1. Saiba mais sobre soluções de gateway de roteamento dinâmico
  2. Saiba mais sobre Soluções de Gateway de Roteamento Dinâmico

Saiba mais sobre Soluções de Gateway de Roteamento Dinâmico

Use este documento de referência para saber mais sobre o roteamento de rede virtual do Oracle Cloud Infrastructure (OCI). Ele decifra o roteamento IPv4 em redes de nuvem da OCI e apresenta funções básicas de roteamento da OCI. Ele também fornece casos de uso típicos em diferentes cenários de implantação, o que é útil se você precisar projetar, operar ou solucionar problemas de redes virtuais do OCI.

A OCI oferece uma solução de rede virtual definida por software. Uma rede do OCI consiste em redes virtuais na nuvem (VCNs), sub-redes, gateways de rede, appliances virtuais de serviço de rede nativos do OCI ou de 3 partes L4-7 e assim por diante. O roteamento é a função principal para estabelecer conectividade de rede entre os elementos em uma rede da OCI ou entre uma rede da OCI e redes on-premises ou outras redes na nuvem.

A acessibilidade total da rede requer conectividade de rede alcançada por meio de roteamento adequado e políticas de segurança de rede gerenciadas por meio de Listas de Segurança ou Grupos de Segurança de Rede ou políticas em appliances de firewall de rede. Este documento se concentra exclusivamente em funções de roteamento e projetos, ele não discute o gerenciamento de políticas de segurança de rede.

O OCI usa os mesmos mecanismos de roteamento para IPv4 e IPv6. No entanto, há considerações exclusivas que você deve adicionar a um design de rede IPv6. Por exemplo, os diferentes escopos de endereços IPv6 e o fato de que o Roteamento da Internet IPv6 não passa por NATing. Embora as mesmas teorias se apliquem ao roteamento IPv4 e IPv6, as discussões e os exemplos aqui se concentram no roteamento IPv4.

Sobre o Roteamento do DRG

Um gateway de roteamento dinâmico (DRG) é um roteador virtual regional que interconecta VCNs em uma região e conecta as VCNs com redes on-premises por meio de circuitos virtuais ou túneis IPSec VPN do Oracle Cloud Infrastructure FastConnect. Ele também fornece conectividade de rede entre regiões por meio de uma Conexão de Pareamento Remoto (RPC).

Um DRG age como um hub central para conectar os recursos de rede anexados a ele. Os recursos de rede podem ser VCNs, túneis IPSec VPN site a site, circuitos virtuais OCI FastConnect ou RPC. Quando um recurso de rede é anexado a um DRG, um anexo do tipo correspondente é criado:
  • Anexo de Rede Virtual na Nuvem (Anexo de VCN): Quando uma VCN anexada ao DRG
  • Anexo de Circuito Virtual (Anexo de CV): Quando um circuito virtual do OCI FastConnect é anexado ao DRG
  • Anexo de Túnel IPSec: Quando um túnel IPSec é anexado ao DRG
  • Anexo de Conexão de Pareamento Remoto (Anexo RPC): Quando um RPC é anexado ao DRG
O DRG roteia o tráfego entre os anexos usando tabelas de roteamento do DRG. Cada anexo é associado a uma tabela de roteamento do DRG. O tráfego entra no DRG por meio de um anexo e é roteado para outro anexo pelo DRG com base na tabela de roteamento do DRG associada ao anexo de entrada do tráfego.

Tabelas de Roteamento no DRG

Um gateway de roteamento dinâmico (DRG) usa tabelas de roteamento do DRG para rotear o tráfego entre seus anexos. O OCI gera automaticamente duas tabelas de roteamento para cada DRG, uma para anexos de VCN e a segunda para anexos IPSec, OCI FastConnect Virtual Circuit Attachment e Remote Peering Connection (RPC). Você pode criar mais tabelas de roteamento do DRG.
As regras de roteamento em uma tabela de roteamento do DRG contêm os seguintes campos:
  • Tipo: O tipo de rota pode ser dinâmico ou estático. As rotas dinâmicas são importadas dos anexos do DRG. Você pode usar a Console ou a API do OCI para criar rotas estáticas.
  • CIDR de Destino: o CIDR de destino.
  • Próximo Tipo de Anexo de Salto: O próximo salto de uma regra de roteamento em uma tabela de roteamento do DRG é o anexo do DRG da rede em que o destino reside ou está em rota para o destino. O anexo pode ser um anexo da VCN, um anexo RPC entre regiões ou um anexo RPC entre tenancies. Não pode ser um anexo de VPN ou anexo de circuito virtual do OCI FastConnect.
  • Próximo Nome de Anexo de Hop: O nome do anexo.
  • Status da Rota: Status.
Veja a seguir um exemplo do conteúdo de uma tabela de roteamento do DRG.
Tipo CIDR de Destino Próximo Tipo de Anexo de Hop Próximo Nome de Anexação de Hop Status da Rota
Dinâmico 0.0.0.0/0 Rede Virtual na Nuvem (VCN) Att-DRG-1-VCN-0 Ativa
Dinâmico 10.0.0.0/8 Túnel IPSec Anexo do DRG para o Túnel IPSec: Túnel IPSec para o On-premises 2 Ativa
Dinâmico 10.0.0.0/16 Rede Virtual na Nuvem Anexo do DRG 1 à VCN 0 Ativa
Dinâmico 21.0.1.0/24 Conexão de Pareamento Remoto Anexo DRG para RPC: RPC para SJC-DRG-1 (us-west-1 San Jose-DRG-1) Ativa

Cada anexo do DRG tem uma tabela de roteamento do DRG associada a ele. Por padrão, é a tabela de roteamento do DRG gerada automaticamente para o tipo de anexo. Você pode alterá-la para uma tabela de roteamento do DRG criada pelo usuário.

Quando o tráfego entra em um DRG, o DRG executa a pesquisa de roteamento de entrada com base na tabela de roteamento do DRG associada ao anexo de entrada do tráfego. A pesquisa de roteamento resolve o anexo do próximo salto (o anexo de saída). O DRG envia o tráfego para o anexo de saída por meio do qual o tráfego chegará à rede do próximo salto. Não há pesquisa de roteamento no anexo de saída no DRG.

Preferência de Rota na Tabela de Rota DRG

É possível que várias rotas para o prefixo e a máscara idênticos apareçam em uma tabela de roteamento do DRG. O gateway de roteamento dinâmico tem um mecanismo incorporado para resolver esses conflitos de rota. A decisão é tomada com base na seguinte preferência de rota e é avaliada na seguinte ordem:
  1. Em uma tabela de roteamento do DRG, as rotas estáticas têm preferência maior do que as rotas dinâmicas.
  2. Entre AS rotas dinâmicas em uma tabela de roteamento do DRG, AS rotas com caminho AS mais curto são preferidas em relação às rotas com caminho AS mais longo.

    Observação:

    Rotas com uma origem de rota VCN ou STATIC sempre têm um Caminho AS vazio. AS rotas com uma origem de rota do túnel IPSec VPN ou do circuito virtual OCI FastConnect terão os Caminhos AS mostrados na tabela a seguir.
    Origem da Rota Detalhes de como o sistema Oracle prefere o caminho Caminho AS resultante para a rota
    OCI FastConnect A OCI não pré-anexa ASNs às rotas. Isso resulta em um tamanho total 1 de caminho AS. ASN do Cliente
    VPN entre Sites com roteamento BGP (Border Gateway Protocol) O OCI pré-pende um único ASN privado em todas AS rotas que o dispositivo de borda do cliente divulga pela VPN Site a Site com BGP, para um caminho AS de tamanho total 2.

    ASN Privado,

    ASN do Cliente
    VPN entre sites com roteamento estático A OCI divulga essas rotas estáticas para o DRG como rotas dinâmicas BGP. A OCI pré-anexa 3 ASNs privados nessas rotas. Isso resulta em um tamanho total 3 de caminho AS.

    ASN Privado,

    ASN Privado,

    ASN Privado
  3. O tipo de anexo que importou a rota é avaliado de acordo com a seguinte prioridade, com base no tipo de anexo:
    1. VCN
    2. VIRTUAL_CIRCUIT: Se o roteamento multicaminho de custo Igual (ECMP) estiver desativado para a tabela de roteamento do DRG, o DRG fará uma seleção arbitrária, mas estável. Se o ECMP estiver ativado, todas as rotas serão adicionadas à tabela de roteamento e o DRG fará opções de roteamento usando o ECMP. A largura máxima de ECMP suportada dentro de um DRG é 8.
    3. IPSEC_TUNNEL: Se o ECMP estiver desativado para a tabela de roteamento do DRG, o DRG fará uma seleção arbitrária, mas estável. Se o ECMP estiver ativado, todas as rotas serão adicionadas à tabela de roteamento e o DRG fará opções de roteamento usando o ECMP. A largura máxima de ECMP suportada dentro de um DRG é 8.
    4. REMOTE_PEERING_CONNECTION (RPC): O DRG escolherá a rota com a menor distância de rede.

    Se duas rotas tiverem distâncias de rede idênticas, o DRG selecionará a rota com a origem de rota de prioridade mais alta (STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL).

    Se duas rotas tiverem a mesma origem, o DRG fará uma seleção arbitrária, mas estável.

  4. Se rotas conflitantes forem importadas de anexos do mesmo tipo, o conflito será resolvido de maneira diferente, dependendo do tipo de anexo:
    • Anexos de VCN: Se CIDRs idênticos forem importados de dois anexos de VCN, apenas um será selecionado usando um procedimento de decisão arbitrário, mas estável.
    • Anexos VIRTUAL_CIRCUIT e IPSEC_TUNNEL: Se várias rotas com o mesmo CIDR e diferentes tamanhos de AS_PATH forem importadas para uma tabela de roteamento do DRG, a rota com o menor tamanho de AS_PATH será selecionada. Caso contrário, uma rota é escolhida usando um procedimento de decisão arbitrário, mas estável.
    • Anexos de RPC: Se CIDRs idênticos forem importados de dois anexos de RPC, um deles será escolhido usando um procedimento de decisão arbitrário estável.

Propagação de Rota e Controle de Distribuição de Rota de Importação no DRG

Você pode anexar recursos de rede, como VCNs, circuitos virtuais OCI FastConnect ou túneis IPSec VPN a um gateway de roteamento dinâmico (DRG). As rotas associadas a esses recursos de rede são propagadas para o DRG. Use uma política de distribuição de rota de importação para importá-las para uma tabela de roteamento do DRG como rotas dinâmicas.

Propagação de Rota no DRG

Veja a seguir quais rotas estão associadas ao recurso de rede de cada tipo de anexo do DRG e são propagadas para o DRG:

  • Anexo da VCN

    As rotas na tabela de roteamento da VCN que está associada ao anexo do DRG na VCN e aos CIDRs da VCN, bem como seus CIDRs de sub-rede. Quando uma VCN é anexada a um DRG, o DRG é representado como um anexo de DRG na VCN. Uma tabela de roteamento da VCN pode ser associada ao anexo do DRG para o roteamento de entrada da VCN por meio do DRG. São as rotas nesta tabela de roteamento da VCN que são propagadas para o DRG. Se uma tabela de roteamento de VCN não estiver associada ao anexo do DRG, somente os CIDRs da VCN e seus CIDRs de sub-rede serão propagados para o DRG.

    Quando essas rotas forem importadas para uma tabela de roteamento do DRG, esse anexo da VCN será o anexo do próximo salto nas rotas.

  • Anexo de túnel IPSec

    As rotas propagadas pelo CPE (customer premise equipment) IPSec quando o roteamento dinâmico do BGP (Border Gateway Protocol) for usado na Conexão IPSec ou nas rotas estáticas configuradas se o roteamento estático for usado na Conexão IPSec.

    Quando essas rotas forem importadas para uma tabela de roteamento do DRG como rotas dinâmicas, o anexo de túnel IPSec será o anexo de salto seguinte para as rotas.

  • Anexo VC

    As rotas propagadas pelo CPE do OCI FastConnect por meio do BGP.

    Quando essas rotas são importadas para uma tabela de roteamento do DRG, o anexo VC é o anexo do próximo salto nas rotas.

  • Anexo de RPC

    Todas as rotas na tabela de roteamento do DRG associadas ao anexo RPC do DRG remoto serão propagadas para o DRG local.

    Quando essas rotas forem importadas para uma tabela de roteamento do DRG local, o anexo RPC será o próximo salto para as rotas.

Controle de Distribuição de Rota de Importação no DRG

Para uma determinada tabela de roteamento do DRG, você pode criar e aplicar uma política de distribuição de rota de importação para controlar quais rotas são importadas para a tabela de roteamento. Você pode corresponder por tipo de anexo (por exemplo, corresponder a todos os anexos da VCN), um anexo específico ou corresponder a todos.

A tabela de roteamento de DRG gerada automaticamente para anexos de VCN tem uma distribuição de rota de importação padrão que tem uma instrução de correspondência para importar rotas de todos os anexos de DRG

A tabela de roteamento do DRG gerada automaticamente para anexos VC do IPSec, OCI FastConnect e RPC tem uma distribuição de rota de importação padrão que tem uma instrução VCN do tipo de correspondência para importar apenas rotas de todos os anexos da VCN.

Observação:

Esta política de distribuição de importação padrão não importa rotas propagadas por outros tipos de anexo para esta tabela de roteamento do DRG.

Se você usar a tabela de roteamento do DRG gerada automaticamente para todos os seus anexos de VCN, obterá conectividade de roteamento totalmente malha entre suas VCNs, e todas as suas VCNs terão rotas para acessar todas as suas redes locais e VCNs na região remota.

Se você quiser estabelecer uma conectividade de roteamento mais restrita ou criar segmentação de roteamento em sua rede, poderá usar tabelas de roteamento do DRG separadas com diferentes políticas de distribuição de rota de importação para diferentes anexos do DRG. Por exemplo, criamos 3 segmentos de roteamento no mesmo DRG usando diferentes tabelas de roteamento do DRG e diferentes distribuições de rota de importação para as VCNs:

  • Uma conectividade totalmente integrada entre a VCN-1, a VCN-2 e a VCN-3
  • Conectividade entre VCN-4 e VCN-5
  • Conectividade entre a VCN-6 e as redes locais

A imagem a seguir é um exemplo de Controle de Distribuição de Rota de Importação do DRG.A seguir, descrição do drg-import-route-distribution-control.png
Descrição da ilustração drg-import-route-distribution-control.png

drg-import-route-distribution-control-oracle.zip

Embora, por padrão, todos os anexos usem a tabela de roteamento do DRG gerada automaticamente para seu tipo, os designs de rede reais geralmente exigem que alguns anexos do mesmo tipo tenham regras de roteamento diferentes e políticas de distribuição de importação de rota diferentes. É uma boa prática criar tabelas de roteamento DRG separadas para esses anexos.

Operação de Roteamento do DRG

Um gateway de roteamento dinâmico (DRG) roteia o tráfego entre seus anexos. Para um determinado fluxo de tráfego, há um anexo de entrada e um anexo de saída no DRG.

O DRG usa um modelo de roteamento de entrada quando o tráfego entra no DRG por meio do anexo de entrada, o DRG usa a tabela de roteamento do DRG associada ao anexo de entrada para decidir para onde o tráfego vai. Se existir uma rota para o destino na tabela de roteamento do DRG do anexo de entrada, o próximo salto da rota deverá ser outro anexo no DRG. Pode ser um anexo de VCN (se o destino estiver em uma VCN), um anexo de IPSec ou Circuito Virtual (se o destino estiver em uma rede local conectada ao DRG por meio de túneis IPSec ou OCI FastConnect) ou um anexo de RPC (se o destino estiver em uma região remota). Se não houver uma rota correspondente para o destino, o tráfego será eliminado.

A imagem a seguir é um exemplo de operação de rota do DRG.

Veja a seguir a descrição da rota drg-operation.png
Descrição da ilustração drg-routing-operation.png

drg-roteamento-operação-oracle.zip

Este exemplo mostra a pesquisa de roteamento do DRG para tráfego que vem do Anexo-1 e vai para uma rede de destino que está no Anexo-2. A pesquisa de roteamento ocorre na tabela de roteamento do DRG do anexo de entrada (Anexo-1). A tabela de roteamento tem uma regra de roteamento para o destino com o anexo de saída (Attachment-2) como o anexo do próximo salto.

Como o anexo do DRG é uma conexão ponto a ponto lógica entre o DRG e o recurso de rede por trás do anexo, o DRG não precisa fazer outra pesquisa de roteamento no anexo de saída, ele apenas encaminhará o tráfego para o próximo recurso de rede por meio do anexo. O próximo recurso de rede pode ser uma VCN ou o dispositivo de roteamento do outro lado de um Túnel IPSec ou um circuito virtual OCI FastConnect ou um DRG em uma região remota. Cabe ao próximo recurso executar sua própria pesquisa de roteamento para decidir para onde encaminhar o tráfego. Por exemplo, se o anexo do próximo salto for um anexo VC, o DRG roteará o tráfego por meio do circuito virtual OCI FastConnect. O dispositivo de roteamento na outra extremidade do circuito virtual executa seu próprio roteamento ao receber o tráfego. Se o próximo salto for um anexo da VCN, o roteamento de entrada da VCN por meio do DRG ocorrerá.

A imagem a seguir mostra o processo de pesquisa de roteamento ao longo de um caminho de rede com vários saltos.

Veja a seguir a descrição da roteamento-lookup-multi-hop-network-path.png
Descrição da ilustração routing-lookup-multi-hop-network-path.png

routing-lookup-multi-hop-network-path-oracle.zip (em inglês)

Neste exemplo, a imagem mostra o caminho de roteamento entre uma rede local 10.254.0.0/16 e uma sub-rede VCN 10.1.1.0/24. O roteamento local padrão na VCN é usado para simplificar. Para obter a conectividade de roteamento de ponta a ponta, há várias tabelas de roteamento do DRG e tabelas de roteamento da VCN usadas em diferentes pontos para pesquisa de roteamento para cada direção:

  • Tabela de Roteamento DRG para ATT-VC

    A tabela de roteamento do DRG para o anexo VC do OCI FastConnect: Roteia o tráfego da rede local para a VCN-1.

  • Tabela de Roteamento do DRG para ATT-VCN-1

    A tabela de roteamento do DRG para o anexo da VCN-1: Roteia o tráfego da VCN-1 para a rede local.

  • Tabela de Roteamento da VCN para Anexo do DRG

    A tabela de roteamento da VCN para o anexo do DRG na VCN: roteamento de entrada da VCN por meio do DRG para a VCN-1.

    Se não houver tabela de roteamento especificada pelo usuário associada ao anexo do DRG na VCN, a rota local padrão para os CIDRs da VCN será usada. Ou seja, o DRG roteará o tráfego diretamente para os destinos na VCN. Essa é a rota local implícita da VCN e é invisível para os usuários.

  • Tabela de Rota de Sub-rede

    A tabela de roteamento da VCN para a sub-rede 10.1.1.0/24: Roteia o tráfego da sub-rede VCN-1 para o DRG.

A imagem a seguir mostra o roteamento de tráfego da VCN-1 para a rede local.

Veja a seguir a descrição da rota de tráfego-vcn-prem.png
Descrição da ilustração traffic-route-vcn-prem.png

tráfego-route-vcn-prem-oracle.zip

Neste exemplo, a tabela de roteamento de sub-rede da VCN e a tabela de roteamento do DRG para o anexo da VCN-1 roteiam o tráfego de um recurso na sub-rede da VCN-1 para um recurso na rede local.

A imagem a seguir mostra a tabela de roteamento do DRG para o anexo VC do OCI FastConnect:

Veja a seguir a descrição da rota de tráfego-prem-vcn.png
Descrição da ilustração traffic-route-prem-vcn.png

tráfego-route-prem-vcn-oracle.zip

Neste exemplo, a tabela de roteamento da VCN associada ao anexo do DRG na VCN para roteamento de entrada do DRG roteia o tráfego do recurso local para um recurso na sub-rede VCN-1.