enlaces relevantes

Uso de la consola

En general, para utilizar un DRG, debe realizar estos pasos mínimos:

  1. Cree el DRG.
  2. Asocie el DRG a una o más VCN. También puede asociar un DRG a su red local mediante circuitos virtuales de FastConnect y túneles de IPSec de la VPN de sitio a sitio.
  3. Enrute el tráfico de subred al DRG actualizando la tabla de rutas asociada a cada subred que debe enviar tráfico al DRG.
Creación de un DRG
Nota

Un DRG creado antes de abril de 2021 no puede realizar un enrutamiento en tránsito entre redes locales y varias VCN, ni proporcionar un intercambio de tráfico entre las VCN. Si necesita esa funcionalidad y se muestra el botón Actualizar DRG, haga clic en él. La actualización del DRG restablece todas las sesiones de BGP existentes e interrumpe temporalmente el tráfico desde la red local. Una vez que se inicia, no es posible realizar un rollback de la actualización. Consulte Actualización de un DRG.
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Elija un compartimiento en el que tenga permiso para trabajar (en la parte izquierda de la página). La página se actualiza para mostrar solo los recursos de ese compartimiento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso.
  3. Haga clic en Crear gateway de enrutamiento dinámico.
  4. Introduzca los siguientes elementos:

    • Crear en compartimiento: compartimiento en el que desea crear el DRG, que puede ser diferente del compartimiento en el que está trabajando actualmente.
    • Nombre: un nombre descriptivo para el DRG. No tiene que ser único y puede cambiarse más adelante. Evite introducir información confidencial.
    • Asociación de tabla de rutas: (opción avanzada) puede asociar una tabla de rutas de VCN específica a este gateway. Si asocia una tabla de rutas, posteriormente el gateway deberá tener siempre una tabla de rutas asociada. Puede modificar las reglas de la tabla de rutas actual o sustituirla por otra tabla de rutas.
    • Etiquetas: (opción avanzada) si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
  5. Haga clic en Crear gateway de enrutamiento dinámico.

Se creará el nuevo DRG y se mostrará a continuación en la página Gateways de enrutamiento dinámico del compartimento que haya seleccionado. El nuevo DRG tendrá el estado "Aprovisionando" durante un período corto. Puede asociarlo a otras partes de la red solo una vez que haya finalizado el aprovisionamiento.

El aprovisionamiento incluye la creación de dos tablas de rutas de DRG: una tabla de rutas para las VCN conectadas y otra para otros recursos, como circuitos virtuales y túneles de IPSec.

Nota

Las dos tablas de enrutamiento por defecto creadas implantan el mismo comportamiento de enrutamiento que utilizan los DRG creados antes de mayo de 2021 para una compatibilidad con versiones anteriores.
Actualización de un DRG

Un DRG creado antes de junio de 2021 (o de abril de 2021 en las regiones de San José y Montreal) debe actualizarse para poder conectarlo a varias VCN, utilizarlo en escenarios de intercambio de tráfico entre arrendamientos o modificar las políticas de enrutamiento interno. Este proceso de actualización no cambia el OCID del DRG. Consulte Antes de actualizar un DRG para obtener más información.

Nota

No es posible realizar un rollback del cambio en el DRG. La actualización del DRG restablece las sesiones de BGP existentes de la VPN de sitio a sitio y de FastConnect.
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Haga clic en el DRG que desea actualizar.
  3. Haga clic en Actualizar DRG.
  4. Aparecerá un mensaje que le recuerda que la acción no se puede revertir. Haga clic en Actualizar DRG.
  5. La actualización se realizará en segundo plano. Puede seguir definiendo valores de configuración mientras se realiza la actualización. Recibirá una notificación cuando se haya completado la actualización.
  6. Cuando termine la actualización, refresque la página para obtener acceso a las nuevas capacidades de DRG. Haga clic en Refrescar página.
Actualización del nombre de un DRG
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Haga clic en el DRG que desea actualizar.
  3. Haga clic en Editar.
  4. Edite el nombre mostrado. Evite introducir información confidencial.
  5. Haga clic en Guardar cambios.
Asociación de una VCN a un DRG
Nota

Un DRG puede estar asociado a muchas VCN, pero la VCN solo puede estar asociada a un DRG a la vez. La asociación se crea automáticamente en el compartimiento que contiene la VCN. No es necesario que una VCN esté en el mismo compartimento que el DRG.

A veces, puede optar por conectar las VCN de la misma región utilizando un único DRG en lugar de gateways de intercambio de tráfico local. Si no se modifican, las políticas de enrutamiento por defecto de un DRG permiten que el tráfico se enrute entre todas las VCN que tiene asociadas.

Si asocia un DRG a una VCN de otro arrendamiento, debe tener configuraciones de IAM en ambos arrendamientos, como se describe en Políticas de IAM relacionadas con el intercambio de tráfico de DRG.

Las siguientes instrucciones le permiten navegar al DRG y, a continuación, elegir qué VCN desea asociar. En su lugar, puede navegar a la VCN y, a continuación, seleccionar qué DRG desea asociar.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Haga clic en el DRG que desea asociar a una VCN.
  3. En Recursos, haga clic en Asociaciones de redes virtuales en la nube.
  4. Haga clic en Crear asociación de red virtual en la nube.
    • (Opcional) Asigne un nombre fácil de recordar al punto de conexión. Si no especifica un nombre, se creará uno.
    • Seleccione una VCN en la lista. También puede hacer clic en Cambiar compartimento y seleccionar un compartimento diferente que contenga una VCN que desee asociar al DRG y, a continuación, seleccionar una VCN en la lista.
  5. (Opcional) Si configura un escenario avanzado para el enrutamiento en tránsito, puede asociar una tabla de rutas de VCN al DRG (esto puede hacerlo más adelante):
    1. Haga clic en Mostrar opciones avanzadas.
    2. Haga clic en el separador Tabla de rutas de VCN.
    3. Seleccione la tabla de rutas que desee asociar a la VCN del DRG. Si selecciona Ninguno, se utilizará la tabla de rutas de VCN por defecto.
  6. Si planea utilizar una ruta en tránsito y necesita asociar una tabla de rutas de DRG específica a la asociación:
    1. Haga clic en Mostrar opciones avanzadas.
    2. En el separador Tabla de rutas de DRG, seleccione una tabla de rutas de DRG existente. Consulte Para crear una tabla de rutas de DRG.
  7. (Opcional) Si necesita especificar que desea importar los CIDR de VCN en una tabla de rutas de DRG desde la asociación de VCN:
    1. Haga clic en Mostrar opciones avanzadas.
    2. En el separador Tipo de ruta de VCN, seleccione CIDR de VCN.

    Si no selecciona explícitamente CIDR de VCN, se seleccionará CIDR de subred y se importarán los CIDR de subred en una tabla de rutas de DRG desde la asociación de VCN. Las rutas de la tabla de rutas de entrada de la VCN siempre se importan.

  8. Cuando haya terminado, haga clic en Crear asociación de VCN.

La asociación tendrá el estado "Asociando" durante un período corto.

Cuando la asociación esté lista, cree una regla de ruta en la tabla de rutas de la subred que dirija el tráfico de la subred al DRG. Consulte Enrutamiento del tráfico de una subred a un DRG.

Actualización de una asociación de VCN
  1. Abra el menú de navegación. En Infraestructura básica, vaya a Networking y haga clic en Gateways de enrutamiento dinámico.
  2. Haga clic en el DRG que tiene la asociación que desea actualizar.
  3. En Recursos, haga clic en Asociaciones de redes virtuales en la nube.
  4. Haga clic en el nombre de la asociación que desea actualizar.
  5. Haga clic en el botón Editar.
  6. Cambie el nombre de la asociación.
  7. (Opcional) Haga clic en Mostrar opciones avanzadas para cambiar la tabla de rutas de DRG, la tabla de rutas de VCN o el tipo de ruta de VCN asociado a la asociación.
  8. Cuando haya terminado, haga clic en Guardar cambios.
Supresión de una asociación de VCN

Cómo suprimir una asociación de VCN.

  1. Abra el menú de navegación. En Infraestructura básica, vaya a Networking y haga clic en Gateways de enrutamiento dinámico.
  2. Haga clic en el DRG que tiene la asociación que desea suprimir.
  3. En Recursos, haga clic en Asociaciones de red virtual en la nube.
  4. Haga clic en el nombre de la asociación que desea suprimir.
  5. Haga clic en el botón Suprimir.
  6. Confirme que desea suprimir la asociación. Haga clic en Suprimir.
Traslado de un circuito virtual a un DRG diferente

Al configurar FastConnect, los circuitos virtuales se asocian al DRG que seleccione. Puede mover los circuitos virtuales de FastConnect a un DRG diferente moviendo el recurso. Al mover el circuito virtual, se suprime una asociación existente y se crea una asociación que utiliza la tabla de rutas por defecto del nuevo DRG para ese tipo de asociación.

  1. Abra el menú de navegación. En Infraestructura básica, vaya a Networking y haga clic en Gateways de enrutamiento dinámico.
  2. Seleccione el compartimento donde reside la conexión y, a continuación, haga clic en una conexión para ver los detalles.
  3. Haga clic en Mover recurso o en Editar y realice los cambios. Puede cambiar el nombre del circuito virtual y cambiar el DRG al que se asocia. Evite introducir información confidencial.
    Al mover un circuito virtual de un DRG a otro, se suprime la asociación de DRG original y se crea una nueva asociación de DRG. La nueva asociación utiliza la tabla de rutas por defecto del DRG de destino para ese tipo de asociación.
  4. Haga clic en Guardar cambios.
Creación de una conexión con intercambio de tráfico remoto en un DRG

Cómo crear una asociación de conexión con intercambio de tráfico remoto desde un DRG.

Cada administrador crea una RPC para su propio DRG de VCN. "Usted" en el siguiente procedimiento significa un administrador (tanto el aceptante como el solicitante).

Nota

Política de IAM necesaria para crear RPC

Si los administradores ya tienen amplios permisos de administrador de red (consulte Permitir a los administradores de red gestionar una red en la nube), tienen permiso para crear, actualizar y eliminar RPC. De lo contrario, se muestra una política de ejemplo que proporciona los permisos necesarios a un grupo denominado RPCAdmins. La segunda declaración es necesaria porque la creación de una RPC afecta al DRG al que pertenece, por lo que el administrador debe tener permisos para gestionar los DRG.

Allow group RPCAdmins to manage remote-peering-connections in tenancy
Allow group RPCAdmins to manage drgs in tenancy
  1. En la consola, confirme que está viendo el compartimiento que contiene el DRG al que desea agregar el RPC. Para obtener más información sobre compartimientos y control de acceso, consulte Control de acceso.
  2. Abra el menú de navegación. En Infraestructura básica, vaya a Networking y haga clic en Gateways de enrutamiento dinámico.
  3. Haga clic en el DRG en el que esté interesado.
  4. En Recursos, haga clic en Conexiones de intercambio de tráfico remoto.
  5. Haga clic en Crear conexión de intercambio de tráfico remota.
  6. Introduzca lo siguiente:
    • Nombre: Nombre fácil de recordar para el RPC. No tiene que ser único y no se puede cambiar más adelante en la consola (pero puede cambiarlo con la API). Evite introducir información confidencial.
    • Crear en compartimento: compartimento en el que desea crear el RPC, que puede ser diferente del compartimento en el que está trabajando actualmente.
  7. Haga clic en Crear conexión de intercambio de tráfico remota.
    A continuación, se crea el RPC y se muestra en la página Conexiones de intercambio de tráfico remoto en el compartimiento que haya elegido.
  8. Si es el aceptante, registre la región y el OCID de la RPC para proporcionarlos posteriormente al solicitante.
  9. Si las dos VCN están en distintos arrendamientos, registre el OCID de arrendamiento (que se encuentra en la parte inferior de la página de la consola). Proporcione el OCID al otro administrador para que pueda crear una RPC coincidente en su DRG.
Edición de una asociación de DRG
  1. Abra el menú de navegación. En Infraestructura básica, vaya a Networking y haga clic en Gateways de enrutamiento dinámico.
  2. Haga clic en el nombre del DRG que tiene la asociación que desea editar.
  3. En Recursos, haga clic en el tipo de asociación que desea editar.
    • Asociaciones de red virtual en la nube
    • Asociaciones de circuito virtual
    • Asociaciones de túnel de IPSec
    • Asociaciones de conexión con intercambio de tráfico remoto
  4. Haga clic en el nombre de la asociación.
  5. Haga clic en Editar.
  6. En la pantalla que aparece, puede renombrar la asociación y cambiar la tabla de rutas de DRG asociada.
Enrutamiento del tráfico de una subred a un DRG

Para cada subred de VCN que deba enviar tráfico al DRG, debe agregar una regla de ruta a la tabla de rutas de VCN asociada a esa subred. Si todas las subredes de la VCN utilizan la tabla de rutas por defecto, debe agregar una regla solo a esa tabla.

En el caso de que se deba enrutar al DRG todo el tráfico que no sea interno de la VCN y que no esté respaldado por otra regla de la tabla, agregue esta nueva regla:

  • Tipo de destino: gateway de enrutamiento dinámico. El DRG asociado de la VCN se selecciona automáticamente como destino y no tiene que especificarlo usted mismo.
  • Bloque de CIDR de destino = 0.0.0.0/0. Si desea limitar la regla a una red específica (por ejemplo, su red local), utilice el CIDR de esa red en lugar de 0.0.0.0/0.

Para obtener instrucciones paso a paso, consulte Actualizar reglas en una tabla de rutas existente.

Para crear una tabla de rutas de DRG
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Elija un compartimiento en el que tenga permiso para trabajar (en la parte izquierda de la página). La página se actualiza para mostrar solo los recursos de ese compartimiento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso.
  3. Haga clic en el DRG para el que desea crear una tabla de rutas.
  4. En Recursos, haga clic en Tablas de rutas de DRG.
  5. Haga clic en Crear tabla de rutas de DRG.
  6. Introduzca los siguientes elementos:

    • Nombre: (opcional) nombre descriptivo de la tabla de rutas. Evite introducir información confidencial.
    • CIDR de destino: la tabla de rutas debe incluir al menos un destino. Puede introducir un CIDR de destino, activar la distribución de rutas de importación o no introducir nada, y se aplicará el valor por defecto de CIDR 0.0.0.0/32, que permite todo el tráfico.
    • Tipo de asociación de siguiente salto: seleccione entre Red virtual en la nube o Conexión con intercambio de tráfico remoto, según corresponda para el destino deseado de la regla estática.
    • Asociación de siguiente salto: seleccione una VCN, un circuito virtual, un túnel de IPSec o una asociación de conexión con intercambio de tráfico remoto.
  7. (Opcional) También puede seleccionar las siguientes opciones avanzadas:
    • Activar distribución de rutas de importación: esta opción permite asignar una distribución de rutas de importación a la tabla de rutas para que aprenda de forma dinámica nuevas rutas basadas en anuncios de BGP.
    • Activar ECMP: se puede activar el enrutamiento de rutas de acceso múltiples de igual costo (ECMP) para desambiguar las decisiones de enrutamiento cuando se puede acceder al mismo destino desde varias rutas.
    • Etiquetas: si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
  8. Haga clic en Crear tabla de rutas de DRG.
Visualización del contenido de la tabla de rutas de DRG
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Elija un compartimiento en el que tenga permiso para trabajar (en la parte izquierda de la página). La página se actualiza para mostrar solo los recursos de ese compartimiento. Si no está seguro de qué compartimiento utilizar, póngase en contacto con un administrador. Para obtener más información, consulte Control de acceso.
  3. Haga clic en el DRG que contiene la tabla de rutas que desea ver.
  4. En Recursos, haga clic en Tablas de rutas de DRG.
  5. Haga clic en el nombre de la tabla de rutas que desea ver.
  6. Haga clic en Obtener todas las reglas de ruta. La lista de rutas incluye tanto rutas estáticas insertadas en la tabla como todas las rutas dinámicas que se han importado de otras asociaciones e insertado mediante una distribución de rutas de importación.

    Puede utilizar esta página para validar y solucionar el siguiente comportamiento de salto del tráfico que entra en el DRG. Por ejemplo, utilice esta funcionalidad para confirmar el comportamiento del tráfico destinado a su entorno local mediante la validación de las rutas recibidas a través del túnel de IPSec de la VPN de sitio a sitio o el circuito virtual de FastConnect.

  7. Haga clic en Cerrar, cuando haya terminado.
Para asociar una tabla de rutas de VCN a un DRG existente
Importante

Realice esta tarea solo si está definiendo un escenario avanzado para enrutamiento en tránsito. Consulte Enrutamiento de tránsito dentro de una VCN de hub y Acceso privado a los servicios de Oracle.

Una asociación de DRG siempre tiene una tabla de rutas asociada, pero puede asociar una tabla de rutas diferente, editar las reglas de la tabla o suprimir algunas o todas las reglas.

Requisitos: la VCN a la que ya se ha asociado el DRG debe tener una tabla de rutas.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Haga clic en el DRG que está asociado a la VCN que tiene la tabla de rutas que desea utilizar con la asociación.
  3. Haga clic en el menú Acciones y, a continuación, en una de las siguientes opciones:

    • Asociar tabla de rutas: si el DRG todavía no tiene una tabla de rutas asociada.
    • Asociar tabla de rutas distinta: si está cambiando la tabla de rutas asociada al DRG.
  4. Seleccione la tabla de rutas.
  5. Haga clic en Asociar tabla de rutas.

La tabla de rutas está ahora asociada al DRG.

Para agregar una regla estática a una tabla de rutas de DRG
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Haga clic en el DRG en el que esté interesado.
  3. En Recursos, haga clic en Tablas de rutas.
  4. Haga clic en la tabla de rutas que le interesa.
  5. Si desea crear una regla de ruta, haga clic en Agregar regla de ruta e introduzca lo siguiente:

    • Tipo de destino: consulte la lista de tipos de destino en Visión general del enrutamiento de la VCN. Si el tipo de destino es un DRG, el DRG asociado de la VCN se selecciona automáticamente como destino y no tiene que especificarlo usted mismo. Si el destino es una IP privada, antes de especificar el destino, debe desactivar la comprobación de origen/destino en la VNIC de la IP privada. Para obtener más información, consulte Uso de una IP privada como destino de ruta.
    • Bloque CIDR de destino: solo si el destino no es un gateway de servicio. El valor es el bloque CIDR de destino para el tráfico. Puede proporcionar un bloque de CIDR de destino específico o utilizar 0.0.0.0/0 si es necesario enrutar todo el tráfico que sale de la subred al destino especificado en esta regla.
    • Servicio de destino: solo si el destino es un gateway de servicios. El valor es la etiqueta CIDR del servicio que le interesa.
    • Compartimiento: el compartimiento donde se encuentra el destino.
    • Destino: el destino. Si el destino es una IP privada, introduzca su OCID. Asimismo, puede introducir la propia dirección IP privada, en cuyo caso la consola determina el OCID correspondiente y lo utiliza como destino para la regla de ruta.
    • Descripción: descripción opcional de la regla.
  6. Si desea suprimir una regla existente, haga clic en el menú Acciones y, a continuación, en Eliminar.
  7. Si desea editar una regla existente, haga clic en el menú Acciones y, a continuación, en Editar.
Para asociar una conexión IPSec a un DRG

Este proceso es necesario al crear una conexión VPN de sitio a sitio y se documenta en la Tarea 2c: conecte el DRG a la VCN

Supresión de un DRG

Requisitos:

  • El DRG no se puede asociar actualmente a una VCN.
  • El DRG no se puede conectar actualmente a otra red mediante la VPN de sitio a sitio, FastConnect o el intercambio de tráfico remoto.
  • No puede haber una regla de ruta que incluya el DRG como destino.
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Haga clic en el DRG en el que esté interesado.
  3. Haga clic en Terminar.
  4. Confirme cuando se le solicite.

El DRG tiene el estado "Terminando" durante un período corto mientras se suprime. Las tablas de rutas de DRG y las distribuciones de rutas de DRG incluidas en el DRG se suprimen junto con este.

Gestión de etiquetas de un DRG
  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Haga clic en el DRG en el que esté interesado.
  3. Haga clic en el separador Etiquetas para ver o editar las etiquetas existentes. O bien, haga clic en Agregar etiquetas para agregar etiquetas nuevas.

Para obtener más información, consulte Etiquetas de recursos.

Para mover un DRG a un compartimento diferente

Puede mover un gateway de enrutamiento dinámico de un compartimiento a otro. Cuando mueve un gateway de enrutamiento dinámico a un nuevo compartimiento, las políticas inherentes se aplican inmediatamente.

  1. Abra el menú de navegación y haga clic en Redes. En Conectividad de cliente, haga clic en Gateway de enrutamiento dinámico, que se encuentra en el grupo Conectividad de cliente.

  2. Busque el DRG en la lista, haga clic en el menú Acciones y, a continuación, haga clic en Mover recurso.
  3. Seleccione el compartimiento de destino en la lista.
  4. Haga clic en Mover recurso.

Para obtener más información sobre el uso de compartimientos y políticas para controlar el acceso a su red en la nube, consulte Control de acceso. Para obtener información general sobre compartimientos, consulte Gestión de compartimientos.

Uso de la API

Para obtener más información sobre el uso de la API y las solicitudes de firma, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.

Para gestionar sus DRG, use estas operaciones:

Para obtener información sobre las operaciones de la tabla de rutas, consulte Tablas de rutas de VCN.

Limitaciones

Puede parecer que algunas funciones son posibles según la estructura del modelo de interacción de recursos, pero actualmente no se permiten las siguientes funciones:

  1. Creación o supresión explícita de asociaciones de RPC, de túnel de IPSec o de circuito virtual
  2. Rutas estáticas en tablas de rutas de DRG con siguiente salto de asociaciones de túnel de IPSec o de circuito virtual
  3. Uso de distribuciones de rutas de exportación no establecidas por defecto
  4. Exportación de rutas dinámicas a asociaciones de VCN
  5. Propagación de una ruta a través de más de 3 tablas de rutas de DRG
  6. Rutas que se propagan por RPC a través de más de 4 DRG