IBM Cloud Docs
Informazioni sulle tabelle di instradamento e sugli instradamenti

Informazioni sulle tabelle di instradamento e sugli instradamenti

IBM Cloud® Virtual Private Cloud (VPC) genera automaticamente una tabella di routing predefinita per la VPC per gestire il traffico nella zona. Per impostazione predefinita, questa tabella di instradamento è vuota. È possibile aggiungere instradamenti alla tabella di instradamento predefinita o creare una o più tabelle di instradamento e, quindi, aggiungere gli instradamenti. Ad esempio, se si desidera una politica di instradamento specializzata per una specifica sottorete, è possibile creare una tabella di instradamento e associarla a una o più sottoreti. Tuttavia, se desideri modificare la policy di routing predefinita che influisce su tutte le sottoreti che utilizzano la tabella di routing predefinita, devi aggiungere route alla tabella di routing predefinita.

La tabella di instradamento predefinita funziona come le altre tabelle di instradamento, tranne per il fatto che viene creata automaticamente e viene utilizzata quando si crea una sottorete senza specificare una tabella di instradamento.

È possibile definire gli instradamenti all'interno di qualsiasi tabella di instradamento per modellare il traffico nel modo desiderato. Ogni sottorete è assegnata a una tabella di routing, responsabile della gestione del traffico della sottorete. Puoi modificare la tabella di instradamento che una sottorete utilizza per gestire il suo traffico in uscita in qualsiasi momento.

Questo servizio consente anche l'utilizzo di Network Functions Virtualization (NFV) per i servizi di rete avanzati, come l'instradamento di terze parti, i firewall, il bilanciamento del carico locale / globale, i firewall delle applicazioni Web e altro. Anche le tabelle di routing personalizzate sono attualmente integrate nei servizi di IBM Cloud.

Instradamento in uscita e in ingresso

  • Le rotte di uscita controllano il traffico che ha origine all'interno di una sottorete e si dirige verso la rete Internet pubblica o verso un'altra macchina virtuale nella stessa zona o in una zona diversa.

  • Le rotte di ingresso consentono di personalizzare le rotte del traffico in arrivo a una VPC da fonti di traffico esterne alla zona di disponibilità della VPCIBM Cloud Direct Link, IBM Cloud Transit Gateway, un'altra zona di disponibilità nella stessa VPC o Internet pubblico).

    Solo una tabella di instradamento personalizzata può essere associata a una particolare origine di traffico in ingresso. Tuttavia, è possibile utilizzare tabelle di routing diverse per fonti di traffico diverse. Ad esempio, la tabella di instradamento A potrebbe utilizzare Transit Gateway e VPC Zone, mentre la tabella di instradamento B utilizza Direct Link.

Definizione della tabella di instradamento implicito del sistema

Non è possibile configurare una tabella di instradamento per utilizzare la tabella di instradamento implicita del sistema; viene popolata automaticamente. La tabella di instradamento implicito del sistema viene utilizzata quando non viene trovato alcun instradamento corrispondente nella tabella di instradamento personalizzata associata alla sottorete in cui il traffico è egressing. Se non viene trovata alcuna corrispondenza, il pacchetto viene eliminato.

Viene mantenuta una tabella di instradamento implicito del sistema per ogni VPC. Un VPC può avere una presenza in più zone e la tabella di instradamento implicito del sistema VPC è diversa in ogni zona. Per l'instradamento in ingresso, la tabella di instradamento implicito del sistema contiene solo instradamenti a ogni interfaccia di rete nella zona del VPC.

Questo comportamento può essere evitato con un instradamento predefinito della tabella di instradamento personalizzato con un'azione drop.

La tabella di instradamento implicito del sistema contiene:

  • Instradamenti al CIDR di ogni sottorete nel VPC

  • Instradamenti alle sottoreti all'interno della zona (gestiti staticamente)

  • Instradamenti alle sottoreti in altre zone apprese tramite BGP

  • Instradamenti dinamici appresi tramite BGP (ad esempio Direct Link e Transit Gateway)

  • L'instradamento predefinito per il traffico internet (utilizzato quando un gateway pubblico o un IP mobile è associato al VPC)

  • Instradamenti ai CIDR della rete del servizio dell'infrastruttura classica (utilizzati quando un gateway del servizio viene associato a VPC), ad esempio:

    10.0.0.0/14, 10.200.0.0/14, 10.198.0.0/15 e 10.254.0.0/16 sono CIDR di rete di servizi dell'infrastruttura classica.

Determinazione della preferenza di instradamento

È possibile designare la priorità del percorso (0-4 ) di percorsi VPC per determinare quali percorsi hanno una priorità più alta quando esistono più percorsi per una destinazione specifica. I percorsi esistenti e i nuovi percorsi, creati senza un valore di priorità, vengono impostati automaticamente sulla priorità predefinita (2 ).

La priorità di instradamento viene considerata solo su destinazioni identiche ed è simile a qualsiasi instradamento appreso dinamicamente.

Esempi di impostazione della priorità di instradamento

  • Se hai un instradamento con un prefisso e una priorità /32 di 1 e un instradamento con destinazione /31 e priorità 0, /32 viene utilizzato per primo (corrispondenza del prefisso più lunga). In altre parole, la priorità è importante solo quando vi è più di un instradamento con lo stesso prefisso.
  • Se si dispone di tre instradamenti con 0.0.0.0/0 (instradamento predefinito), viene utilizzato solo l'instradamento con la priorità più alta. Se l'instradamento selezionato viene rimosso (ad esempio, tramite l'automazione), viene selezionata la priorità più alta tra i due instradamenti rimanenti.
  • Se la tabella di routing personalizzata ha una sola route con un prefisso specifico, quella route verrà sempre utilizzata indipendentemente dalla sua priorità. La selezione del percorso migliore viene eseguita per ogni prefisso specifico e seleziona il percorso con la priorità più alta.

L'instradamento ECMP (Equal - Cost Multi - Path) viene utilizzato quando due instradamenti hanno la stessa destinazione e priorità (estendendo il comportamento corrente dove ECMP viene utilizzato per due instradamenti con la stessa destinazione). Al massimo, due instradamenti in una tabella di instradamento possono avere la stessa destinazione e priorità. Ad esempio, se la tabella di instradamento personalizzata ha tre instradamenti con la stessa destinazione, uno con priorità 1 e gli altri due con priorità 4 (ECMP), l'instradamento con priorità 1 viene selezionato e gli instradamenti ECMP vengono ignorati (nessun ECMP). Ora, se i due instradamenti con la stessa destinazione e priorità hanno la priorità più alta, il sistema seleziona questi due instradamenti ed esegue ECMP. Quindi, se uno di questi instradamenti viene eliminato, viene selezionato l'instradamento che esiste ancora e ECMP non viene eseguito.

Per le limitazioni della priorità di instradamento, consultare Limitazioni e linee guida.

Percorsi pubblicitari

In passato, i prefissi di indirizzo all'interno del prefisso di indirizzo root del VPC erano pubblicizzati in Direct Link e in Transit Gateway. Tuttavia, non è possibile pubblicizzare i prefissi di indirizzo al di fuori del prefisso dell'indirizzo root del VPC. L'annuncio di instradamento aggiunge questa funzione. Ad esempio, la Figura 1 annuncia l'instradamento 0.0.0.0/0 in tutte le zone a un hop successivo specifico della zona.

d'uso del firewall edge
di pubblicità*

Per ulteriori informazioni, vedere Creazione di una tabella di routing E Aggiornamento di una tabella di routing.

Considerazioni sull'instradamento della pubblicità

Tieni presente le seguenti considerazioni quando pubblicizzi i percorsi:

  • Puoi pubblicizzare le rotte al di fuori del prefisso dell'indirizzo root assegnato al VPC, in modo da poter pubblicizzare le tue reti esterne o le reti che risiedono all'esterno del VPC a un Direct Link O Transit Gateway.

  • Se più Transit Gateway o Direct Link sono connessi al tuo VPC, puoi utilizzare il filtraggio delle rotte su singoli percorsi Transit Gateway O Direct Link connessioni per ottimizzare quali percorsi vengono pubblicizzati e quali connessioni.

  • Se vengono annunciati più percorsi per un prefisso di destinazione con priorità diverse, il percorso con la priorità più alta (valore di priorità minore) viene utilizzato come primario e il percorso con priorità minore (valore di priorità più alto) viene utilizzato come backup.

  • Se pubblicizzi due percorsi diversi, ad esempio 172.16.0.0/31 Attraverso 10.1.1.0 E 172.16.0.0/32 Attraverso 10.1.2.0, il percorso con a /32 il prefisso ha sempre la precedenza sul percorso con a /31 prefisso. Ciò è congruente con la serie di regole "Corrispondenza prefisso più lunga". Un prefisso più lungo per una destinazione host è sempre preferito rispetto a un prefisso più stretto.

  • Attualmente, non esiste alcun meccanismo per contrassegnare gli instradamenti duplicati da un Transit Gateway o Direct Link. IL Transit Gateway seleziona il percorso migliore utilizzando il prefisso più specifico e il percorso AS più breve, come preferito. Altrimenti, il Transit Gateway seleziona il percorso ricevuto per primo. Questo percorso potrebbe non essere il percorso più vecchio sul lato VPC e può cambiare se viene indirizzato a Transit Gateway vengono aggiornati internamente.

Casi di utilizzo

I seguenti casi di utilizzo illustrano diversi scenari di instradamento.

Caso d'uso 1: firewall proxy Edge

d'uso del firewall edge proxy*Caso d'uso del firewall edge

Tabella di routing in uscita del firewall proxy edge
Destinazione Azione Hop successivo Posizione
10.10.0.0/16 Delega Dallas DC 1
10.11.0.0/16 Delega Dallas DC 1
0.0.0.0/0 Distribuzione 10.10.1.5 Dallas DC 1

Obiettivo: firewall proxy Edge

Proteggere i flussi verso l'internet pubblico utilizzando un gateway definito dal client, un proxy o un'applicazione firewall, consentendo anche alle risorse sulle altre sottoreti di passare attraverso il gateway pubblico gestito da VPC.

Utilizzando le route personalizzate VPC con routing in uscita per sottorete, puoi creare una tabella per sovrascrivere il routing implicito del sistema all'interno della rete VPC. In questo esempio, la tabella predefinita creata dal sistema, in cui tutte le sottoreti vengono assegnate al momento della creazione, è invariata. Viene creata anche una tabella per indirizzare il traffico dalla sottorete 10.10.1.0/24 attraverso un proxy edge (proxy NFV).

Poiché la destinazione dei flussi proxy è la rete Internet pubblica e, in genere, segue il percorso predefinito (0.0.0.0/0 ), è necessario prima esentare i flussi verso reti private raggiungibili internamente utilizzando la funzione Delega delle route personalizzate. Risorse nella sottorete 10.10.3.0/24 continuare a utilizzare il gateway pubblico collegato a quella sottorete.

Mentre le istanze che utilizzano il proxy condividono una sottorete comune con il proxy in questo esempio, non è necessario farlo. Con i percorsi personalizzati, puoi specificare un IP dell'hop successivo di un'istanza connessa a una sottorete diversa. In questo modo è possibile ridimensionare orizzontalmente senza preoccuparsi del dimensionamento della sottorete dei servizi Edge. Ad esempio, è possibile collegare una tabella di routing proxy alla sottorete 10.10.3.0/24 e indirizza tutti i flussi pubblici al proxy NFV.

Funzioni utilizzate in un firewall proxy Edge

Questo caso di uso utilizza le seguenti funzioni dei firewall del proxy Edge:

  • Disabilitazione del controllo spoofing IP sulle interfacce 10.10.0.5 e 10.10.1.5 per abilitare la conservazione dell'indirizzo di origine. Questa azione richiede autorizzazioni IAM elevate sull'istanza.
  • Un gateway pubblico per i flussi in uscita con risorse non dirette tramite il proxy NFV.
  • L'IP mobile collegato all'interfaccia 10.10.0.5 per abilitare i flussi pubblici in entrata e in uscita direttamente al proxy NFV.
  • Aggiunta di gruppi di sicurezza con stato e ACL (access control list) di rete alle interfacce delle istanze e alle sottoreti VPC, rispettivamente, per fornire ulteriori risorse di isolamento all'interno del VPC.

Caso di utilizzo 2: programma di bilanciamento del carico pubblico

d'uso del bilanciatore di carico pubblico*Caso d'uso del bilanciatore di carico

Bilanciatore di carico pubblico Tabella di routing in uscita del Web
Destinazione Azione Hop successivo Posizione
10.10.0.0/16 Delega Dallas DC 1
10.11.0.0/16 Delega Dallas DC 1
161.26.0.0/16 * Delega Dallas DC 1
166.8.0.0/14 * Delega Dallas DC 1
0.0.0.0/0 Distribuzione 10.10.1.5 Dallas DC 1

Obiettivo: programma di bilanciamento del carico pubblico

Hosting di applicazioni web che utilizzano un'applicazione definita dal cliente o un bilanciatore di carico di rete.

Utilizzando le route personalizzate VPC con routing in uscita per sottorete, puoi creare una tabella per sovrascrivere il routing implicito del sistema con la rete VPC senza aggiornare le informazioni di routing su ciascuna istanza. In questo esempio, l'IP di origine dagli utenti Internet al livello web viene conservato. I livelli web-app e app-db comunicano utilizzando il routing VPC implicito e continuano a utilizzare il gateway pubblico per l'uscita Internet.

La delega dell'instradamento è richiesta per le reti interne / private all'interno delle reti di servizi VPC e IBM sul backbone privato. Per evitare la necessità di delegare, i server di livello web possono essere collegati alla sottorete di livello applicazione e l'instradamento è stato modificato sulle istanze web per utilizzare il gateway della sottorete dell'applicazione come hop successivo per le reti di servizi cloud e VPC interni.

Funzioni utilizzate nei programmi di bilanciamento del carico pubblici

Questo caso di utilizzo utilizza le seguenti funzioni dei programmi di bilanciamento del carico pubblici:

  • Disabilitazione del controllo spoofing IP sulle interfacce 10.10.0.5 e 10.10.1.5 per abilitare la conservazione dell'indirizzo di origine. Questa azione richiede autorizzazioni IAM elevate sull'istanza.
  • Un gateway pubblico per i flussi in uscita per le risorse che non sono dirette tramite il proxy NFV.
  • L'IP mobile collegato all'interfaccia 10.10.0.5 per abilitare i flussi pubblici in entrata e in uscita direttamente al programma di bilanciamento del carico NFV.
  • Aggiunta di gruppi di sicurezza con stato e ACL (access control list) di rete alle interfacce delle istanze e alle sottoreti VPC, rispettivamente, per fornire ulteriori risorse di isolamento all'interno del VPC.

Caso di uso 3: VPN

Per avere un gateway VPN come hop successivo in una tabella di instradamento VPC, il gateway viene creato in una sottorete dedicata. Questa sottorete è utilizzata solo per il gateway VPN ed è associata alla sottorete del gateway VPN con una tabella di routing diversa quando c'è un percorso 0.0.0.0/0 e l'hop successivo è una connessione VPN.

Ad esempio:

  • La sottorete A viene utilizzata per ospitare i server virtuali ed è associata alla tabella di instradamento predefinita. C'è un instradamento 0.0.0.0/0 e l'hop successivo è una connessione VPN.
  • La sottorete B viene utilizzata per ospitare il gateway VPN e crea una nuova tabella di instradamento (tabella di instradamento B). Associa la sottorete B alla tabella di instradamento B. Per impostazione predefinita, non è necessario alcun instradamento nella tabella di instradamento B.

Per avere la connettività tra le sottoreti quando hai l'instradamento 0.0.0.0/0 e l'hop successivo è una connessione VPN, come sopra, puoi aggiungere i seguenti instradamenti delegati:

destination CIDR==zone3 VPC prefix, action==delegate, location==zone1
destination CIDR==zone1 VPC prefix, action==delegate, location==zone3

Limitazioni e linee guida

Le seguenti limitazioni e linee guida si applicano alle rotte personalizzate di IBM Cloud per VPC.

Limitazioni generali

  • Attualmente, non puoi utilizzare una tabella di instradamento personalizzata sia per il traffico in entrata (collegato a un'origine di traffico) che in uscita (collegato a una sottorete). Inoltre, la tabella di instradamento personalizzata predefinita non può essere associata a una origine di traffico in ingresso.
  • Attualmente, il traffico di ritorno potrebbe avere esito negativo a causa dell'instradamento asimmetrico. Questo problema influisce su tutti i servizi che dipendono dagli instradamenti statici ECMP. Ad esempio, si supponga di creare due instradamenti ECMP in VPC A con la destinazione 10.134.39.64/26 e i successivi hop sono rispettivamente 192.168.2.4 e 192.168.2.5. Questi hop successivi sono indirizzi IP della periferica NFV. Quando invii traffico dall'istanza A nel VPC, il pacchetto viene instradato in modo casuale a uno degli hop successivi e non vi è alcuna garanzia che il traffico di ritorno segua lo stesso percorso del traffico di inoltro a causa dell'algoritmo hash ECMP sull'altro lato . Questo fenomeno è noto come instradamento asimmetrico. Quando si verifica il routing asimmetrico, il problema non riguarda il routing stesso, ma il gruppo di sicurezza elimina il traffico anche se le regole del gruppo di sicurezza consentono questo traffico perché il gruppo di sicurezza vede il traffico in un solo percorso. In generale è consigliabile evitare l'utilizzo delle rotte ECMP.
  • La capacità di raggiungere un indirizzo IP hop successivo in un instradamento personalizzato non è un fattore determinante se l'instradamento viene utilizzato per il traffico di inoltro. Ciò può causare problemi quando vengono utilizzati più instradamenti con lo stesso prefisso (ma diversi indirizzi IP dell'hop successivo), poiché il traffico verso gli indirizzi IP dell'hop successivo non raggiungibili potrebbe non essere consegnato.
  • IBM Cloud VPC consente l'uso degli spazi di indirizzo RFC-1918 e IANA - registrati IPv4 privatamente all'interno del tuo VPC, con alcune eccezioni negli intervalli di scopo speciale IANA e gli intervalli di selezione assegnati ai servizi IBM Cloud. Quando utilizzi gli intervalli registrati IANA all'interno della tua azienda e all'interno dei VPC insieme a IBM Cloud Transit Gateway o IBM Cloud Direct Link, devi installare le rotte personalizzate in ciascuna zona. Per ulteriori informazioni, vedi Considerazioni sull'instradamento per le assegnazioni IP registrate IANA.
  • Nel caso in cui esistano 2 diversi percorsi pubblicizzati verso la stessa destinazione, si applicano le seguenti limitazioni:
    • Quando l'hop successivo per entrambi i percorsi si trova nella stessa zona, il percorso con la priorità più alta (ovvero, un valore minore per priority ) viene utilizzato come percorso primario e il percorso con la priorità minore (ovvero, un valore più alto per priority ) viene utilizzato come percorso di backup. Se la priorità per entrambi i percorsi è la stessa, ECMP viene utilizzato per instradare equamente il traffico tra i 2 percorsi.
    • Quando l'hop successivo per entrambi gli instradamenti è in zone differenti, il router Transit Gateway o Direct Link sceglie l'instradamento migliore. In questo caso, questo è il percorso pubblicizzato più vecchio.

Priorità instradamento

Se esistono più instradamenti con lo stesso CIDR/prefisso di destinazione, viene utilizzato l'instradamento con il valore di priorità più alto. Gli instradamenti con lo stesso CIDR/prefisso di destinazione e priorità utilizzano l'instradamento ECMP.

Instradamenti in uscita

Per le rotte personalizzate in uscita, quando si aggiunge una rotta di destinazione, è necessario selezionare una zona. Tuttavia, l'hop successivo non deve essere nella stessa zona. Per gli instradamenti personalizzati in ingresso, l'hop successivo deve trovarsi nella stessa zona.

EMP (equal-cost multi-path)

Il router implicito esegue l'instradamento ECMP (percorsi multipli con la stessa destinazione, ma con diversi indirizzi di riferimento) con le seguenti limitazioni:

  • Ciò si applica solo agli instradamenti con un'azione deliver.
  • Sono consentiti solo due instradamenti di destinazione identici per zona e ciascuno deve avere indirizzi hop successivi differenti.
  • Quando viene utilizzato ECMP, il percorso di ritorno potrebbe non utilizzare lo stesso percorso.
  • ECMP supporta solo un tipo di hop successivo di indirizzo IP.

Instradamenti Ingress

  • Attualmente, l'instradamento pubblico in ingresso (scelta del traffico public internet ) è disponibile solo nella console. CLI e API sono in arrivo.
  • Ogni tipo di origine in ingresso può essere associato a un massimo di una tabella di instradamento in ingresso per VPC, tuttavia, un VPC può avere più tabelle di instradamento in ingresso e ciascuna tabella di instradamento in ingresso può avere uno o più tipi di ingresso associati.
  • Il traffico in entrata da una particolare sorgente di traffico viene instradato utilizzando i percorsi nella tabella di routing personalizzata associata a tale sorgente di traffico.
  • Le rotte personalizzate in una tabella di instradamento personalizzata associata a un'origine del traffico in ingresso e con un'azione di deliver, devono avere un IP hop successivo contenuto da uno dei prefissi di indirizzo del VPC nella zona di disponibilità in cui viene aggiunto l'instradamento. Inoltre, il successivo IP hop deve essere configurato su un'interfaccia del server virtuale nel VPC e nella zona di disponibilità a cui è destinato l'instradamento.
  • Il traffico in entrata da una particolare sorgente di traffico viene instradato utilizzando i percorsi nella tabella di routing personalizzata associata a tale sorgente di traffico. Se non viene trovato alcun instradamento corrispondente in una tabella di instradamento personalizzata, l'instradamento continua utilizzando la tabella di instradamento del sistema VPC. Puoi evitare questo comportamento con un instradamento predefinito della tabella di instradamento personalizzato con un'azione di drop.
  • Una tabella di instradamento personalizzato in ingresso contenente qualsiasi instradamento personalizzato con FIP (destination IP) deve essere definita nella stessa zona dell'istanza del server virtuale a cui è associato un FIP.
  • Gli IP fluttuanti vincolati a un gateway IBM Cloud VPN non possono essere utilizzati come destinazione per un percorso personalizzato in una tabella di routing in ingresso quando è abilitato il tipo di origine Public Internet route_internet_ingress).

Lunghezze prefisso univoche

È possibile utilizzare un massimo di 14 lunghezze di prefisso uniche per tabella di routing personalizzata. È possibile avere più instradamenti con lo stesso prefisso che contano come un solo prefisso univoco. Ad esempio, è possibile avere più instradamenti con un prefisso /28. Viene contato come un prefisso univoco.

VPN

  • Quando crei un percorso per una connessione VPN statica basata su percorso, devi inserire l'ID della connessione VPN per l'hop successivo. Il gateway VPN deve trovarsi nella stessa zona della sottorete a cui è associata la tabella di instradamento. Si sconsiglia di definire un gateway VPN come hop successivo in una zona diversa dalla sottorete associata alla tabella di instradamento.
  • Un instradamento con una connessione VPN come hop successivo diventa effettivo solo quando la connessione VPN è attiva. Questo instradamento viene ignorato durante la ricerca dell'instradamento se la connessione VPN è inattiva.
  • Una tabella di instradamento personalizzata che contiene instradamenti personalizzati con un hop successivo associato a una connessione VPN non può essere associato a un'origine di traffico in ingresso.
  • Le rotte personalizzate sono supportate solo sulle VPN basate sull'instradamento. Se si utilizzano VPN basate sulla politica, gli instradamenti vengono creati automaticamente dal servizio VPN nella tabella di instradamento predefinita.