Passerelles de routage dynamique

Utilisation des passerelles de routage dynamique et des attachements de passerelle de routage dynamique

Lorsque vous créez une passerelle de routage dynamique, vous devez spécifier le compartiment dans lequel elle doit résider. Placer la passerelle de routage dynamique dans un compartiment permet de faciliter le contrôle d'accès. En cas de doute sur le compartiment à utiliser, placez la passerelle de routage dynamique dans le compartiment d'un réseau cloud virtuel que vous utilisez régulièrement. Pour plus d'informations, reportez-vous à Contrôle d'accès.

Vous pouvez éventuellement affecter un nom convivial à la passerelle de routage dynamique. Ce nom ne doit pas nécessairement être unique et peut être modifié ultérieurement. Oracle affecte automatiquement à la passerelle de routage dynamique un identificateur unique appelé OCID (Oracle Cloud ID). Pour plus d'informations, reportez-vous à Identificateurs de ressource.

Pour que vous puissiez utiliser une passerelle de routage dynamique, celle-ci doit être attachée à d'autres ressources réseau. Dans l'API, le processus d'attachement crée un objet DrgAttachment disposant de son propre OCID. L'objet DrgAttachment comporte un champ de type qui indique le type d'objet attaché à la passerelle de routage dynamique. Le champ de type peut être défini sur l'une des valeurs suivantes :

• Réseau cloud virtuel
• VIRTUAL_CIRCUIT
• IPSEC_TUNNEL
• REMOTE_PEERING_CONNECTION
• LOOPBACK (Pour plus d'informations, reportez-vous à Attachements de LOOPBACK.)

Pour attacher un VCN à un DRG, utilisez l'opération CreateDrgAttachment ou la console pour créer explicitement l'objet d'attachement DRG. Des attachements pour les circuits virtuels, les tunnels IPSec et les connexions d'appairage à distance sont créés (et supprimés) automatiquement pour vous lorsque vous créez (ou supprimez) l'objet réseau.

Utilisation des tables et des distributions de routage de passerelle de routage dynamique

Un paquet entre dans un DRG via un attachement et est acheminé à l'aide de règles dans la table de routage DRG affectée à cet attachement. Vous pouvez affecter la même table de routage à de nombreux attachements DRG ou créer une table de routage dédiée pour chaque attachement en fonction des stratégies de routage souhaitées.

Lorsque vous créez une passerelle de routage dynamique, deux tables de routage par défaut sont créées pour vous : une pour les attachements de réseau cloud virtuel et une pour tous les autres. Lorsqu'une table de routage est définie par défaut pour un type d'attachement, elle est affectée aux nouveaux attachements de ce type, sauf si une autre table est explicitement spécifiée. Les tables de routage indiquées comme tables par défaut pour un type ne peuvent pas être supprimées. Avant de tenter de supprimer une table de routage, assurez-vous qu'elle n'est pas définie comme table de routage par défaut pour un type d'attachement.

Un attachement de réseau cloud virtuel comporte deux tables de routage : une table de routage de passerelle de routage dynamique pour le trafic entrant dans la passerelle de routage dynamique et une table de routage de réseau cloud virtuel pour le trafic entrant dans le réseau cloud virtuel. La table de routage de passerelle de routage dynamique existe dans la passerelle de routage dynamique. Elle est utilisée pour acheminer les paquets y entrant via l'attachement. La table de routage de réseau cloud virtuel est utilisée pour acheminer les paquets entrant dans le réseau cloud virtuel via l'attachement. Si aucune table de routage VCN n'est définie, une table implicite masquée fournit toujours la connectivité à tous les sous-réseaux du VCN.

Distributions de routage d'import/export dynamiques

Les tables de routage de passerelle de routage dynamique contiennent des routages statiques et dynamiques. Les routages statiques sont insérés dans des tables à l'aide de l'API, tandis que les routages dynamiques sont importés à partir de pièces jointes et insérés à l'aide d'une distribution de routage, d'une liste d'instructions déclaratives contenant des critères de correspondance (par exemple, un OCID ou un type de pièce jointe) et d'une action. Vous pouvez utiliser des distributions de routage pour indiquer la façon dont les routages sont importés depuis ou exportés vers un attachement de passerelle de routage dynamique. Deux distributions de routage d'import générées automatiquement sont créées pour chaque DRG : une pour les routages VCN uniquement et une pour toutes les routages. Vous pouvez créer d'autres distributions d'acheminement d'importation, mais vous ne pouvez pas créer de nouvelles distributions d'acheminement d'exportation.

Lorsque les critères de correspondance d'une distribution de routage incluent un type de document joint, les routages associés à la pièce jointe sont importés dynamiquement dans la table de routage DRG utilisée par la pièce jointe. Lorsqu'une instruction est supprimée de la distribution de routage, les routages correspondants sont supprimés des tables de routage DRG. Les instructions d'une distribution de routage sont évaluées par ordre de priorité : le plus petit numéro correspond à la priorité la plus élevée. L'ordre dans lequel les instructions sont évaluées n'a pas d'incidence sur la préférence définie pour les routages qu'elles importent.

Lorsque vous créez des instructions de distribution de routage dans la console, vous pouvez créer une instruction dont le type de correspondance est Correspondre à tout. Dans l'API, définissez les critères de correspondance sur une liste vide pour coder une instruction "match all".

Arrivée des routages dynamiques à l'attachement

Les routages vers les réseaux sur site sont publiés du CPE aux attachements d'un tunnel IPSec et de circuit virtuel par le biais de BGP. Les routages sont propagés de manière dynamique à partir d'un attachement de connexion d'appairage à distance sur une passerelle de routage dynamique vers un attachement de connexion d'appairage à distance sur une autre passerelle de routage dynamique, via des connexions d'appairage à distance connectées. Les routages dynamiques dans un VCN incluent tous les CIDR de sous-réseau ou tous les CIDR de VCN et tous les CIDR de routage statique configurés sur la table de routage VCN associée à l'attachement DRG. La propriété vcnRouteType de l'attachement VCN détermine si les CIDR de sous-réseau ou les CIDR de VCN sont propagés dans l'attachement VCN. Le comportement par défaut consiste à importer les CIDR de sous-réseau, mais ce comportement peut être modifié lors de la création ou de la mise à jour de l'attachement VCN. Pour plus d'informations, reportez-vous à Agrégation de routage.

Distributions de routage d'export dynamique

Lorsqu'un attachement est affecté à une table de routage de passerelle de routage dynamique, le contenu de cette table peut être exporté dynamiquement vers l'attachement. Si la distribution de routage d'export par défaut est affectée à un attachement, l'intégralité du contenu de la table de routage de passerelle de routage dynamique affectée de l'attachement est exportée dynamiquement vers ce dernier. Pour désactiver les exports de routage dynamiques vers un attachement, utilisez l'opération d'API removeExportDrgRouteDistribution afin de définir le champ exportDrgRouteDistributionId de l'attachement sur NULL. L'exportation de routage dynamique vers les pièces jointes VCN n'est pas prise en charge.

Une distribution de routage d'export générée automatiquement est créée pour chaque DRG. Vous ne pouvez pas créer de ventilations d'acheminement d'exportation.

Restrictions relatives à la propagation du routage

Les routes importées à partir d'un tunnel IPSec ou d'un circulaire virtuel ne sont jamais exportées vers d'autres attachements de tunnel IPSec ou de circulaire virtuel, quelle que soit la configuration de la distribution de route d'export. De même, les paquets qui entrent dans une passerelle de routage dynamique via un attachement de tunnel IPSec ou de circuit virtuel ne peuvent jamais la quitter via un attachement de tunnel IPSec ou de circuit virtuel. Les paquets sont supprimés si le routage est configuré de sorte que les paquets provenant d'attachements de tunnel IPSec ou de circuit virtuel soient envoyés à des attachements de tunnel IPSec ou de circuit virtuel.

ECMP

Le routage multi-chemin à coût égal (ECMP) permet l'équilibrage de charge basé sur les flux du trafic réseau sur les circuits virtuels FastConnect ou les tunnels IPSec (mais pas sur une combinaison de types de circuit) à l'aide de BGP. ECMP permet le basculement du trafic réseau et l'équilibrage de charge de type actif-actif entre huit circuits au maximum.

Oracle utilise le protocole, l'adresse IP de destination, l'adresse IP source, le port de destination et le port source pour distinguer les flux à des fins d'équilibrage de charge, à l'aide d'un algorithme cohérent et déterministe. Par conséquent, plusieurs flux sont nécessaires pour utiliser toute la bande passante disponible.

ECMP est désactivé par défaut et peut être activé table de routage par table de routage. Oracle ne considère comme éligibles à la transmission ECMP que les routages ayant la même préférence de routage. Pour plus d'informations, reportez-vous à Conflits de routage.

Source du routage

DRG achemine originate sous forme de routes statiques ou de routes dynamiques à partir de VCN, de tunnel IPSec, de circuit virtuel FastConnect ou d'attachements RPC. Cette origine définit leur source, caractéristique non mutable du routage. Dans l'API, la source est appelée provenance de routage (routeProvenance) d'une règle de routage de passerelle de routage dynamique (DrgRouteRule).

Les routages sont propagés entre les passerelles de routage dynamique à l'aide d'attachements RPC.

Les routages avec une source IPSEC_TUNNEL ou VIRTUAL_CIRCUIT ne sont pas exportés vers des attachements de tunnel ou de circuit virtuel IPSec, quelle que soit la distribution d'export de l'attachement.

Routage du trafic d'un sous-réseau vers une passerelle de routage dynamique

Le scénario de routage de base envoie le trafic d'un sous-réseau du réseau cloud virtuel vers la passerelle de routage dynamique. Par exemple, si vous envoyez le trafic du sous-réseau vers un réseau sur site, vous configurez une règle dans la table de routage du sous-réseau. Le CIDR de destination de la règle est le CIDR du réseau sur site (ou d'un sous-réseau qu'il contient) et la cible de la règle est la passerelle de routage dynamique. Pour plus d'informations, reportez-vous à Tables de routage de réseau cloud virtuel.

Stratégie IAM requise

Les réseaux cloud virtuels d'appairage utilisant un service DRG nécessitent des droits d'accès IAM spécifiques. Pour plus d'informations sur les droits d'accès requis, reportez-vous à Stratégies IAM pour le routage entre réseaux cloud virtuels.

Versions de DRG

Les passerelles de routage dynamique créées avant le 17 mai 2021 utilisent le logiciel hérité et peuvent être mises à niveau vers la version la plus récente. Les passerelles de routage dynamique créées après comportent par défaut les fonctionnalités mises à niveau.

Voici un récapitulatif des différences entre les passerelles de routage dynamique mises à niveau et héritées :

Une passerelle de routage dynamique héritée présente les caractéristiques suivantes :

• Elle ne contient aucune table de routage programmable. Elle présente un comportement de routage par défaut où tout le trafic est transmis du réseau sur site vers un réseau cloud virtuel associé et de ce dernier vers le réseau sur site.
• Elle peut être attachée à un seul réseau cloud virtuel. Le DRG peut se connecter à un autre DRG pour l'appairage VCN distant à l'aide d'un RPC.
• Elle peut être attachée à l'aide de FastConnect et/ou d'un VPN site à site. Vous pouvez uniquement atteindre les ressources de la région locale à l'aide de ces connexions.
• Elle peut prendre en charge une connexion d'appairage à distance avec une paire passerelle de routage dynamique-réseau cloud virtuel à distance dans la même location. Pour en savoir plus sur l'appairage à distance à l'aide d'une passerelle de routage dynamique héritée, reportez-vous à Appairage à distance de réseaux cloud virtuels à l'aide d'une passerelle de routage dynamique héritée.

Une passerelle de routage dynamique mise à niveau présente les caractéristiques suivantes :

• Elle comporte deux tables de routage par défaut. Vous pouvez en ajouter d'autres ultérieurement.
• Plusieurs réseaux cloud virtuels peuvent lui être attachés dans la même région. Le trafic local de réseau cloud virtuel à réseau cloud virtuel peut passer par une passerelle de routage dynamique mutuellement connectée au lieu d'une passerelle d'appairage local. Pour plus d'informations, reportez-vous à Appairage VCN local via un DRG mis à niveau.
• Elle peut être attachée sur site à l'aide du VPN FastConnect orSite sur site, ou des deux. Vous pouvez atteindre les ressources des régions locales et distantes à l'aide de ces connexions.
• Elle prend en charge une connexion d'appairage à distance avec une paire passerelle de routage dynamique-réseau cloud virtuel dans la même location ou dans une autre. Reportez-vous à Appairage à distance VCN via un DRG mis à niveau pour en savoir plus sur l'appairage à distance à l'aide d'un DRG mis à niveau.

De même que les scénarios de configuration réseau courants, le reste de cet article a été récemment mis à jour pour refléter les fonctionnalités des passerelles de routage dynamique mises à niveau. L'appairage à distance de réseaux cloud virtuels à l'aide d'une passerelle de routage dynamique héritée est le seul scénario de routage ou d'appairage propre à une passerelle de routage dynamique héritée.

Avant de mettre à niveau un DRG

Pour tirer parti des fonctionnalités DRG améliorées, mettez à niveau le DRG. Le processus de mise à niveau de DRG est automatisé, mais vous devez disposer des autorisations requises pour démarrer une mise à niveau. La mise à niveau d'un DRG est un processus unidirectionnel qui ne permet pas de revenir à un DRG hérité après le démarrage du processus de mise à niveau.

Attendez-vous à ce que chacune des pièces jointes du DRG soit mise à jour à son tour, ce qui force chaque pièce jointe de mise à niveau à passer à l'état de provisionnement. Les attachements de circuit virtuel et de tunnel VPN ne peuvent plus transférer le trafic lorsqu'ils sont dans un état de provisionnement. Si vous n'avez qu'un seul circuit virtuel, il peut s'arrêter pendant environ 20 minutes. Toutes les sessions BGP existantes pour les connexions sur site sont également réinitialisées lorsque l'attachement et les connexions sont également mis hors ligne.

Si vous disposez de connexions redondantes, attendez-vous à ce que le trafic bascule vers d'autres circuits pendant la mise à niveau d'une connexion. A l'aide d'une configuration redondante, la connexion globale entre OCI et sur site est maintenue pendant la mise à niveau de DRG. Par exemple, si un DRG dispose de deux attachements de circuit virtuel FastConnect à un réseau sur site avec un réseau configuré comme principal, alors que le circuit virtuel principal est mis à niveau, il supprime la connectivité mais le trafic peut toujours passer sur le circuit virtuel secondaire. Une fois cette première mise à jour terminée et le trafic sur le circuit virtuel principal restauré, le processus met à niveau l'attachement du circuit virtuel secondaire et finit par remettre les deux circuits virtuels en ligne. Le processus de mise à niveau peut durer jusqu'à 30 minutes par attachement sur site. De même, si le processus de mise à niveau met d'abord à niveau la connexion du circuit virtuel secondaire, le trafic s'arrête sur ce circuit, mais peut toujours passer sur le circuit virtuel principal jusqu'à ce que la connexion du circuit secondaire soit rétablie.

Les connexions d'appairage à distance et les attachements VCN n'ont pas besoin de réinitialiser BGP comme le font les connexions de circuit virtuel ou de tunnel IPSec, et la mise à niveau est plus rapide. Les connexions VCN à une passerelle d'appairage local ou à d'autres passerelles ne sont pas affectées, car elles sont des pièces jointes sur le VCN et non sur le DRG.

Une fois le processus de mise à niveau de DRG terminé, tous les tunnels IPSec de VPN site à site sont remis en ligne et toutes les sessions BGP pour FastConnect et le VPN site à site sont rétablies. Par défaut, le DRG mis à niveau comporte deux tables de routage DRG générées automatiquement et les distributions de routage d'import activées pour les pièces jointes. Ces ressources sont conçues pour une compatibilité ascendante avec un DRG hérité et permettent à toutes les communications précédentes de reprendre de la même manière qu'avant la mise à niveau sans autre intervention de l'utilisateur.

Pour obtenir des instructions détaillées sur la mise à niveau d'un DRG, reportez-vous à Mise à niveau d'un DRG.

Scénarios

Nous avons fourni des scénarios de configuration réseau détaillés pour vous aider à comprendre le rôle de la passerelle de routage dynamique dans le service Networking et la façon dont les composants fonctionnent globalement ensemble.

Conflits de routage

Si deux routages ayant des CIDR identiques sont observés dans une même table de routage de passerelle de routage dynamique, la passerelle de routage dynamique résout le conflit en utilisant les critères suivants :

1. La préférence des routages statiques est toujours plus élevée que celle des routages dynamiques.

   Remarque
   
   Vous ne pouvez pas indiquer manuellement deux routages statiques avec le même CIDR dans la même table de routage DRG, mais il est possible d'importer dynamiquement plusieurs routages avec le même CIDR.
2. Pour résoudre les conflits entre les routages dynamiques, le chemin AS du routage est dans un premier temps analysé :
   • Les routages dont la source de routage est VCN ou STATIC ont toujours un chemin AS vide.
   • Les données de chemin AS des routages dont la source de routage est IPSEC_TUNNEL ou VIRTUAL_CIRCUIT sont remplies (reportez-vous à Détails de routage pour les connexions au réseau sur site pour plus de détails).
3. Si le conflit n'est pas résolu, le type d'attachement qui a importé le routage est ensuite évalué selon la priorité suivante en fonction du type d'attachement :
   1. VCN : le DRG effectue une sélection arbitraire mais stable.
   2. VIRTUAL_CIRCUIT : si ECMP est disabled, le DRG effectue une sélection arbitraire mais stable. Si ECMP est activé, toutes les routes sont ajoutées à la table de routage et le DRG effectue des choix de routage à l'aide d'ECMP. La largeur ECMP maximale prise en charge dans une passerelle de routage dynamique est de 8.
   3. IPSEC_TUNNEL : si ECMP est désactivé, le DRG rend un ECMP arbitraire mais stable selection.If activé, toutes les routes sont ajoutées à la table de routage et le DRG effectue des choix de routage à l'aide d'ECMP. La largeur ECMP maximale prise en charge dans une passerelle de routage dynamique est de 8.

   4. REMOTE_PEERING_CONNECTION : le DRG choisit la route avec la distance réseau la plus faible.

      Si deux routes ont des distances réseau identiques, le DRG sélectionne la route avec la source de route la plus prioritaire (STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL > RPC).

      Si deux routages ont la même source de routage, la passerelle de routage dynamique effectue une sélection arbitraire mais stable.

4. Si des routages en conflit sont importés à partir d'attachements du même type, le conflit est résolu différemment selon le type d'attachement :
   1. Attachements VCN : Si des CIDR identiques sont importés à partir de deux attachements VCN, un seul est sélectionné à l'aide d'une procédure de décision arbitraire mais stable.
   2. Attachements VIRTUAL_CIRCUIT et IPSEC_TUNNEL : si plusieurs routages ayant le même CIDR et des longueurs AS_PATH différentes sont importés dans une table de routage DRG, le routage ayant la longueur AS_PATH la plus faible est sélectionné. Sinon, un routage est choisi en utilisant une procédure de décision arbitraire mais stable.
   3. Attachements RPC : si des CIDR identiques sont importés à partir de deux attachements RPC, l'un d'entre eux est choisi à l'aide d'une procédure de décision arbitraire stable.

Vous pouvez répertorier le contenu de la table de routage afin d'observer les résultats de la résolution de conflits. Les routages en phase d'abandon sont marqués avec le statut Conflit.

Groupement de routes

Comme décrit dans la RFC-1338, l'agrégation de routage vous permet d'annoncer un routage unique, agrégé, qui décrit toutes les destinations qu'il contient, au lieu d'annoncer un routage distinct pour chaque client. L'exemple principal de cela dans OCI Networking se produit lorsque vous configurez un attachement VCN de DRG pour importer des CIDR VCN au lieu de CIDR de sous-réseau, ce qui simplifie les routages publiés par BGP. Selon l'architecture du réseau, vous pouvez également décider de :

• Utilisez des routages statiques au lieu d'importer des distributions sur le DRG pour résumer encore plus étroitement (la portée est limitée à cette pièce jointe spécifique)
• Regrouper plusieurs pièces jointes en introduisant un second DRG et en rendant les pièces jointes agrégées disponibles uniquement via un RPC vers un autre DRG

D'autres formes d'agrégation de routage ne sont pas disponibles.

Limites

Certaines fonctions peuvent sembler possibles, mais les fonctions de routage suivantes ne sont pas autorisées :

• Création ou suppression explicite d'attachements de connexion d'appairage à distance, de tunnel IPSec ou de circuit virtuel
• Routages statiques dans des tables de routage de passerelle de routage dynamique avec comme saut suivant des attachements de tunnel IPSec ou de circuit virtuel
• Utilisation de distributions de routage d'export autres que les valeurs par défaut
• Export de routage dynamique vers des attachements de réseau cloud virtuel
• Routages se propageant via RPC via plus de 4 passerelles de routage dynamique