Documentação do Oracle Cloud Infrastructure

Gateways de Roteamento Dinâmico

Este tópico descreve como gerenciar um gateway de roteamento dinâmico (DRG). Este tópico usa os termos gateway de roteamento dinâmico e DRG sem distinção. A Console usa o termo Gateway de Roteamento Dinâmico, enquanto a API usa DRG para fins de simplificação.

DRG é um roteador virtual ao qual você pode anexar os seguintes recursos:

Um DRG pode ter vários anexos de rede de cada um dos seguintes tipos:

  • Anexos de VCN: você pode anexar diversas VCNs a um único DRG. Cada VCN pode estar na mesma tenancy que o DRG ou em outra tenancy (desde que as políticas apropriadas sejam definidas).
  • Anexos de RPC: você pode parear um DRG com outros DRGs usando conexões de pareamento remoto. O outro DRG pode estar em outras regiões ou tenancies ou na mesma região.
  • Anexos IPSEC_TUNNEL: você pode usar a VPN Site a Site para anexar dois ou mais túneis IPSec ao seu DRG para estabelecer conexão com redes on-premises. Isso também é permitido em tenancies.
  • Anexos VIRTUAL_CIRCUIT: você pode anexar um ou mais circuitos virtuais FastConnect ao seu DRG para estabelecer conexão com redes on-premises.
  • Anexos LOOPBACK: você pode usar a VPN Site a Site para criptografar circuitos virtuais FastConnect. Consulte Anexos de Loopback para obter detalhes.

A criação de tabelas de roteamento de DRG e distribuições de rota de DRG permite que você defina políticas de roteamento que roteiam o tráfego entre anexos. As rotas podem ser importadas e exportadas dinamicamente por meio desses anexos. Uma tabela de roteamento deve estar associada a um anexo para que a configuração dessa tabela seja aplicada, mas uma tabela de roteamento não associada pode existir. As distribuições de rota do DRG são de um tipo explícito (importação ou exportação) e não herdam uma ação que depende de onde estão associadas.

Visão Geral dos Gateways de Roteamento Dinâmico

Um DRG age como roteador virtual, fornecendo um caminho para o tráfego entre suas redes on-premises e as VCNs e também pode ser usado para rotear o tráfego entre as VCNs. Usando diferentes tipos de anexos, topologias de rede personalizadas podem ser construídas usando componentes em diferentes regiões e tenancies. Cada anexo de DRG tem uma tabela de roteamento associada que é usada para rotear pacotes que entram no DRG para seu próximo hop. Além das rotas estáticas, as rotas das redes anexadas são importadas dinamicamente para tabelas de roteamento do DRG usando distribuições de roteamento de importação opcionais.

Como Trabalhar com DRGs e Anexos DRG

Observação

Um DRG criado antes de abril de 2021 não pode executar roteamento de trânsito entre redes on-premises e várias VCNs nem fornecer pareamento entre VCNs. Se você precisar dessa funcionalidade e vir um botão Fazer Upgrade do DRG na console, clique nele. O upgrade do DRG redefine todas as sessões BGP existentes e interrompe temporariamente o tráfego da rede on-premises. Uma vez iniciado, não é possível reverter o upgrade. Consulte Upgrade de um DRG.

Ao criar um DRG, especifique o compartimento no qual deseja que o DRG resida. Colocar o DRG em um compartimento ajuda a limitar o controle de acesso. Se você não tiver certeza sobre qual compartimento usar, coloque o DRG no mesmo compartimento de uma VCN que você usa regularmente. Para obter mais informações, consulte Controle de Acesso.

Você tem a opção de designar um nome amigável ao DRG. Esse nome não precisa ser exclusivo e você pode alterá-lo posteriormente. O sistema Oracle designa automaticamente ao DRG um identificador exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte: Identificadores de Recurso.

Para usar um DRG, ele deve ser anexado a outros recursos de rede. Na API, o processo de anexação cria um objeto DrgAttachment com um respectivo OCID. O DrgAttachment tem um campo de tipo que indica o tipo de objeto que está sendo anexado ao DRG. O campo de tipo pode ser definido com um dos seguintes valores:

  • VCN
  • VIRTUAL_CIRCUIT
  • IPSEC_TUNNEL
  • REMOTE_PEERING_CONNECTION
  • LOOPBACK (Consulte Anexos de Loopback para obter mais detalhes.)

Para anexar uma VCN a um DRG, use a operação CreateDrgAttachment ou a console para criar explicitamente o objeto de anexo do DRG. Anexos para circuitos virtuais, túneis IPSec e conexões de pareamento remoto são criados (e excluídos) automaticamente em seu nome quando você cria (ou exclui) o objeto de rede.

Como Trabalhar com Tabelas de Roteamento e Regras de Rota

Um pacote entra em um DRG por meio de um anexo e é roteado usando regras na tabela de roteamento do DRG designada a esse anexo. Você pode designar a mesma tabela de roteamento a vários anexos do DRG ou criar uma tabela de roteamento dedicada para cada anexo, dependendo das políticas de roteamento desejadas.

Quando você cria um DRG, duas tabelas de roteamento padrão são criadas para você: uma para anexos da VCN e outra para todos os outros anexos. Quando uma tabela de roteamento é definida como padrão para um tipo de anexo, a tabela é designada a anexos recém-criados desse tipo, a menos que uma tabela alternativa seja especificada explicitamente. As tabelas de roteamento especificadas como padrão para qualquer tipo não podem ser excluídas. Certifique-se de que uma tabela de roteamento não esteja definida atualmente como padrão para um tipo de anexo antes de tentar excluí-la.

Um anexo de VCN tem duas tabelas de roteamento: uma do DRG para tráfego que entra no DRG e uma da VCN para tráfego que entra na VCN. A tabela de roteamento do DRG existe no DRG e é usada para rotear pacotes que entram no DRG por meio do anexo. A tabela de roteamento da VCN é usada para rotear pacotes que entram na VCN por meio do anexo. Se uma tabela de roteamento da VCN não for definida, uma tabela implícita oculta sempre fornecerá conectividade para todas as sub-redes na VCN.

Distribuições de Rota de Importação Dinâmica

Distribuição é uma lista de instruções declarativas que contêm um critério de correspondência (como um OCID ou um tipo de anexo) e uma ação. Você pode usar distribuições de rota para especificar de que forma as rotas são importadas ou exportadas para um anexo do DRG. Duas distribuições de rota de importação geradas automaticamente são criadas para cada DRG: uma para rotas de VCN somente e outra para todas as rotas. Você pode criar outras distribuições de rota de importação, se necessário.

As tabelas de roteamento do DRG contêm rotas estáticas e dinâmicas. As rotas estáticas são inseridas nas tabelas usando a API, enquanto as rotas dinâmicas são importadas de anexos e inseridas usando uma distribuição de rota de importação. Quando os critérios de uma instrução correspondem a um anexo, as rotas associadas ao objeto de rede que está sendo anexado ao DRG são importadas dinamicamente para a tabela de roteamento do DRG designada à distribuição contentora. Se a instrução for removida da distribuição, as rotas serão retiradas das tabelas de roteamento do DRG. As instruções em uma distribuição de rota são avaliadas em ordem de prioridade: o menor número tem a prioridade mais alta. A ordem em que as instruções são avaliadas não afeta o conjunto de preferências das rotas importadas.

Ao criar instruções de distribuição de rota no console, você pode criar uma instrução cujo tipo de correspondência seja "Corresponder a Todos". Na API, codifique uma instrução "match all" definindo os critérios de correspondência para a lista vazia.

Como as rotas dinâmicas chegam a um anexo?

As rotas para suas redes on-premises são propagadas do CPE para o túnel IPSec e os anexos de circuito virtual usando BGP. As rotas são propagadas dinamicamente de um anexo de RPC em um DRG para um anexo de RPC em outro DRG por meio de RPCs conectadas. As rotas dinâmicas em uma VCN incluem todos os CIDRs de sub-rede ou todos os CIDRs de VCN e todos os CIDRs de rota estática configurados na tabela de roteamento da VCN associada ao anexo do DRG. A propriedade vcnRouteType do anexo da VCN determina se os CIDRs da sub-rede ou da VCN são propagados para o anexo da VCN. O comportamento padrão é importar os CIDRs da sub-rede, mas esse comportamento pode ser modificado ao criar ou atualizar o anexo da VCN.

Distribuições de Rota de Exportação Dinâmica

Quando um anexo é designado a uma tabela de roteamento do DRG, o conteúdo dessa tabela pode ser exportado dinamicamente para o anexo. Se a distribuição de rota de exportação padrão for designada a um anexo, todo o conteúdo da tabela de roteamento do DRG designada do anexo será exportado dinamicamente para o anexo. Se você quiser desativar exportações de rota dinâmica para um anexo, use a operação de API removeExportDrgRouteDistribution para definir o campo exportDrgRouteDistributionId do anexo como NULO. A exportação de rota dinâmica para anexos da VCN não é suportada.

Uma distribuição de rota de exportação gerada automaticamente é criada para cada DRG. Você pode criar e anexar outras distribuições de rota de exportação, se necessário, usando a CLI e a API.

Restrições de Propagação de Rota

As rotas importadas de um túnel IPSec ou circuito virtual nunca são exportadas para outros anexos de túnel IPSec ou circuito virtual, independentemente de como a distribuição da rota de exportação está configurada. De forma semelhante, os pacotes que entram em um DRG por meio de um anexo de túnel IPSec ou circuito virtual nunca podem sair por meio de um anexo de túnel IPSec ou circuito virtual. Os pacotes serão eliminados se o roteamento for configurado de forma que os pacotes originados dos anexos de túnel IPSec ou circuito virtual sejam enviados para anexos de túnel IPSec ou circuito virtual.

ECMP

O ECMP (Equal-cost Multi-path Routing) é um recurso de roteamento multicaminho com custo igual que permite o balanceamento de carga do tráfego de rede baseado em fluxo por meio de vários circuitos virtuais FastConnect ou vários túneis IPSec (mas não uma combinação de tipos de circuito) usando BGP. O ECMP permite balanceamento de carga ativo/ativo e failover do tráfego de rede entre um número máximo de oito circuitos.

A Oracle utiliza o protocolo, o IP de destino, o IP de origem, a porta de destino e a porta de origem para distinguir fluxos para fins de balanceamento de carga usando um algoritmo consistente e determinístico. Portanto, são necessários vários fluxos para utilizar toda a largura de banda disponível.

O ECMP fica desativado por padrão e pode ser ativado por tabela de roteamento. A Oracle só considera rotas com preferência de rota idêntica como elegíveis para encaminhamento ECMP. Consulte Conflitos de Rota para obter mais informações.

Origem da Rota

O DRG roteia a procedência como rotas estáticas ou como rotas dinâmicas provenientes dos anexos de VCN, túnel IPSec, circuito virtual FastConnect ou RPC. Essa procedência define a origem, que é uma característica imutável da rota. Na API, a origem é referida como routeProvenance de um DrgRouteRule.

As rotas são propagadas entre os DRGs usando anexos de RPC.

As rotas com uma origem IPSEC_TUNNEL ou VIRTUAL_CIRCUIT não são exportadas para anexos de túnel IPSec ou de circuito virtual, independentemente da distribuição de exportação do anexo.

Roteando o Tráfego de uma Sub-rede para um DRG

O cenário de roteamento básico envia tráfego de uma sub-rede na VCN para o DRG. Por exemplo, se você estiver enviando o tráfego da sub-rede para a sua rede local, configure uma regra na tabela de roteamento da sub-rede. O CIDR de destino da regra é o CIDR da rede local (ou de uma sub-rede da rede local), e o alvo da regra é o DRG. Para obter mais informações, consulte Tabelas de Roteamento de VCN.

Política do IAM Obrigatória

O pareamento de VCNs usando um DRG exige permissões específicas do IAM. Consulte Políticas do Serviço IAM para Roteamento entre VCNs para obter detalhes sobre as permissões necessárias.

Versões do DRG

Os DRGs criados antes de 17 de maio de 2021 usam o software legado e podem ser atualizados para a versão mais recente. Os DRGs criados após essa data têm os recursos atualizados por padrão.

Veja a seguir um resumo da diferença entre um DRG atualizado e legado:

Um DRG legado:

  • Não tem tabelas de roteamento programáveis. Ele tem um comportamento de roteamento padrão em que todo o tráfego é encaminhado da rede on-premises para uma VCN associada e vice-versa.
  • Pode ser anexado a uma única VCN. O DRG só pode ser usado para pareamento remoto de VCN usando uma RPC.
  • Pode anexar FastConnect e/ou VPN Site a Site. Você só pode acessar recursos na região local usando essas conexões.
  • Pode suportar uma conexão RPC com um par de DRG/VCN remoto na mesma tenancy. Consulte Pareamento Remoto de VCN usando um DRG Legado para saber mais sobre pareamento remoto usando um DRG legado.

Um DRG atualizado:

  • Tem duas tabelas de roteamento por padrão e mais tabelas podem ser adicionadas posteriormente.
  • Pode ter várias VCNs anexadas a ele dentro da mesma região. O tráfego local de VCN para VCN pode passar por um DRG conectado mutuamente em vez de um LPG. Consulte Pareamento Local de VCN por Meio de um DRG Atualizado para obter detalhes.
  • Pode ser anexado à rede on-premises usando FastConnect e/ou VPN Site a Site. Você pode acessar recursos nas regiões local e remota usando essas conexões.
  • Oferece suporte a uma conexão RPC com um par de DRG/VCN na mesma tenancy ou em outra tenancy. Consulte Pareamento Remoto de VCN por meio de um DRG Submetido a Upgrade para saber mais sobre pareamento remoto usando um DRG submetido a upgrade.

O restante deste artigo foi atualizado recentemente para refletir os recursos de um DRG atualizado, assim como os cenários de rede comuns. O Pareamento Remoto de VCN usando um DRG Legado é o único cenário de roteamento ou pareamento específico de um DRG legado.

Antes de Fazer Upgrade de um DRG

Para aproveitar os recursos aprimorados do DRG, faça upgrade do seu DRG. O processo de upgrade do DRG é automatizado, mas você deve ter as permissões necessárias para iniciar um upgrade.

O upgrade de um DRG é um processo unidirecional sem a opção de reversão para um DRG legado após o processo de upgrade ter sido iniciado.

Espera-se que haja uma interrupção do tráfego para todos os anexos do DRG durante o processo de upgrade. Cada anexo é atualizado, por sua vez, forçando cada anexo de upgrade a um estado de provisionamento no qual ele não encaminhará mais o tráfego. Se você tiver conexões redundantes, o tráfego fará failover para outros circuitos enquanto um estiver em upgrade. Se você tiver apenas um circuito, ele poderá ficar desativado por cerca de 20 minutos. Todas as sessões de BGP existentes para suas conexões on-premises (FastConnect ou VPN Site a Site) também são redefinidas, enquanto o anexo e quaisquer túneis IPSec da VPN Site a Site também são colocados off-line.

Por exemplo, se o seu DRG tiver dois anexos de circuito virtual FastConnect, um circuito virtual será atualizado primeiro, causando a queda da conectividade, enquanto o tráfego poderá passar pelo outro circuito virtual. Depois que essa atualização for concluída, o processo de upgrade atualizará o segundo anexo de circuito virtual e o circuito virtual completo será colocado on-line novamente. O esperado é que o processo de upgrade dure até 30 minutos por anexo on-premises.

As conexões de pareamento remoto não precisam ser redefinidas, como as conexões de circuito virtual ou túnel IPSec, e não levam o mesmo tempo para fazer upgrade.

Observação

É esperada uma interrupção de tráfego durante o processo de upgrade para qualquer componente anexado ao DRG. A Oracle recomenda fazer upgrade do seu DRG durante um período de manutenção.

Após a conclusão do processo de upgrade do DRG, todos os túneis IPSec da VPN Site a Site são recolocados on-line e todas as sessões BGP para FastConnect e VPN Site a Site são restabelecidas. Por padrão, o DRG atualizado tem duas tabelas de roteamento do DRG geradas automaticamente e distribuições de rota de importação ativadas para anexos. Esses recursos foram projetados para compatibilidade retroativa com seu DRG legado e permitem que toda a comunicação anterior seja retomada da mesma maneira que antes do upgrade, sem qualquer intervenção adicional do usuário.

Para obter instruções passo a passo sobre como fazer upgrade do seu DRG, consulte Upgrade de um DRG.

Observação

Se o processo de upgrade do DRG ficar parado por algum motivo, crie um ticket de solicitação de serviço e marque o ticket como de alta gravidade.

Cenários

Fornecemos alguns cenários de rede detalhados para ajudar você a entender a atribuição de um DRG no serviço Networking e como os componentes funcionam juntos em geral.

Roteamento do DRG

Conflitos de Rota

Se duas rotas com CIDRs idênticos forem observadas na mesma tabela de roteamento de DRG, o DRG resolverá o conflito usando os seguintes critérios:

  1. As rotas estáticas sempre têm preferência maior do que as rotas dinâmicas.

    Observação

    Você não pode especificar manualmente duas rotas estáticas com o mesmo CIDR, na mesma tabela de roteamento de DRG, mas é possível importar dinamicamente mais de uma rota com o mesmo CIDR.
  2. Os conflitos entre rotas dinâmicas são resolvidos analisando primeiro o Caminho AS da rota:
  3. Caso contrário, o tipo de anexo que importou a rota será avaliado de acordo com a seguinte prioridade, com base no tipo de anexo:
    1. VCN: o DRG faz uma seleção arbitrária, mas estável.
    2. VIRTUAL_CIRCUIT: Se o ECMP estiver desativado, o DRG fará uma seleção arbitrária, mas estável. Se o ECMP estiver ativado, todas as rotas serão adicionadas à tabela de roteamento e o DRG fará opções de roteamento usando o ECMP. A largura máxima de ECMP suportada dentro de um DRG é 8.
    3. IPSEC_TUNNEL: Se o ECMP estiver desativado, o DRG fará uma seleção arbitrária, mas estável. Se o ECMP estiver ativado, todas as rotas serão adicionadas à tabela de roteamento e o DRG fará opções de roteamento usando o ECMP. A largura máxima de ECMP suportada dentro de um DRG é 8.

    4. REMOTE_PEERING_CONNECTION: O DRG escolherá a rota com a menor distância de rede.

      Se duas rotas tiverem distâncias de rede idênticas, o DRG selecionará a rota com a origem de rota de prioridade mais alta (STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL > RPC).

      Se duas rotas tiverem a mesma origem, o DRG fará uma seleção arbitrária, mas estável.

  4. Se rotas conflitantes forem importadas de anexos do mesmo tipo, o conflito será resolvido de maneira diferente, dependendo do tipo de anexo:
    1. Anexos de VCN: Se CIDRs idênticos forem importados de dois anexos de VCN, apenas um será selecionado usando um procedimento de decisão arbitrário, mas estável.
    2. Anexos VIRTUAL_CIRCUIT e IPSEC_TUNNEL: Se várias rotas com o mesmo CIDR e diferentes tamanhos de AS_PATH forem importadas para uma tabela de roteamento do DRG, a rota com o menor tamanho de AS_PATH será selecionada. Caso contrário, uma rota é escolhida usando um procedimento de decisão arbitrário, mas estável.
    3. Anexos de RPC: Se CIDRs idênticos forem importados de dois anexos de RPC, um deles será escolhido usando um procedimento de decisão arbitrário estável.

Você pode observar os resultados da resolução de conflitos listando o conteúdo da tabela de roteamento. As rotas obsoletas são marcadas com o status "conflito".

Limitações

Algumas funções podem parecer possíveis, mas as seguintes funções de roteamento não são permitidas atualmente:

  • Criação ou exclusão explícita de anexos de RPC, túnel IPSec ou circuito virtual
  • Rotas estáticas nas tabelas de roteamento do DRG com próximo hop dos anexos de túnel IPSec ou circuito virtual
  • Uso de distribuições de rota de exportação não padrão
  • Exportação de rota dinâmica para anexos da VCN
  • Propagação de rotas via RPC por meio de mais de 4 DRGs

Usando BGP para dar preferência a rotas da Oracle para a sua rede on-premises

Esta seção descreve com mais detalhes como o atributo AS_PATH do BGP pode ser usado para influenciar a seleção de rota no contexto de uma única tabela de roteamento do DRG.

Se as rotas dos diferentes caminhos forem iguais, a Oracle usará o caminho AS mais curto ao enviar o tráfego para a rede on-premises, independentemente do caminho usado para iniciar a conexão com a Oracle.Portanto, é permitido roteamento assimétrico. Roteamento assimétrico aqui significa que a resposta do sistema Oracle a uma solicitação pode seguir um caminho diferente do usado pela solicitação. Por exemplo, dependendo de como o seu dispositivo de borda (também chamado de customer-premises equipment ou CPE) estiver configurado, você poderá enviar uma solicitação pela VPN Site a Site, mas a resposta da Oracle poderá voltar pelo FastConnect. Se você quiser forçar o roteamento a ser simétrico, a Oracle recomenda usar pré-anexação de caminho AS e BGP com as suas rotas para influenciar qual caminho o sistema Oracle utilizará ao responder a conexões e iniciá-las.

A Oracle implementa a pré-anexação de caminho AS para determinar a preferência pelo caminho a ser usado se o dispositivo de borda propagar a mesma rota e os mesmos atributos de roteamento em diversos tipos de conexão entre a rede on-premises e a VCN. Os detalhes são resumidos na tabela a seguir. A menos que você esteja influenciando o roteamento de alguma outra forma, quando a mesma rota for propagada por diversos caminhos para o DRG na extremidade Oracle das conexões, a Oracle preferirá os caminhos na seguinte ordem:

Preferência do Sistema Oracle Caminho Detalhes de como o sistema Oracle prefere o caminho Caminho AS resultante para a rota
1 FastConnect A Oracle não pré-anexa ASNs às rotas propagadas pelo dispositivo de borda, para um tamanho total 1 de caminho AS. Seu ASN
2 VPN Site a Site com roteamento BGP A Oracle pré-anexa um único ASN privado em todas as rotas que o dispositivo de borda propaga pela VPN Site a Site com BGP, para um caminho AS de tamanho total 2. ASN Privado, Seu ASN
3 VPN Site a Site com roteamento estático A Oracle pré-anexa 3 ASNs privados nas rotas estáticas fornecidas (a Oracle propaga essas rotas para o gateway de roteamento dinâmico (DRG) na extremidade Oracle da VPN Site a Site). Isso resulta em um tamanho total 3 de caminho AS. ASN Privado, ASN Privado, ASN Privado

A tabela anterior pressupõe que você esteja enviando um único número de sistema autônomo no caminho AS. A Oracle segue o caminho AS completo que você envia. Se você usar roteamento estático e também enviar um caminho AS que tenha "Seu ASN" mais dois ou mais outros ASNs, isso poderá causar um comportamento inesperado, pois a preferência de roteamento da Oracle poderá mudar.

Embora o comportamento do roteamento estático da VPN baseado em política seja documentado anteriormente, a Oracle também recomenda que, se você usar conexões FastConnect com backup da VPN, utilize BGP na VPN baseada em rota IPSec. Essa estratégia permite que você tenha controle total do comportamento de failover.

Outros links relevantes