1. 了解动态路由网关解决方案
  2. 了解动态路由网关解决方案

了解动态路由网关解决方案

使用此参考文档了解 Oracle Cloud Infrastructure (OCI) 虚拟网络路由。它破解了 OCI 云网络中的 IPv4 路由,并引入了基本的 OCI 路由功能。它还提供不同部署方案中的典型用例,如果您需要设计、运行 OCI 虚拟网络或对 OCI 虚拟网络进行故障排除,这将非常有用。

OCI 提供软件定义的虚拟网络解决方案。OCI 网络由虚拟云网络 (Virtual Cloud Network,VCN)、子网、网络网关、OCI 本机或第三方 L4-7 网络服务虚拟设备等组成。路由是核心功能,用于在 OCI 网络中的元素之间或在 OCI 网络与内部部署网络或其他云网络之间建立网络连接。

完全网络可访问性要求通过正确的路由和网络安全策略(通过安全列表或网络安全组管理)或网络防火墙设备上的策略来实现网络连接。本文档仅关注路由功能和设计,不讨论网络安全策略的管理。

OCI 对 IPv4 和 IPv6 使用相同的路由机制。但是,必须将一些独特的注意事项添加到 IPv6 网络设计中。例如,IPv6 地址的不同范围以及 IPv6 Internet 路由不通过 NATing 的情况。虽然相同的理论适用于 IPv4 和 IPv6 路由,但此处的讨论和示例侧重于 IPv4 路由。

关于 DRG 路由

动态路由网关 (Dynamic Routing Gateway,DRG) 是区域虚拟路由器,用于将区域中的 VCN 互连,并通过 Oracle Cloud Infrastructure FastConnect 虚拟线路或 IPSec VPN 隧道将 VCN 与内部部署网络连接。它还通过远程对等连接 (Remote Peering Connection,RPC) 在区域之间提供网络连接。

DRG 充当中心集线器,用于连接与其相连的网络资源。网络资源可以是 VCN、站点到站点 IPSec VPN 隧道、 OCI FastConnect 虚拟线路或 RPC。将网络资源附加到 DRG 时,将创建相应类型的附加:
  • 虚拟云网络附加 (VCN Attachment):连接到 DRG 的 VCN 时
  • 虚拟线路连接 (Virtual Circuit Attachment,VC Attachment):将 OCI FastConnect 虚拟线路连接到 DRG 时
  • IPSec 隧道附加:将 IPSec 隧道附加到 DRG 时
  • 远程对等连接附加(RPC 附加):将 RPC 附加到 DRG 时
DRG 使用 DRG 路由表在附件之间路由流量。每个连接都与一个 DRG 路由表关联。流量从附加进入 DRG,然后由 DRG 根据与流量入站附加关联的 DRG 路由表路由到另一个附加。

DRG 上的路由表

动态路由网关 (Dynamic Routing Gateway,DRG) 使用 DRG 路由表在其附件之间路由流量。OCI 会为每个 DRG 自动生成两个路由表,一个用于 VCN 附加,另一个用于 IPSec、 OCI FastConnect 虚拟线路附加和远程对等连接 (Remote Peering Connection,RPC) 附加。您可以创建更多 DRG 路由表。
DRG 路由表中的路由规则包含以下字段:
  • 类型:路由类型可以是动态的或静态的。从 DRG 附加导入动态路由。您可以使用 OCI 控制台或 API 创建静态路由。
  • 目的地 CIDR:目的地 CIDR。
  • 下一个跃点附加类型:DRG 路由表中路由规则的下一个跃点是目标所在的网络的 DRG 附加或目的地的路由。该附加可以是 VCN 附加、跨区域 RPC 附加或跨租户 RPC 附加。它不能是 VPN 连接或 OCI FastConnect 虚拟线路连接。
  • Next Hop Attachment Name(下一个跃点附加名称):附加的名称。
  • 路由状态:状态。
下面是 DRG 路由表的内容示例。
类型 目的地 CIDR 下一个跃点附加类型 下一个跃点附加名称 路由状态
动态 0.0.0.0/0 虚拟云网络 (VCN) Att-DRG-1-VCN-0 活动
动态 10.0.0.0/8 IPSec 隧道 IPSec 隧道的 DRG 附加:IPSec 到内部部署 2 的隧道 活动
动态 10.0.0.0/16 虚拟云网络 将 DRG 1 附加到 VCN 0 活动
动态 21.0.1.0/24 远程对等连接 RPC 的 DRG 附加:RPC 到 SJC-DRG-1 (us-west-1 San Jose-DRG-1) 活动

每个 DRG 附加都有一个与其关联的 DRG 路由表。默认情况下,它是附加类型的自动生成的 DRG 路由表。可以将其更改为用户创建的 DRG 路由表。

当流量进入 DRG 时,DRG 将根据与流量入站附加关联的 DRG 路由表执行入站路由查找。路由查找可解析下一跃点附件(出站附件)。DRG 会将流量发送到出站附加,通过该附加流量将流量发送到下一中继站网络。DRG 上的出站附加没有路由查找。

DRG 路由表中的路由首选项

相同前缀和掩码的多个路由可能显示在 DRG 路由表中。动态路由网关具有解决此类路由冲突的内置机制。该决策是根据以下路由首选项作出的,并按以下顺序进行评估:
  1. 在 DRG 路由表中,静态路由的优先级高于动态路由。
  2. 在 DRG 路由表中的动态路由中,AS 路径较短的路由优先于具有较长 AS 路径的路由。

    注意:

    路由源为 VCN 或 STATIC 的路由始终具有空 AS 路径。路由源为 IPSec VPN 隧道或 OCI FastConnect 虚拟线路的路由具有下表中显示的 AS 路径。
    路由源 有关 Oracle 如何选择路径的详细信息 生成路由的 AS 路径
    OCI FastConnect OCI 不会在路由前置 ASN。这会导致 AS 路径总长度为 1。 客户 ASN
    具有边界网关协议 (BGP) 路由的站点到站点 VPN OCI 在客户边缘设备通过具有 BGP 的站点到站点 VPN 通告的所有路由上预置一个专用 ASN,AS 路径总长度为 2。

    专用 ASN,

    客户 ASN
    具有静态路由的站点到站点 VPN OCI 将这些到 DRG 的静态路由通告为 BGP 动态路由。OCI 在这些路由上预置 3 个专用 ASN。这会导致 AS 路径总长度为 3。

    专用 ASN,

    专用 ASN,

    专用 ASN
  3. 导入路由的附件类型将根据附件类型的以下优先级进行评估:
    1. VCN
    2. VIRTUAL_CIRCUIT:如果为 DRG 路由表禁用了等价成本多路径路由 (Equal-cost multi-path routing,ECMP),则 DRG 将进行任意但稳定的选择。如果启用了 ECMP,则所有路由都添加到路由表中,DRG 使用 ECMP 进行路由选择。DRG 中支持的最大 ECMP 宽度为 8。
    3. IPSEC_TUNNEL:如果为 DRG 路由表禁用了 ECMP,则 DRG 将进行任意但稳定的选择。如果启用了 ECMP,则所有路由都将添加到路由表中,DRG 将使用 ECMP 进行路由选择。DRG 中支持的最大 ECMP 宽度为 8。
    4. REMOTE_PEERING_CONNECTION (RPC):DRG 将选择网络距离最低的路由。

    如果两个路由具有相同的网络距离,则 DRG 将选择优先级最高的路由源 (STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL) 的路由。

    如果两个路由具有相同的路由源,则 DRG 将进行任意但稳定的选择。

  4. 如果从相同类型的附件导入冲突路由,则根据附件类型,冲突的解决方式不同:
    • VCN 附加:如果从两个 VCN 附加导入相同的 CIDR,则仅使用任意但稳定的决策过程选择其中一个。
    • VIRTUAL_CIRCUITIPSEC_TUNNEL 附加:如果将具有相同 CIDR 和不同 AS_PATH 长度的多个路由导入到 DRG 路由表中,则选择长度最低的 AS_PATH 路由。否则,使用任意但稳定的决策过程选择一条路线。
    • RPC 附件:如果从两个 RPC 附件导入相同的 CIDR,则使用任意稳定的决策过程选择其中一个。

DRG 上的路由传播和导入路由分配控制

您可以将 VCN、 OCI FastConnect 虚拟线路或 IPSec VPN 隧道等网络资源连接到动态路由网关 (dynamic routing gateway,DRG)。与这些网络资源关联的路由将传播到 DRG。使用导入路由分配策略将它们作为动态路由导入到 DRG 路由表中。

DRG 上的路由传播

下面显示了哪些路由与每个 DRG 附加类型的网络资源关联并传播到 DRG:

  • VCN 附加

    VCN 路由表中与 VCN 中的 DRG 附加相关联的路由、VCN CIDR 及其子网 CIDR。将 VCN 连接到 DRG 后,DRG 将表示为 VCN 中的 DRG 附加。VCN 的路由表可以与通过 DRG 进行 VCN 入站路由的 DRG 附加关联。它是此 VCN 路由表中传播到 DRG 的路由。如果 VCN 路由表未与 DRG 附加关联,则仅将 VCN CIDR 及其子网 CIDR 传播到 DRG。

    将这些路由导入 DRG 路由表后,此 VCN 附加将是路由中的下一中继站附加。

  • IPSec 隧道附加

    在 IPSec Connection 上使用边界网关协议 (BGP) 动态路由时,IPSec 客户终端设备 (customer premises equipment,CPE) 通告的路由;如果在 IPSec Connection 上使用静态路由,则使用配置的静态路由。

    将这些路由作为动态路由导入到 DRG 路由表时,IPSec 隧道附加将是这些路由的下一中继站附加。

  • VC 附件

    OCI FastConnect CPE 通过 BGP 通告的路由。

    将这些路由导入到 DRG 路由表时,VC 附加是路由中的下一中继站附加。

  • RPC 附加

    与远程 DRG 的 RPC 附加关联的 DRG 路由表中的所有路由都将传播到本地 DRG。

    将这些路由导入到本地 DRG 路由表后,RPC 附加将成为路由的下一中继站。

在 DRG 上导入路由分配控制

对于给定的 DRG 路由表,您可以创建并应用导入路由分配策略来控制将哪些路由导入到路由表。您可以按附件类型进行匹配(例如,匹配所有 VCN 附件)、特定附件或全部匹配。

VCN 附加的自动生成的 DRG 路由表具有默认导入路由分配,该分配与从所有 DRG 附加导入路由的所有语句匹配

IPSec、 OCI FastConnect VC 和 RPC 附加的自动生成的 DRG 路由表具有默认导入路由分配,该分配具有匹配类型 VCN 语句,仅导入来自所有 VCN 附加的路由。

注意:

此默认导入分配策略不会将其他附加类型传播的路由导入到此 DRG 路由表中。

如果您对所有 VCN 附加使用自动生成的 DRG 路由表,则将在 VCN 之间实现完全网格化路由连接,并且您的所有 VCN 都将具有路由来访问远程区域中的所有内部部署网络和 VCN。

如果要建立更受限制的路由连接或在网络中创建路由分段,则可以为不同的 DRG 附加使用具有不同导入路由分配策略的单独 DRG 路由表。例如,我们在同一 DRG 上为 VCN 使用不同的 DRG 路由表和不同的导入路由分配创建了 3 个路由段:

  • VCN-1、VCN-2 和 VCN-3 之间的完全网格连接
  • VCN-4 与 VCN-5 之间的连接
  • VCN-6 与内部部署网络之间的连接

下图是“DRG 导入路由分配控制”的示例。下面是 drg-import-route-distribution-control.png 的说明
图 drg-import-route-distribution-control.png 的说明

drg-import-route-distribution-control-oracle.zip

尽管默认情况下,所有附件都使用自动生成的 DRG 路由表作为其类型,但实际网络设计通常需要相同类型的某些附件才能具有不同的路由规则和不同的路由导入分配策略。为这些附件创建单独的 DRG 路由表是最佳做法。

DRG 路由操作

动态路由网关 (dynamic routing gateway,DRG) 在其附件之间路由流量。对于给定的流量流,DRG 上有一个入站附加和一个出站附加。

当流量通过入站附加进入 DRG 时,DRG 使用入站路由模型,DRG 使用与入站附加关联的 DRG 路由表来决定流量流向何处。如果入站附加的 DRG 路由表中存在目的地的路由,则该路由的下一中继站必须是 DRG 上的另一个附加。它可以是 VCN 附加(如果目标位于 VCN 中)、IPSec 或虚拟线路附加(如果目标位于通过 IPSec 隧道或 OCI FastConnect 连接到 DRG 的内部部署网络)或 RPC 附加(如果目标位于远程区域中)。如果目的地没有匹配的路由,则会丢弃流量。

下图是 DRG 路由操作的示例。

下面是 drg-routing-operation.png 的说明
插图 drg-routing-operation.png 的说明

drg-routing-operation-oracle.zip

此示例显示了来自 Attachment-1 并进入 Attachment-2 上的目标网络的通信的 DRG 路由查找。路由查找发生在入站附加 (Attachment-1) 的 DRG 路由表中。路由表具有目的地的路由规则,其中出口附件 (Attachment-2) 作为下一跳附件。

由于 DRG 附加是 DRG 与附加后面的网络资源之间的逻辑点对点连接,因此 DRG 不需要在出站附加上执行其他路由查找,因此它将通过该附加将流量转发到下一个网络资源。下一个网络资源可以是 VCN、IPSec 隧道另一端的路由设备、 OCI FastConnect 虚拟线路或远程区域中的 DRG。由下一个资源来执行自己的路由查找,以决定将流量转发到何处。例如,如果下一中继站附加是 VC 附加,则 DRG 将通过 OCI FastConnect 虚拟线路路由流量。虚拟线路另一端的路由设备在接收通信时执行自己的路由。如果下一中继站是 VCN 附加,则会通过 DRG 进行 VCN 入站路由。

下图显示了沿多跳网络路径的路由查找过程。

下面是 routing-lookup-multi-hop-network-path.png 的说明
插图 routing-lookup-multi-hop-network-path.png 的说明

路由 - 查找 - 多跳 - 网络 - 路径 -oracle.zip

在此示例中,该图显示了内部部署网络 10.254.0.0/16 与 VCN 子网 10.1.1.0/24 之间的路由路径。VCN 中的默认本地路由用于简化工作。为了实现端到端路由连接,在不同点使用多个 DRG 路由表和 VCN 路由表来查找每个方向的路由:

  • ATT-VC 的 DRG 路由表

    OCI FastConnect VC 附加的 DRG 路由表:将流量从内部部署网络路由到 VCN-1。

  • ATT-VCN-1 的 DRG 路由表

    VCN-1 附加的 DRG 路由表:将流量从 VCN-1 路由到内部部署网络。

  • DRG 附加的 VCN 路由表

    VCN 中 DRG 附加的 VCN 路由表:通过 DRG 到 VCN-1 的 VCN 入站路由。

    如果 VCN 中没有用户指定的路由表与 DRG 附加关联,则会使用 VCN CIDR 的默认本地路由。也就是说,DRG 会将流量直接路由到 VCN 中的目标。这是隐式 VCN 本地路由,用户不可见。

  • 子网路由表

    子网 10.1.1.0/24 的 VCN 路由表:将流量从 VCN-1 子网路由到 DRG。

下图显示了从 VCN-1 到内部部署网络的流量路由。

下面是 traffic-route-vcn-prem.png 的说明
插图 traffic-route-vcn-prem.png 的说明

traffic-route-vcn-prem-oracle.zip

在此示例中,VCN 子网路由表和 VCN-1 连接的 DRG 路由表将流量从 VCN-1 子网中的资源路由到内部部署网络中的资源。

下图显示了 OCI FastConnect VC 附加的 DRG 路由表:

下面是 traffic-route-prem-vcn.png 的说明
插图 traffic-route-prem-vcn.png 的说明

traffic-route-prem-vcn-oracle.zip

在此示例中,与 VCN 中用于 DRG 入站路由的 DRG 附加关联的 VCN 路由表将流量从内部部署资源路由到 VCN-1 子网中的资源。