Documentación de Oracle Cloud Infrastructure

Gateways de enrutamiento dinámico

En este tema, se describe cómo gestionar un gateway de enrutamiento dinámico (DRG). En este tema, se utilizan los términos gateway de enrutamiento dinámico y DRG de manera indistinta. La consola utiliza el término gateway de enrutamiento dinámico, mientras que la API utiliza DRG para simplificar.

Un DRG es un enrutador virtual al que puede asociar los siguientes recursos:

Un DRG puede tener varias asociaciones de red de cada uno de los siguientes tipos:

  • Asociaciones de VCN: puede asociar varias VCN a un único DRG. Cada VCN puede estar en el mismo arrendamiento que el DRG o en un arrendamiento diferente (siempre que se definan las políticas adecuadas).
  • Asociaciones de RPC: puede conectar un DRG a otros DRG mediante conexiones de intercambio de tráfico remoto. El otro DRG puede estar en otras regiones o arrendamientos, o en la misma región.
  • Asociaciones de IPSEC_TUNNEL: puede utilizar la VPN de sitio a sitio para asociar dos o más túneles de PSec a su DRG para conectarse a redes locales. Esto también se permite en los distintos arrendamientos.
  • Asociaciones de VIRTUAL_CIRCUIT: puede asociar uno o más circuitos virtuales FastConnect a su DRG para conectarse a redes locales.
  • Asociaciones LOOPBACK: puede utilizar la VPN de sitio a sitio para cifrar circuitos virtuales FastConnect. Consulte Asociaciones de bucle de retorno para obtener más información.

La creación de tablas de rutas de DRG y distribuciones de rutas de DRG le permite definir políticas de enrutamiento que enruten el tráfico entre asociaciones. Las rutas se pueden importar y exportar de forma dinámica mediante estos anexos. Una tabla de rutas debe estar asociada a un anexo para que se aplique la configuración de esa tabla, pero puede existir una tabla de enrutamiento no asociada. Las distribuciones de rutas de DRG son de un tipo explícito (de importación o de exportación) y no heredan una acción que depende de dónde estén asociadas.

Visión general de los gateways de enrutamiento dinámico

Un DRG actúa como enrutador virtual, proporcionando una ruta de acceso para el tráfico entre sus redes locales y las VCN, y también se puede utilizar para enrutar el tráfico entre las VCN. Mediante el uso de distintos tipos de asociaciones, se pueden crear topologías de red personalizadas mediante componentes de diferentes regiones y arrendamientos. Cada asociación de DRG tiene una tabla de rutas asociada que se utiliza para enrutar los paquetes que entran en el DRG a su siguiente salto. Además de las rutas estáticas, las rutas de las redes asociadas se importan dinámicamente en las tablas de rutas de DRG mediante distribuciones de rutas de importación opcionales.

Trabajar con los DRG y asociaciones de DRG

Nota

Un DRG creado antes de abril de 2021 no puede realizar un enrutamiento en tránsito entre redes locales y varias VCN, ni proporcionar un intercambio de tráfico entre las VCN. Si necesita esa funcionalidad y se muestra el botón Actualizar DRG en la consola, haga clic en él. La actualización del DRG restablece todas las sesiones de BGP existentes e interrumpe temporalmente el tráfico desde la red local. Una vez que se inicia, no es posible realizar un rollback de la actualización. Consulte Actualización de un DRG.

Al crear un DRG, debe especificar el compartimento en el que desea que resida el DRG. Colocar el DRG en un compartimento ayuda a limitar el control de acceso. Si no está seguro del compartimento que desea utilizar, coloque el DRG en el mismo compartimento que la VCN que utiliza con regularidad. Para obtener más información, consulte Control de acceso.

Opcionalmente, puede asignar un nombre fácil de recordar al DRG. No tiene que ser único y puede cambiarlo más adelante. Oracle asigna automáticamente al DRG un identificador único llamado ID de Oracle Cloud (OCID). Para obtener más información, consulte Identificadores de recursos.

Para utilizar un DRG, este debe estar asociado a otros recursos de red. En la API, el proceso de asociación crea un objeto DrgAttachment con su propio OCID. DrgAttachment tiene un campo de tipo que indica el tipo de objeto que se asocia al DRG. El campo de tipo se puede definir en uno de los siguientes valores:

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK (Consulte Loopback Attachments para obtener más información).

Para asociar una VCN a un DRG, utilice la operación CreateDrgAttachment o la consola para crear explícitamente el objeto de asociación de DRG. Las conexiones de circuitos virtuales, los túneles de IPSec y las conexiones con intercambio de tráfico remoto se crean (y suprimen) automáticamente en su nombre cuando crea (o suprime) el objeto de red.

Trabajar con tablas de rutas y distribuciones de rutas de DRG

Un paquete entra en un DRG a través de una asociación y se enruta mediante reglas de la tabla de rutas de DRG asignadas a esa asociación. Puede asignar la misma tabla de rutas a varias asociaciones de DRG o crear una tabla de rutas dedicada para cada asociación en función de las políticas de enrutamiento que desee.

Cuando crea un DRG, se crean dos tablas de rutas por defecto: una para las asociaciones de VCN y otra para todas las demás asociaciones. Cuando se define una tabla de rutas como la tabla de rutas por defecto de un tipo de asociación, la tabla se asigna a las asociaciones recién creadas de ese tipo, a menos que se especifique explícitamente una tabla alternativa. Las tablas de rutas especificadas como valor por defecto para cualquier tipo no se pueden suprimir. Asegúrese de que no hay una tabla de rutas actualmente definida como tabla de rutas por defecto para un tipo de asociación antes de intentar suprimirla.

Una asociación de VCN tiene dos tablas de rutas: una tabla de enrutamiento de DRG para el tráfico que entra en el DRG y una tabla de enrutamiento de VCN para el tráfico que entra en la VCN. La tabla de rutas del DRG existe en el DRG y se utiliza para enrutar paquetes que entran en el DRG a través de la asociación. La tabla de rutas de la VCN se utiliza para enrutar paquetes que entran en la VCN a través de la asociación. Si no se define una tabla de enrutamiento de VCN, una tabla implícita oculta siempre proporciona conectividad a todas las subredes de la VCN.

Distribuciones de rutas de importación dinámica

Una distribución es una lista de sentencias declarativas que contienen criterios de coincidencia (como un OCID o un tipo de asociación) y una acción. Puede utilizar las distribuciones de rutas para especificar cómo se importan o exportan las rutas a una asociación de DRG. Se crean dos distribuciones de rutas de importación generadas automáticamente para cada DRG: una solo para rutas de VCN y otra para todas las rutas. Puede crear otras distribuciones de rutas de importación si es necesario.

Las tablas de rutas de DRG contienen rutas tanto estáticas como dinámicas. Las rutas estáticas se insertan en tablas mediante la API, mientras que las rutas dinámicas se importan de las asociaciones y se insertan mediante una distribución de rutas de importación. Cuando los criterios de una sentencia coinciden con una asociación, las rutas asociadas al objeto de red que se asocia al DRG se importan dinámicamente en la tabla de rutas de DRG asignada a la distribución que contiene. Si la sentencia se elimina de la distribución, las rutas se retiran de las tablas de rutas de DRG. Las sentencias de una distribución de rutas se evalúan en orden de prioridad: el número más bajo tiene la prioridad más alta. El orden en el que se evalúan las sentencias no afecta al juego de preferencias de las rutas que importan.

Al crear sentencias de distribución de rutas en la consola, puede crear una sentencia cuyo tipo de coincidencia sea "Match All". En la API, codifique una sentencia "match all" definiendo los criterios de coincidencia en la lista vacía.

¿Cómo llegan las rutas dinámicas a una asociación?

Las rutas a sus redes locales se anuncian desde el CPE hasta las asociaciones de túnel de IPSec y de circuito virtual mediante BGP. Las rutas se propagan dinámicamente desde una asociación de RPC de un DRG a una asociación RPC de otro DRG mediante las RPC conectadas. Las rutas dinámicas de una VCN incluyen todos los CIDR de subred o todos los CIDR de VCN y todos los CIDR de ruta estática configurados en la tabla de rutas de VCN asociada a la asociación de DRG. La propiedad vcnRouteType de la asociación de VCN determina si los CIDR de subred o los CIDR de VCN se propagan en la asociación de VCN. El comportamiento por defecto es importar los CIDR de subred, pero este comportamiento se puede modificar al crear o actualizar la asociación de VCN.

Distribución de rutas de exportación dinámica

Cuando se asigna una asociación a una tabla de rutas de DRG, el contenido de esa tabla se puede exportar dinámicamente a la asociación. Si la distribución de rutas de exportación por defecto se asigna a una asociación, todo el contenido de la tabla de rutas de DRG asignada de la asociación se exporta dinámicamente a la asociación. Si desea desactivar las exportaciones de rutas dinámicas a una asociación, utilice la operación de API removeExportDrgRouteDistribution para definir el campo exportDrgRouteDistributionId de la asociación en NULL. La exportación de rutas dinámicas a asociaciones de VCN no está soportada.

Se crea una distribución de rutas de exportación generada automáticamente para cada DRG. Puede crear y asociar otras distribuciones de rutas de exportación si es necesario mediante la CLI y la API.

Restricciones de propagación de rutas

Las rutas importadas desde un túnel de IPSec o un circuito virtual nunca se exportan a otras asociaciones de túnel IPSec o de circuito virtual, independientemente de cómo esté configurada la distribución de rutas de exportación. De manera similar, los paquetes que entran en un DRG a través de una asociación de túnel de IPSec o de circuito virtual nunca pueden salir a través de una asociación de túnel de IPSec o de circuito virtual. Los paquetes se borran si el enrutamiento está configurado de modo que los paquetes que se originan desde asociaciones de túnel de IPSec o circuito virtual se envían a las asociaciones de túnel de IPSec o circuito virtual.

ECMP

El enrutamiento de varias rutas de acceso de igual costo (ECMP) es una función que permite el equilibrio de carga basado en flujo del tráfico de red en varios circuitos virtuales de FastConnect o varios túneles de IPSec (pero no una combinación de tipos de circuitos) mediante BGP. ECMP permite el equilibrio de carga activo-activo y el failover del tráfico de red entre un máximo de ocho circuitos.

Oracle utiliza el protocolo, la IP de destino, la IP de origen, el puerto de destino y el puerto de origen para distinguir los flujos para fines de equilibrio de carga mediante un algoritmo consistente y determinista. Por lo tanto, son necesarios varios flujos para utilizar todo el ancho de banda disponible.

ECMP está desactivado por defecto y se puede activar por tabla de rutas. Oracle solo considera las rutas con la misma preferencia de ruta como elegibles para el reenvío de ECMP. Consulte Conflictos de rutas para obtener más información.

Origen de ruta

Las rutas de DRG se originan como rutas estáticas o como rutas dinámicas desde la VCN, el túnel de IPSec, el circuito virtual de FastConnect o asociaciones de RPC. Este origen define su origen, que es una característica inmutable de la ruta. En la API, el origen se denomina routeProvenance de DrgRouteRule.

Las rutas se propagan entre los DRG mediante anexos de RPC.

Las rutas con un origen IPSEC_TUNNEL o VIRTUAL_CIRCUIT no se exportan a las asociaciones de túnel de IPSec o circuito virtual, independientemente de la distribución de exportación de la asociación.

Enrutamiento del tráfico de una subred a un DRG

El escenario de enrutamiento básico envía tráfico desde una subred de la VCN al DRG. Por ejemplo, si está enviando tráfico desde la subred a su red local, puede configurar una regla en la tabla de rutas de la subred. El CIDR de destino de la regla es el CIDR de la red local (o una subred dentro), y el destino de la regla es el DRG. Para obtener más información, consulte Tablas de rutas de VCN.

Política de IAM necesaria

El intercambio de tráfico de varias VCN mediante un DRG requiere permisos de IAM específicos. Consulte Políticas de IAM para el enrutamiento entre redes virtuales en la nube para obtener más información sobre los permisos necesarios.

Versiones de DRG

Los DRG creados antes del 17 de mayo de 2021 utilizan el software heredado y se pueden actualizar a la versión más reciente. Los DRG creados después de esa fecha tienen las funciones actualizadas por defecto.

A continuación se resume la diferencia entre un DRG actualizado y uno heredado:

Un DRG heredado:

  • No tiene ninguna tabla de rutas programable. Tiene un comportamiento de enrutamiento por defecto por el cual todo el tráfico se reenvía de la ubicación local a una VCN asociada y de la VCN a la ubicación local.
  • Se puede asociar a una única VCN. El DRG solo se puede utilizar para el intercambio de tráfico de VCN remotas mediante una RPC.
  • Puede asociar FastConnect o la VPN de sitio a sitio, o ambos. Solo puede acceder a los recursos de la región local mediante estas conexiones.
  • Puede soportar una conexión RPC con un par DRG-VCN remoto en el mismo arrendamiento. Consulte Intercambio de tráfico de VCN remoto mediante un DRG heredado para obtener más información sobre el intercambio remoto mediante un DRG heredado.

Un DRG actualizado:

  • Tiene dos tablas de rutas por defecto y se pueden agregar más posteriormente.
  • Puede tener muchas VCN asociadas en la misma región. El tráfico local de VCN a VCN puede pasar a través de un DRG conectado mutuamente en lugar de un LPG. Consulte Intercambio de tráfico de VCN local a través de un DRG actualizado para obtener más información.
  • Se puede asociar a la ubicación local mediante FastConnect o la VPN de sitio a sitio, o ambas. Puede acceder a los recursos tanto en regiones locales como remotas mediante estas conexiones.
  • Admite una conexión RPC con un par DRG/VCN en el mismo arrendamiento o en otro arrendamiento. Consulte Intercambio de tráfico de VCN remoto a través de un DRG actualizado para obtener más información sobre el intercambio remoto mediante un DRG actualizado.

El resto de este artículo se ha actualizado recientemente para reflejar las capacidades de un DRG actualizado, como lo han hecho los escenarios de redes comunes. El intercambio de tráfico de VCN remoto mediante un DRG heredado es el único escenario de enrutamiento o intercambio de tráfico específico de un DRG heredado.

Antes de actualizar un DRG

Para aprovechar las funciones de DRG mejoradas, actualice el DRG. El proceso de actualización de DRG está automatizado, pero debe tener los permisos necesarios para iniciar una actualización.

La actualización de un DRG es un proceso unidireccional sin opción de realizar un rollback a un DRG heredado una vez iniciado el proceso de actualización.

Se espera que se produzca una interrupción del tráfico para todas las asociaciones de DRG durante el proceso de actualización. Cada asociación se actualiza por turno, forzando que cada asociación que se actualiza pase a un estado de aprovisionamiento en el que dejará de reenviar tráfico. Si tiene conexiones redundantes, el tráfico realizará un failover a otros circuitos mientras se realiza la actualización en uno de ellos. Si solo tiene un circuito, este podría desactivarse durante unos 20 minutos. Las sesiones de BGP existentes para sus conexiones locales (FastConnect o VPN de sitio a sitio) también se restablecen mientras la asociación y los túneles de IPSec de la VPN de sitio a sitio también se ponen fuera de línea.

Por ejemplo, si el DRG tiene dos asociaciones de circuito virtual de FastConnect, primero se actualiza un circuito virtual, lo que hace que se pierda la conectividad mientras el tráfico puede pasar por el otro circuito virtual. Una vez finalizada esa actualización, el proceso de actualización actualiza la segunda asociación de circuito virtual y el circuito virtual completado vuelve a estar en línea. Se espera que el proceso de actualización dure hasta 30 minutos por cada asociación local.

No es necesario restablecer las conexiones con intercambio de tráfico remoto, como lo hacen las conexiones de túnel de IPSec o de circuito virtual, y no tardan el mismo tiempo en actualizarse.

Nota

Se espera una interrupción del tráfico durante el proceso de actualización de cualquier componente asociado al DRG. Oracle recomienda actualizar el DRG durante un período de mantenimiento.

Una vez completado el proceso de actualización de DRG, se vuelven a poner en línea los túneles de IPSec de la VPN de sitio a sitio y se vuelven a establecer todas las sesiones de BGP para FastConnect y la VPN de sitio a sitio. Por defecto, el DRG actualizado tiene dos tablas de rutas de DRG generadas automáticamente y distribuciones de rutas de importación activadas para las asociaciones. Estos recursos están diseñados para la compatibilidad con versiones anteriores del DRG heredado y permiten que toda comunicación anterior se reanude de la misma manera que antes de la actualización sin ninguna intervención adicional del usuario.

Para obtener instrucciones paso a paso sobre cómo actualizar el DRG, consulte Actualización de un DRG.

Nota

Si el proceso de actualización de DRG se bloquea por cualquier motivo, cree un ticket de solicitud de servicio y marque el ticket como de gravedad alta.

Escenarios

Hemos proporcionado algunos escenarios de red detallados para ayudarle a comprender el rol de un DRG en el servicio Networking y cómo funcionan los componentes en general de forma conjunta.

Enrutamiento de DRG

Conflictos de rutas

Si se observan dos rutas con CIDR idénticos en la misma tabla de rutas de DRG, el DRG resuelve el conflicto utilizando los siguientes criterios:

  1. Las rutas estáticas siempre tienen una mayor preferencia que las rutas dinámicas.

    Nota

    No es posible especificar manualmente dos rutas estáticas con el mismo CIDR en la misma tabla de rutas de DRG, pero sí se puede importar más de una ruta con el mismo CIDR de forma dinámica.
  2. Los conflictos entre rutas dinámicas se resuelven analizando primero la ruta de acceso de AS de la ruta:
    • Las rutas con un origen de ruta VCN o STATIC siempre tienen una ruta de acceso de AS vacía.
    • Las rutas con un origen de ruta IPSEC_TUNNEL o VIRTUAL_CIRCUIT habrán rellenado los datos de la ruta de acceso de AS (consulte Detalles de enrutamiento para conexiones a la red local para obtener más información).
  3. De lo contrario, el tipo de asociación que importó la ruta se evalúa en función de la siguiente prioridad según el tipo de asociación:
    1. VCN: el DRG realiza una selección arbitraria pero estable.
    2. VIRTUAL_CIRCUIT: si ECMP está desactivado, el DRG realiza una selección arbitraria pero estable. Si ECMP está activado, todas las rutas se agregarán a la tabla de rutas y el DRG realiza opciones de enrutamiento mediante ECMP. El ancho de ECMP máximo soportado en un DRG es 8.
    3. IPSEC_TUNNEL: si ECMP está desactivado, el DRG realiza una selección arbitraria pero estable. Si ECMP está activado, todas las rutas se agregarán a la tabla de rutas y el DRG realiza opciones de enrutamiento mediante ECMP. El ancho de ECMP máximo soportado en un DRG es 8.

    4. REMOTE_PEERING_CONNECTION: el DRG seleccionará la ruta con la menor distancia de red.

      Si dos rutas tienen distancias de red idénticas, el DRG selecciona la ruta con el origen de ruta de prioridad más alta (STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL > RPC).

      Si dos rutas tienen el mismo origen de ruta, el DRG realiza una selección arbitraria pero estable.

  4. Si se importan rutas en conflicto de asociaciones del mismo tipo, el conflicto se resuelve de forma diferente según el tipo de asociación:
    1. Asociaciones de VCN: si se importan CIDR idénticos de dos asociaciones de VCN, solo se selecciona uno mediante un procedimiento de decisión arbitrario pero estable.
    2. Asociaciones VIRTUAL_CIRCUIT y IPSEC_TUNNEL: si se importan varias rutas con el mismo CIDR y distintas longitudes de AS_PATH en una tabla de rutas de DRG, se selecciona la ruta con la menor longitud de AS_PATH. De lo contrario, se elige una ruta utilizando un procedimiento de decisión arbitrario pero estable.
    3. Asociaciones de RPC: si se importan CIDR idénticos de dos asociaciones de RPC, se selecciona uno de ellos mediante un procedimiento de decisión estable y arbitrario.

Puede observar los resultados del solucionador de conflictos mostrando el contenido de la tabla de rutas. Las rutas en desuso se marcan con el estado "conflict".

Limitaciones

Puede parecer que algunas funciones son posibles, pero actualmente no se permiten las siguientes funciones de enrutamiento:

  • Creación o supresión explícita de asociaciones de RPC, de túnel de IPSec o de circuito virtual
  • Rutas estáticas en tablas de rutas de DRG con siguiente salto de asociaciones de túnel de IPSec o de circuito virtual
  • Uso de distribuciones de rutas de exportación no establecidas por defecto
  • Exportación de rutas dinámicas a asociaciones de VCN
  • Rutas que se propagan por RPC a través de más de 4 DRG

Uso de BGP para preferir rutas de Oracle a su red local

En esta sección se describe con mayor detalle cómo se puede utilizar el atributo AS_PATH de BGP para influir en la selección de rutas en el contexto de una única tabla de rutas de DRG.

Si las rutas para las diferentes rutas de acceso son iguales, Oracle utiliza la ruta de acceso AS más corta al enviar tráfico a la red local, independientemente de la ruta de acceso utilizada para iniciar la conexión a Oracle.Por lo tanto, se permite el enrutamiento asimétrico. El enrutamiento asimétrico aquí significa que la respuesta de Oracle a una solicitud puede seguir una ruta de acceso diferente a la solicitud. Por ejemplo, en función de cómo esté configurado el dispositivo perimetral (también denominado equipo local de cliente o CPE), podría enviar una solicitud a través de la VPN de sitio a sitio, pero la respuesta de Oracle podría volver a través de FastConnect. Si desea forzar que el enrutamiento sea simétrico, Oracle recomienda utilizar la ruta de acceso BGP y AS precedida por sus rutas para influir en qué ruta de acceso utiliza Oracle al responder e iniciar conexiones.

Oracle implanta la anteposición de la ruta de AS para establecer la preferencia sobre la ruta que se debe utilizar si el dispositivo perimetral anuncia la misma ruta y los mismos atributos de enrutamiento a través de varios tipos de conexión diferentes entre la red local y la VCN. Los detalles se resumen en la tabla siguiente. A menos que influya en el enrutamiento de alguna otra manera, cuando se anuncia la misma ruta través de varias rutas de acceso al DRG en el extremo de Oracle de las conexiones, Oracle prefiere las rutas de acceso en el siguiente orden:

Preferencia de Oracle Ruta Detalles sobre cómo prefiere Oracle la ruta Ruta AS resultante para el enrutamiento
1 FastConnect Oracle no antepone ningún ASN a las rutas que anuncia su dispositivo perimetral, para una longitud total de ruta de AS de 1. Su ASN
2 VPN de sitio a sitio con enrutamiento BGP Oracle antepone un único ASN privado en todas las rutas que el dispositivo perimetral anuncia a través de la VPN de sitio a sitio con BGP, para una longitud total de ruta de acceso de AS de 2. ASN privado, su ASN
3 VPN de sitio a sitio con enrutamiento estático Oracle antepone 3 ASN privados en las rutas estáticas que ha proporcionado (Oracle anuncia esas rutas al gateway de enrutamiento dinámico [DRG] en el extremo de Oracle de la VPN de sitio a sitio). Esto da como resultado una longitud total de ruta de acceso de AS de 3. ASN privado, ASN privado, ASN privado

En la tabla anterior, se asume que envía un único número de sistema autónomo en la ruta de acceso de AS. Oracle mantiene la ruta de acceso de AS completa que envía. Si utiliza un enrutamiento estático y también envía una ruta de acceso de AS que tiene "Su ASN" más dos o más ASN adicionales, puede provocar un comportamiento inesperado, ya que la preferencia de enrutamiento de Oracle puede cambiar.

Aunque el comportamiento del enrutamiento estático de VPN basado en políticas se ha documentado anteriormente, Oracle también recomienda que si utiliza conexiones de FastConnect con VPN de respaldo, emplee BGP en la VPN con IPSec basada en rutas. Esta estrategia le permite tener el control total del comportamiento de failover.

Otros enlaces relevantes