瞭解動態路由閘道解決方案
OCI 提供軟體定義的虛擬網路解決方案。OCI 網路由虛擬雲端網路 (VCN)、子網路、網路閘道、OCI 原生或第三方 L4-7 網路服務虛擬設備等等組成。路由是在 OCI 網路中的元素之間,或在 OCI 網路與內部部署網路或其他雲端網路之間建立網路連線的核心功能。
完整的網路連線能力需要透過安全清單或網路安全群組所管理的適當路由和網路安全原則或網路防火牆設備的原則,才能達到網路連線。本文件僅著重在路由功能和設計,並不探討網路安全策略的管理。
OCI 在 IPv4 和 IPv6 中使用相同的路由機制。不過,您必須在 IPv6 網路設計中新增唯一的考量。例如,IPv6 位址的不同範圍,以及 IPv6 Internet Routing 未通過 NATing 的事實。雖然相同的理論適用於 IPv4 和 IPv6 路由,但此處的討論和範例則著重於 IPv4 路由。
關於 DRG 路由
動態路由閘道 (DRG) 是一個區域虛擬路由器,可相互連線區域中的 VCN,並透過 Oracle Cloud Infrastructure FastConnect 虛擬迴路或 IPSec VPN 通道將 VCN 與內部部署網路連線。它也透過遠端對等互連連線 (RPC) 提供區域之間的網路連線。
- 虛擬雲端網路連附項 (VCN 連附項):當 VCN 連附至 DRG 時
- 虛擬迴路連附項 (VC 連附項):將 OCI FastConnect 虛擬迴路連附至 DRG 時
- IPSec 通道連附項:將 IPSec 通道連附至 DRG 時
- 遠端對等互連連線連附項 (RPC 連附項):將 RPC 連附至 DRG 時
DRG 上的路由表
- 類型:路由類型可以是動態或靜態。動態路由會從 DRG 連附項匯入。您可以使用 OCI 主控台或 API 建立靜態路由。
- 目的地 CIDR:目的地 CIDR。
- 下一個躍點連附項類型:DRG 路由表中路由規則的下一個躍點,是目的地所在或路由至目的地之網路的 DRG 連附項。此附件可以是 VCN 連附項、跨區域 RPC 連附項或跨租用戶 RPC 連附項。它不能是 VPN 連附項或 OCI FastConnect 虛擬迴路連附項。
- 下一個 Hop 附件名稱:附件的名稱。
- 路線狀態:狀態。
| Type | 目的地 CIDR | 下一個躍點連附項類型 | 下一個躍點連附項名稱 | 路由狀態 |
|---|---|---|---|---|
| 動態 | 0.0.0.0/0 | 虛擬雲端網路 (VCN) | 屬性 -DRG-1-VCN-0 | 作用中 |
| 動態 | 10.0.0.0/8 | IPSec 通道 | IPSec 通道的 DRG 連附項:IPSec 通道至內部部署 2 | 作用中 |
| 動態 | 10.0.0.0/16 | 虛擬雲端網路 | 將 DRG 1 連附至 VCN 0 | 作用中 |
| 動態 | 21.0.1.0/24 | 遠端對等互連連線 | RPC 的 DRG 連附項:RPC 至 SJC-DRG-1 (us-west-1 San Jose-DRG-1) | 作用中 |
每個 DRG 連附項都有一個與其關聯的 DRG 路由表。依照預設,它是連附項類型的自動產生 DRG 路由表。您可以將它變更為使用者建立的 DRG 路由表。
當流量進入 DRG 時,DRG 會根據與流量傳入連附項關聯的 DRG 路由表執行傳入路由查尋。遞送查尋會解析下一個躍點附件 (傳出附件)。DRG 會將流量傳送至輸出連附項,流量會經由該連附項傳送至下一個躍點網路。DRG 的輸出連附項沒有路由查尋。
DRG 路由表中的路由偏好設定
- 在 DRG 路由表中,靜態路由的偏好高於動態路由。
- 在 DRG 路由表的動態路由中,AS 路徑較短的路由優先於 AS 路徑較長的路由。
附註:
路由來源為 VCN 或 STATIC 的路由一律會有空的 AS 路徑。路由來源為 IPSec VPN 通道或 OCI FastConnect 虛擬迴路的路由,其 AS 路徑如下表所示。路由來源 Oracle 偏好路徑的方式詳細資訊 路由的結果 AS 路徑 OCI FastConnect OCI 不會將 ASN 前置於路由中。這會導致 AS 路徑總長度為 1。 客戶 ASN 具有邊界閘道協定 (BGP) 路由的網站至網站 VPN OCI 會在客戶邊緣裝置透過 BGP 的站對站 VPN 宣告的所有路由上前置單一專用 ASN,總 AS 路徑長度為 2。 私人 ASN、
客戶 ASN具有靜態路由的網站至網站 VPN OCI 會將這些靜態路由宣告至 DRG 作為 BGP 動態路由。OCI 在這些路由上前置 3 個專用 ASN。這會導致 AS 路徑總長度為 3。 私人 ASN、
私人 ASN、
私人出貨預先通知 - 匯入路由的附件類型會根據下列附件類型的優先順序進行評估:
- VCN
VIRTUAL_CIRCUIT:如果 DRG 路由表停用 Equal-cost 多重路徑路由 (ECMP),DRG 就會進行任意但穩定的選擇。如果啟用 ECMP,所有路由都會新增至路由表,而 DRG 則會使用 ECMP 來選擇路由。DRG 內部支援的 ECMP 寬度上限為 8。IPSEC_TUNNEL:如果 DRG 路由表停用 ECMP,DRG 就會進行任意但穩定的選取。如果啟用 ECMP,所有路由都會新增至路由表,而 DRG 則會使用 ECMP 來選擇路由。DRG 內部支援的 ECMP 寬度上限為 8。REMOTE_PEERING_CONNECTION(RPC):DRG 會選擇網路距離最短的路由。
如果兩個路由具有相同的網路距離,DRG 會選取具有最高優先順序路由來源的路由 (
STATIC>VCN>VIRTUAL_CIRCUIT>IPSEC_TUNNEL)。如果兩個路由具有相同的路由來源,則 DRG 會進行任意但穩定的選取。
- 如果從相同類型的附件匯入衝突的路由,則會根據附件類型以不同的方式解決衝突:
- VCN 連附項:如果從兩個 VCN 連附項匯入相同的 CIDR,只會使用任意但穩定的決策程序選取一個 CIDR。
VIRTUAL_CIRCUIT和IPSEC_TUNNEL連附項:如果將多個 CIDR 和不同AS_PATH長度的路由匯入 DRG 路由表中,會選取長度最低AS_PATH的路由。否則,會使用任意但穩定的決策程序來選擇一個路由。- RPC 連附項:如果從兩個 RPC 連附項匯入相同的 CIDR,會使用任意穩定的決策程序選擇其中一個。
DRG 上的路由傳輸與匯入路由分配控制
您可以將網路資源 (例如 VCN、 OCI FastConnect 虛擬迴路或 IPSec VPN 通道) 連附至動態路由閘道 (DRG)。與這些網路資源關聯的路由會傳輸至 DRG。您可以使用匯入路由分配原則,將它們匯入 DRG 路由表中作為動態路由。
DRG 的路由傳輸
下列顯示哪些路由與每個 DRG 連附項類型的網路資源關聯,並且會傳輸至 DRG:
- VCN 附件
VCN 路由表中與 VCN 中 DRG 連附項、VCN CIDR 以及其子網路 CIDR 關聯的路由。將 VCN 連附至 DRG 之後,DRG 便會以 VCN 中的 DRG 連附表示。VCN 的路由表可與透過 DRG 進行 VCN 輸入路由的 DRG 連附項建立關聯。這是此 VCN 路由表中傳輸至 DRG 的路由。VCN 路由表若未與 DRG 連附項關聯,則只有 VCN CIDR 及其子網路 CIDR 會傳輸至 DRG。
當這些路由匯入 DRG 路由表時,此 VCN 連附項將會是路由中的下一個躍點連附項。
- IPSec 通道附件
當 IPSec 連線上使用邊界閘道協定 (BGP) 動態路由時,IPSec 客戶端設備 (CPE) 所宣告的路由,如果在 IPSec 連線上使用靜態路由,則為設定的靜態路由。
當這些路由以動態路由形式匯入 DRG 路由表時,IPSec 通道連附項將是該路由的下一個躍點連附項。
- VC 附件
OCI FastConnect CPE 透過 BGP 宣告的路由。
當這些路由匯入 DRG 路由表時,VC 連附項即為路由中的下一個躍點連附項。
- RPC 附件
DRG 路由表中與遠端 DRG RPC 連附項關聯的所有路由都將會傳輸至本機 DRG。
當這些路由匯入本機 DRG 路由表時,RPC 連附項將會是路由的下一個躍點。
在 DRG 匯入路由分配控制
對於指定的 DRG 路由表,您可以建立並套用匯入路由分配原則,以控制要將哪些路由匯入路由表。您可以依連附項類型比對 (例如比對所有 VCN 連附項)、特定連附項或全部比對。
VCN 連附項的自動產生 DRG 路由表有一個預設匯入路由分配,此預設匯入路由分配與從所有 DRG 連附項匯入路由的所有敘述句相符
附註:
此預設匯入分配原則不會將其他連附項類型傳輸的路由匯入此 DRG 路由表。如果您將自動產生的 DRG 路由表用於所有 VCN 連附項,您便可以在 VCN 之間實現完全整合的路由連線,而且您的所有 VCN 都將有路由可連線到您在遠端區域中的所有內部部署網路和 VCN。
如果您想要在網路中建立更受限的路由連線或建立路由區隔,就可以針對不同的 DRG 連附項,使用不同匯入路由分配原則的個別 DRG 路由表。例如,我們為 VCN 使用不同的 DRG 路由表和不同的匯入路由分配,在同一個 DRG 上建立 3 個路由區段:
- VCN-1、VCN-2 與 VCN-3 之間的完整整合式連線
- VCN-4 與 VCN-5 之間的連線
- VCN-6 與內部部署網路之間的連線
下列影像是「DRG 匯入路由分配控制」的範例。
drg-import-route-distribution-control.png 圖解描述
Drg-import-route-distribution-control - oracle.zip
雖然依預設,所有附件都使用自動產生的 DRG 路由表作為其類型,但實際網路設計通常需要某些相同類型的附件,才能有不同的路由規則和不同的路由匯入分配原則。建立這些連附項的個別 DRG 路由表是一個不錯的做法。
DRG 路由作業
動態路由閘道 (DRG) 會在其連附項之間遞送流量。對於指定的流量,DRG 上會有一個傳入連附項和一個傳出連附項。
當流量透過傳入連附項進入 DRG 時,DRG 會使用傳入路由模型,而 DRG 則會使用與傳入連附項關聯的 DRG 路由表來決定流量的流向。傳入連附項的 DRG 路由表中若有目的地的路由存在,則該路由的下一個躍點必須是 DRG 上的另一個連附項。它可以是 VCN 連附項 (如果目的地位於 VCN 中)、IPSec 或虛擬迴路連附項 (如果目的地位於透過 IPSec 通道或 OCI FastConnect 連線至 DRG 的內部部署網路中),或是 RPC 連附項 (如果目的地位於遠端區域中)。如果目的地沒有相符的路由,則會捨棄流量。
下列影像是 DRG 路由作業的範例。
drg-routing-operation.png 圖解描述
drg-routing-operation-oracle.zip
此範例顯示來自 Attachment-1 並傳送至 Attachment-2 上目的地網路之流量的 DRG 路由查尋。路由查尋會發生在傳入連附項 (Attachment-1) 的 DRG 路由表中。路由表具有目的地的路由規則,其傳出附件 (Attachment-2) 為下一個躍點附件。
DRG 連附項是 DRG 與連附項後方網路資源之間的邏輯點對點連線,因此 DRG 不需要對傳出連附項執行其他路由查尋,因此只會透過連附項將流量轉送至下一個網路資源。下一個網路資源可以是 VCN、IPSec 通道、 OCI FastConnect 虛擬迴路另一端的路由裝置,或是遠端區域中的 DRG。必須是下一個資源,才能執行自己的路由查尋,以決定轉送流量的位置。例如,如果下一個躍點連附項為 VC 連附項,則 DRG 會透過 OCI FastConnect 虛擬迴路遞送流量。虛擬迴路另一端的路由裝置會在接收流量時執行自己的路由。如果下一個躍點是 VCN 連附項,則會透過 DRG 進行 VCN 傳入路由。
下列影像顯示多躍點網路路徑的路由查詢處理作業。
routing-lookup-multi-hop-network-path.png 圖解描述
routing-lookup-multi-hop-network-path-oracle.zip
在此範例中,影像顯示內部部署網路 10.254.0.0/16 與 VCN 子網路 10.1.1.0/24 之間的路由路徑。VCN 中的預設本機路由可簡化作業。為了實現端對端路由連線,在不同點使用多個 DRG 路由表和 VCN 路由表進行各方向的路由查詢:
- ATT-VC 的 DRG 路由表
OCI FastConnect VC 連附項的 DRG 路由表:將內部部署網路的流量遞送至 VCN-1。
- ATT-VCN-1 的 DRG 路由表
VCN-1 連附項的 DRG 路由表:將流量從 VCN-1 路由至內部部署網路。
- DRG 連附項的 VCN 路由表
VCN 中 DRG 連附項的 VCN 路由表:透過 DRG 將 VCN 傳入 VCN-1。
如果 VCN 中沒有與 DRG 連附項關聯的使用者指定路由表,則會使用 VCN CIDR 的預設本機路由。也就是說,DRG 會將流量直接路由到 VCN 中的目的地。這是隱含的 VCN 本機路由,對使用者而言不可見。
- 子網路路由表
子網路 10.1.1.0/24 的 VCN 路由表:將 VCN-1 子網路的流量遞送至 DRG。
下圖顯示從 VCN-1 路由到內部部署網路的流量。
traffic-route-vcn-prem.png 圖解描述
在此範例中,VCN 子網路路由表和 VCN-1 連附項的 DRG 路由表會將流量從 VCN-1 子網路中的資源路由到內部部署網路中的資源。
下列影像顯示 OCI FastConnect VC 連附項的 DRG 路由表:
traffic-route-prem-vcn.png 圖解描述
在此範例中,與 VCN 中 DRG 傳入路由之 DRG 連附項關聯的 VCN 路由表,會將流量從內部部署資源路由至 VCN-1 子網路中的資源。