동적 라우팅 게이트웨이 솔루션에 대해 알아보기

이 참조 문서를 사용하여 Oracle Cloud Infrastructure(OCI) 가상 네트워크 라우팅에 대해 알아봅니다. OCI 클라우드 네트워크에서 IPv4 라우팅을 해독하고 기본 OCI 라우팅 기능을 도입했습니다. 또한 다양한 배포 시나리오의 일반적인 사용 사례를 제공합니다. OCI 가상 네트워크를 설계, 운영 또는 문제 해결해야 하는 경우에 유용합니다.

OCI는 소프트웨어 정의 가상 네트워크 솔루션을 제공합니다. OCI 네트워크는 가상 클라우드 네트워크(VCN), 서브넷, 네트워크 게이트웨이, OCI 네이티브 또는 타사 L4-7 네트워크 서비스 가상 어플라이언스 등으로 구성됩니다. 라우팅은 OCI 네트워크의 요소 간 또는 OCI 네트워크와 온프레미스 네트워크 또는 기타 클라우드 네트워크 간 네트워크 연결을 설정하는 핵심 기능입니다.

전체 네트워크 연결성을 위해서는 보안 목록 또는 네트워크 보안 그룹을 통해 관리되는 적절한 경로 지정 및 네트워크 보안 정책 또는 네트워크 방화벽 어플라이언스의 정책을 통해 네트워크 연결이 이루어져야 합니다. 이 문서는 경로 지정 기능 및 설계에만 초점을 맞추고 있으며 네트워크 보안 정책 관리에 대해서는 논의하지 않습니다.

OCI는 IPv4 및 IPv6 모두에 동일한 경로 지정 방식을 사용합니다. 그러나 IPv6 네트워크 설계에 추가해야 하는 고유한 고려 사항이 있습니다. 예를 들어, IPv6 주소의 다양한 범위와 IPv6 인터넷 라우팅이 NATing를 거치지 않는다는 사실이 있습니다. 동일한 이론이 IPv4 및 IPv6 경로 지정에 적용되지만 여기서는 IPv4 경로 지정에 중점을 둡니다.

DRG 경로 지정 정보

DRG(동적 라우팅 게이트웨이)는 리전의 VCN을 상호 연결하고 Oracle Cloud Infrastructure FastConnect 가상 회로 또는 IPSec VPN 터널을 통해 VCN을 온프레미스 네트워크와 연결하는 리전 가상 라우터입니다. 또한 RPC(원격 피어링 연결)를 통해 영역 간 네트워크 연결을 제공합니다.

DRG는 중앙 허브처럼 작동하여 연결된 네트워크 리소스를 연결합니다. 네트워크 리소스는 VCN, 사이트 간 IPSec VPN 터널, OCI FastConnect 가상 회로 또는 RPC일 수 있습니다. 네트워크 리소스가 DRG에 연결되면 해당 유형의 연결이 생성됩니다.

가상 클라우드 네트워크 연결(VCN 연결): VCN이 DRG에 연결된 경우
가상 회로 연결(VC 연결): OCI FastConnect 가상 회로가 DRG에 연결된 경우
IPSec 터널 연결: IPSec 터널이 DRG에 연결된 경우
RPC 연결(원격 피어링 연결): RPC가 DRG에 연결된 경우

DRG는 DRG 경로 테이블을 사용하여 연결 간에 트래픽의 경로를 지정합니다. 각 연결은 DRG 경로 테이블과 연결됩니다. 트래픽은 연결로부터 DRG를 입력하며 트래픽의 수신 연결과 연관된 DRG 경로 테이블을 기반으로 DRG에 의해 다른 연결로 경로 지정됩니다.

DRG의 라우팅 테이블

DRG(동적 경로 지정 게이트웨이)는 DRG 경로 테이블을 사용하여 연결 간에 트래픽 경로를 지정합니다. OCI는 각 DRG에 대해 2개의 라우팅 테이블을 자동으로 생성합니다. 하나는 VCN 연결용이고, 다른 하나는 IPSec, OCI FastConnect Virtual Circuit Attachment 및 Remote Peering Connection(RPC) 연결용입니다. 더 많은 DRG 경로 테이블을 생성할 수 있습니다.

DRG 경로 테이블의 경로 규칙은 다음 필드를 포함합니다.

유형: 경로 유형은 동적이거나 정적일 수 있습니다. 동적 경로는 DRG 연결에서 가져옵니다. OCI 콘솔 또는 API를 사용하여 정적 경로를 생성할 수 있습니다.
대상 CIDR: 대상 CIDR입니다.
다음 홉 연결 유형: DRG 경로 테이블에서 경로 규칙의 다음 홉은 대상이 상주하거나 대상에 대한 경로가 있는 네트워크의 DRG 연결입니다. 연결은 VCN 연결, 지역 간 RPC 연결 또는 테넌시 간 RPC 연결일 수 있습니다. VPN 연결 또는 OCI FastConnect 가상 회로 연결일 수 없습니다.
Next Hop Attachment Name: 첨부 파일 이름입니다.
Route Status: 상태입니다.

다음은 DRG 경로 테이블 컨텐츠의 예입니다.

유형	대상 CIDR	다음 홉 연결 유형	다음 홉 연결 이름	경로 상태
동적	0.0.0.0/0	VCN(가상 클라우드 네트워크)	DRG-1-VCN-0 속성	[활성]입니다.
동적	10.0.0.0/8	IPSec 터널	IPSec 터널에 대한 DRG 연결: IPSec 온프레미스 2에 대한 터널	[활성]입니다.
동적	10.0.0.0/16	가상 클라우드 네트워크	VCN 0에 DRG 1 연결	[활성]입니다.
동적	21.0.1.0/24	원격 피어링 접속	RPC용 DRG 연결: RPC에서 SJC-DRG-1로(us-west-1 San Jose-DRG-1)	[활성]입니다.

각 DRG 연결에는 연결된 DRG 경로 테이블이 하나 있습니다. 기본적으로 연결 유형에 대해 자동 생성된 DRG 경로 테이블입니다. 사용자가 생성한 DRG 경로 테이블로 변경할 수 있습니다.

트래픽이 DRG에 도달하면 DRG는 트래픽의 수신 연결과 연관된 DRG 경로 테이블을 기반으로 수신 경로 지정 조회를 수행합니다. 경로 지정 조회는 다음 홉 연결(송신 연결)을 해결합니다. DRG는 트래픽이 다음 홉 네트워크로 전송되는 송신 연결로 트래픽을 전송합니다. DRG의 송신 연결에는 경로 지정 조회가 없습니다.

DRG 경로 테이블의 경로 환경설정

동일한 접두어 및 마스크에 대한 여러 경로가 DRG 경로 테이블에 표시될 수 있습니다. 동적 경로 지정 게이트웨이에는 이러한 경로 충돌을 해결하기 위한 내장 방식이 있습니다. 결정은 다음 경로 환경설정에 따라 수행되며 다음 순서로 평가됩니다.

DRG 경로 테이블에서 정적 경로는 동적 경로보다 선호도가 높습니다.

DRG 경로 테이블의 동적 경로 중에서 AS 경로가 더 짧은 경로가 AS 경로가 더 긴 경로보다 선호됩니다.

주:

경로 소스가 VCN 또는 STATIC인 경로에는 항상 빈 AS 경로가 있습니다. IPSec VPN 터널 또는 OCI FastConnect 가상 회로의 경로 소스가 있는 경로에는 다음 표에 표시된 AS 경로가 포함됩니다.

라우트 소스	Oracle이 경로를 선호하는 방법에 대한 세부정보	경로의 결과 AS 경로
OCI FastConnect	OCI는 경로에 ASN을 추가하지 않습니다. 이렇게 하면 총 AS 경로 길이가 1이 됩니다.	고객 ASN
BGP(Border Gateway Protocol) 라우팅을 사용하는 사이트 간 VPN	OCI는 고객 에지 장치가 BGP를 통해 사이트 간 VPN을 통해 알리는 모든 경로에서 단일 프라이빗 ASN을 총 AS 경로 길이 2에 대해 앞에 추가합니다.	개인 ASN, 고객 ASN
정적 라우팅을 사용하는 사이트 간 VPN	OCI는 이러한 정적 경로를 DRG에 BGP 동적 경로로 알립니다. OCI는 이러한 경로에 세 개의 전용 ASN을 추가합니다. 이렇게 하면 총 AS 경로 길이가 3이 됩니다.	개인 ASN, 개인 ASN, 프라이빗 ASN

라우트 소스

Oracle이 경로를 선호하는 방법에 대한 세부정보

경로의 결과 AS 경로

OCI FastConnect

OCI는 경로에 ASN을 추가하지 않습니다. 이렇게 하면 총 AS 경로 길이가 1이 됩니다.

고객 ASN

BGP(Border Gateway Protocol) 라우팅을 사용하는 사이트 간 VPN

OCI는 고객 에지 장치가 BGP를 통해 사이트 간 VPN을 통해 알리는 모든 경로에서 단일 프라이빗 ASN을 총 AS 경로 길이 2에 대해 앞에 추가합니다.

개인 ASN,

고객 ASN

정적 라우팅을 사용하는 사이트 간 VPN

OCI는 이러한 정적 경로를 DRG에 BGP 동적 경로로 알립니다. OCI는 이러한 경로에 세 개의 전용 ASN을 추가합니다. 이렇게 하면 총 AS 경로 길이가 3이 됩니다.

개인 ASN,

프라이빗 ASN

경로를 임포트한 첨부 유형은 첨부 유형에 따라 다음 우선순위에 따라 평가됩니다.
1. VCN
2. VIRTUAL_CIRCUIT: DRG 경로 테이블에 대해 ECMP(Equal-cost multi-path routing)를 사용 안함으로 설정하면 DRG가 임의적이지만 안정적인 선택을 합니다. ECMP가 사용으로 설정된 경우 모든 경로가 경로 테이블에 추가되고 DRG가 ECMP를 사용하여 경로 지정을 선택합니다. DRG 내에서 지원되는 최대 ECMP 너비는 8입니다.
3. IPSEC_TUNNEL: DRG 경로 테이블에 대해 ECMP가 사용 안함으로 설정된 경우 DRG는 임의적이지만 안정적인 선택을 합니다. ECMP가 사용으로 설정된 경우 모든 경로가 경로 테이블에 추가되고 DRG가 ECMP를 사용하여 경로 지정을 선택합니다. DRG 내에서 지원되는 최대 ECMP 너비는 8입니다.
4. REMOTE_PEERING_CONNECTION(RPC): DRG는 네트워크 거리가 가장 낮은 경로를 선택합니다.
두 경로의 네트워크 거리가 동일한 경우 DRG는 우선 순위가 가장 높은 경로 소스(STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL)를 가진 경로를 선택합니다.

두 경로의 경로 소스가 동일한 경우 DRG는 임의적이지만 안정적인 선택을 수행합니다.
충돌하는 경로가 동일한 유형의 첨부에서 임포트되는 경우 첨부 유형에 따라 충돌이 다르게 해결됩니다.
- VCN 연결: 두 개의 VCN 연결에서 동일한 CIDR을 가져오는 경우 임의의 안정적인 결정 절차를 사용하여 하나만 선택됩니다.
- VIRTUAL_CIRCUIT and IPSEC_TUNNEL attachments: If multiple routes with the same CIDR and different AS_PATH lengths are imported into a DRG route table, the route with the lowest AS_PATH length is selected. 그렇지 않으면 임의적이지만 안정적인 결정 절차를 사용하여 하나의 경로가 선택됩니다.
- RPC 연결: 동일한 CIDR을 두 개의 RPC 연결에서 가져온 경우, 그 중 하나는 임의의 안정적인 결정 절차를 사용하여 선택됩니다.

DRG에서 전달 경로 및 분배 제어 임포트

VCN, OCI FastConnect 가상 회로 또는 IPSec VPN 터널과 같은 네트워크 리소스를 DRG(동적 경로 지정 게이트웨이)에 연결할 수 있습니다. 이러한 네트워크 리소스와 연관된 경로는 DRG에 전파됩니다. 임포트 경로 분포 정책을 사용하여 DRG 경로 테이블로 동적 경로로 임포트합니다.

DRG에서 전달 경로 지정

다음은 각 DRG 연결 유형의 네트워크 리소스와 연관되어 있고 DRG로 전파되는 경로를 보여줍니다.

VCN 연결
VCN의 DRG 연결과 연관된 VCN 경로 테이블의 경로, VCN CIDR 및 서브넷 CIDR입니다. VCN이 DRG에 연결되면 DRG가 VCN에 DRG 연결로 표시됩니다. VCN의 라우트 테이블은 DRG를 통해 VCN 수신 라우팅을 위한 DRG 연결과 연결될 수 있습니다. 이 VCN 경로 테이블에서 DRG로 전달되는 경로입니다. VCN 경로 테이블이 DRG 연결과 연관되지 않은 경우 VCN CIDR 및 해당 서브넷 CIDR만 DRG에 전달됩니다.

이러한 경로를 DRG 경로 테이블로 임포트하면 이 VCN 연결이 경로의 다음 홉 연결이 됩니다.
IPSec 터널 연결
BGP(Border Gateway Protocol) 동적 경로 지정이 IPSec 접속에 사용되거나 정적 경로 지정이 IPSec 접속에 사용된 경우 구성된 정적 경로가 사용될 때 IPSec CPE(Customer Premises Equipment)에서 알리는 경로입니다.

이러한 경로를 DRG 경로 테이블로 동적 경로로 가져오면 IPSec 터널 연결이 경로의 다음 홉 연결이 됩니다.
VC 첨부
OCI FastConnect CPE가 BGP를 통해 알리는 경로입니다.

이러한 경로를 DRG 경로 테이블로 가져오면 VC 연결이 경로의 다음 홉 연결입니다.
RPC 연결
원격 DRG의 RPC 연결과 연관된 DRG 경로 테이블의 모든 경로가 로컬 DRG에 전파됩니다.

이러한 경로를 로컬 DRG 경로 테이블로 가져오면 RPC 연결이 경로의 다음 홉이 됩니다.

DRG의 임포트 경로 분포 제어

지정된 DRG 경로 테이블에 대해 임포트 경로 분포 정책을 생성 및 적용하여 경로 테이블로 임포트되는 경로를 제어할 수 있습니다. 연결 유형별로 일치(예: 모든 VCN 연결 일치), 특정 연결 또는 모두 일치를 수행할 수 있습니다.

VCN 연결에 대한 자동 생성된 DRG 경로 테이블에는 모든 DRG 연결에서 경로를 임포트하기 위한 모든 명령문과 일치하는 기본 임포트 경로 분포가 있습니다.

IPSec, OCI FastConnect VC 및 RPC 연결에 대한 자동 생성된 DRG 경로 테이블에는 모든 VCN 연결에서 경로만 임포트하기 위한 일치 유형 VCN 문이 있는 기본 임포트 경로 분포가 있습니다.

주:

이 기본 임포트 분배 정책은 다른 연결 유형에 의해 전달된 경로를 이 DRG 경로 테이블로 임포트하지 않습니다.

모든 VCN 연결에 대해 자동 생성된 DRG 경로 테이블을 사용하는 경우 VCN 간에 완전히 메시징된 경로 지정 연결이 이루어지며, 모든 VCN에는 원격 지역의 모든 온프레미스 네트워크 및 VCN에 접근하기 위한 경로가 포함됩니다.

제한된 경로 지정 연결을 설정하거나 네트워크에서 경로 지정 세분화를 생성하려면 서로 다른 DRG 연결에 대해 서로 다른 임포트 경로 분배 정책과 함께 별도의 DRG 경로 테이블을 사용할 수 있습니다. 예를 들어, VCN에 대해 서로 다른 DRG 라우팅 테이블과 서로 다른 임포트 경로 배포를 사용하여 동일한 DRG에 세 개의 라우팅 세그먼트를 생성했습니다.

VCN-1, VCN-2 및 VCN-3 간 완전 메시 연결
VCN-4와 VCN-5 간 접속
VCN-6과 온-프레미스(On-Premise) 네트워크 간 연결

다음 이미지는 DRG 임포트 경로 분포 제어의 예입니다. 다음은 drg-import-route-distribution-control.png에 대한 설명입니다.
drg-import-route-distribution-control.png 그림에 대한 설명

drg-import-route-distribution-control-oracle.zip

기본적으로 모든 연결에는 해당 유형에 대해 자동 생성된 DRG 경로 테이블이 사용되지만, 실제 네트워크 설계에는 경로 규칙과 경로 임포트 분배 정책이 다르기 위해 동일한 유형의 일부 연결이 필요한 경우가 많습니다. 이러한 연결에 대해 별도의 DRG 경로 테이블을 생성하는 것이 좋습니다.

DRG 경로 지정 작업

DRG(동적 경로 지정 게이트웨이)는 연결 간에 트래픽의 경로를 지정합니다. 지정된 트래픽 플로우의 경우 DRG에 수신 연결 및 송신 연결이 있습니다.

DRG는 트래픽이 수신 연결을 통해 DRG에 들어갈 때 수신 경로 지정 모델을 사용하며, DRG는 수신 연결과 연관된 DRG 경로 테이블을 사용하여 트래픽이 전송되는 위치를 결정합니다. 수신 연결의 DRG 경로 테이블에 대상에 대한 경로가 있는 경우 경로의 다음 홉은 DRG의 다른 연결이어야 합니다. VCN 연결(대상이 VCN에 있는 경우), IPSec 또는 가상 회로 연결(대상이 IPSec 터널 또는 OCI FastConnect을 통해 DRG에 연결된 온프레미스 네트워크에 있는 경우) 또는 RPC 연결(대상이 원격 지역에 있는 경우)일 수 있습니다. 대상에 대해 일치하는 경로가 없으면 트래픽이 삭제됩니다.

다음 이미지는 DRG 경로 지정 작업의 예입니다.

다음은 drg-routing-operation.png에 대한 설명입니다.

그림 drg-routing-operation.png에 대한 설명

drg-routing-작업-oracle.zip

이 예에서는 Attachment-1에서 가져온 트래픽에 대한 DRG 경로 지정 조회를 보여주고 Attachment-2에 있는 대상 네트워크로 이동합니다. 경로 지정 조회는 수신 연결(Attachment-1)의 DRG 경로 테이블에서 수행됩니다. 경로 테이블에는 송신 연결(첨부 파일-2)이 다음 홉 연결인 대상에 대한 경로 규칙이 있습니다.

DRG 연결은 DRG와 연결 뒤에 있는 네트워크 리소스 간의 논리적 지점 간 연결이므로 DRG는 송신 연결에 대해 다른 경로 지정 조회를 수행할 필요가 없으므로 연결을 통해 트래픽을 다음 네트워크 리소스로 전달합니다. 다음 네트워크 리소스는 VCN 또는 IPSec 터널 반대쪽의 경로 지정 장치, OCI FastConnect 가상 회로 또는 원격 영역의 DRG일 수 있습니다. 트래픽을 전달할 위치를 결정하기 위해 자체 경로 지정 조회를 수행하는 것은 다음 리소스에 달려 있습니다. 예를 들어, 다음 홉 연결이 VC 연결인 경우 DRG는 트래픽을 OCI FastConnect 가상 회로를 통해 경로 지정합니다. 가상 회로의 다른 쪽 끝에 있는 경로 지정 장치는 트래픽을 수신할 때 자체 경로 지정을 수행합니다. 다음 홉이 VCN 연결인 경우 DRG를 통한 VCN 수신 경로 지정이 수행됩니다.

다음 이미지는 다중 홉 네트워크 경로를 따라 경로 지정 조회 프로세스를 보여줍니다.

다음은 routing-lookup-multi-hop-network-path.png에 대한 설명입니다.

그림 routing-lookup-multi-hop-network-path.png에 대한 설명

경로 지정-룩업-다중 홉-네트워크-경로-oracle.zip

이 예에서 이미지는 온프레미스 네트워크 10.254.0.0/16과 VCN 서브넷 10.1.1.0/24 간의 경로 지정 경로를 보여줍니다. VCN의 기본 로컬 라우팅은 단순성을 위해 사용됩니다. 엔드투엔드 라우팅 연결을 달성하기 위해 각 방향의 라우팅 조회를 위해 여러 지점에서 사용되는 여러 DRG 라우팅 테이블과 VCN 라우팅 테이블이 있습니다.

ATT-VC에 대한 DRG 경로 테이블
OCI FastConnect VC 연결용 DRG 경로 테이블: 온프레미스 네트워크에서 VCN-1로 트래픽을 라우팅합니다.
ATT-VCN-1에 대한 DRG 경로 테이블
VCN-1 연결에 대한 DRG 경로 테이블: VCN-1에서 온프레미스 네트워크로 트래픽을 라우팅합니다.
DRG 연결에 대한 VCN 경로 테이블
VCN의 DRG 연결에 대한 VCN 경로 테이블: DRG를 통한 VCN 수신 경로 지정에서 VCN-1로.

VCN의 DRG 연결과 연계된 사용자 지정 경로 테이블이 없는 경우 VCN CIDR에 대한 기본 로컬 경로가 사용됩니다. 즉, DRG는 트래픽을 VCN의 대상으로 직접 라우팅합니다. 이는 암시적 VCN 로컬 경로이며 사용자에게 표시되지 않습니다.
서브넷 경로 테이블
서브넷 10.1.1.0/24에 대한 VCN 경로 테이블: VCN-1 서브넷에서 DRG로 트래픽을 경로 지정합니다.

다음 이미지는 VCN-1에서 온프레미스 네트워크로의 트래픽 경로 지정을 보여줍니다.

다음은 traffic-route-vcn-prem.png에 대한 설명입니다.

그림 traffic-route-vcn-prem.png에 대한 설명

traffic-route-vcn-prem-oracle.zip

이 예에서 VCN-1 연결에 대한 VCN 서브넷 라우팅 테이블과 DRG 라우팅 테이블은 VCN-1 서브넷의 리소스에서 온프레미스 네트워크의 리소스로 트래픽을 라우팅합니다.

다음 이미지는 OCI FastConnect VC 연결에 대한 DRG 경로 테이블을 보여줍니다.

다음은 traffic-route-prem-vcn.png에 대한 설명입니다.

그림 traffic-route-prem-vcn.png에 대한 설명

traffic-route-prem-vcn-oracle.zip

이 예에서 DRG 수신 경로 지정을 위한 VCN의 DRG 연결과 연관된 VCN 경로 테이블은 온프레미스 리소스에서 VCN-1 서브넷의 리소스로 트래픽의 경로를 지정합니다.