边界网关
基本概念
边界网关(BGW,Border Gateway),是京东云用来承载VPC南北向流量的一种网关,主要作用是与其他外部网关或环境进行内网互通。
在边界网关支持创建VPC接口功能前,边界网关一旦创建、即自动与同地域的所有VPC连通。
随着边界网关的VPC接口功能上线,新建的边界网关默认不与任何VPC连通,用户需要创建"VPC接口”用于打通指定VPC和边界网关的互联;对于已经创建的边界网关,边界网关路由表内已有到VPC的路由仍然有效可用,但是不能新建到VPC的路由、除非先创建出与VPC关联的VPC接口。
目前边界网关承载的业务是专线连接、托管连接、VPN连接、VPC接口功能。
边界网关支持客户IDC和京东云VPC之间通信、京东云托管区和京东云VPC之间通信、京东云同地域多个VPC之间通信等。
默认情况下,连接到同一边界网关的专线通道、托管通道、VPN连接之间无法通过边界网关进行通信。
通过边界网关可访问的京东云资源:京东云VPC内的全部资源,包括云主机、容器、负载均衡、云数据库、云缓存等,但是不能利用VPC内NAT网关统一互联网出口。
边界网关路由管理
路由表分类
京东云内开放给用户配置路由功能的网关/三层路由设备均具备如下几张路由表:
-
有效路由表,存放实际生效路由条目的路由表(路由表中可能包括由系统自动生成的Local路由),数据包转发时按此表中的路由条目进行转发,不支持编辑; -
静态路由表,存放用户手工添加的静态路由(Static Route),支持编辑; -
传播路由表,目前存放两种来源的路由:一种是用户配置从其他网关等资源自动传播来的路由(如创建VPC接口时,将VPC网段路由添加到边界网关的传播路由表),不支持直接编辑,可通过修改相应资源的传播配置进行传播路由变更;另一种是通过动态路由协议BGP学习到的路由,BGP路由不支持在路由表中直接编辑,可通过在路由来源侧(BGP Peer侧)编辑后同步/收敛到BGP路由表。
有效路由规则匹配顺序
边界网关进行业务数据转发时,将依据其有效路由表内的路由规则进行逐项匹配、然后按照路由规则的下一跳信息将报文转发到相应的接口或者通道。其基本路由匹配和转发规则为:
- 最长前缀匹配,即掩码长度最长前缀的路由匹配优先;
- 等价路由,基于每个数据报文头的五元组(TCP/UDP)、三元组(ICMP)或源/目的IP(其他协议类型)进行hash选择不同下一跳路由进行转发,当以上条件完全相同,且存在多条不同下一跳地址的路由时,数据包按ECMP的方式进行转发。
有效路由表的路由来源
- 根据静态路由表、传播路由表中的路由及其优先级,优选生效的路由条目,并存放到有效路由表中,实际的出流量按此路由表中的路由条目进行转发。数据包转发时,路由匹配遵循上文中“有效路由规则匹配顺序”原则处理。
- 路由条目优选原则为:目的地(Destination)不同的路由直接存放,目的地相同的路由根据下一跳类型、路由类型、Metric计算出优先级最高的路由条目并存放到有效路由表中。目的地相同的路由的优先级计算方式详见下方的“路由优先级计算因素”和“路由优先级计算规则”。
路由优先级计算因素
路由优先级的计算分为几个不同的维度,综合计算所有维度后,得出该条路由的最终优先级,涉及的计算维度包括:
- 下一跳类型,包括VPC接口(VPC Attachment)、VPN连接(VPN Connection)、专线通道(Private Virtual Interface)、托管通道(Hosted Private Virtual Interface)等,每种下一跳类型对应的优先级详见下方表格,下一跳类型数值越小,优先级越高;
- 路由类型(管理距离,Administrative Distance),包括静态路由(Static)、内部传播(VPC传播)、外部协议动态学习(BGP路由),取值范围:0~255,管理距离数值越小,优先级越高;
- 路由Metric,为路由指定所需跃点数的整数值(取值范围是:0~4,294,967,295 (32-bit Integer)),它用来在路由表里的多个路由中选择与转发包中的目标地址最为匹配的路由。所选的路由具有最少的跃点数。跃点数能够反映跃点的数量、路径的速度、路径可靠性、路径吞吐量以及管理属性等,对多种属性经过计算后生成。Metric数值越小,优先级越高。
路由优先级计算规则
- 第一步,优选下一跳类型优先级最高的路由,若可以确定唯一的路由条目,则返回该路由。若存在多条优先级相同的路由,则继续下一因素的比较;
- 第二步,优选路由类型优先级最高(路由协议管理距离数值最小)的路由,若可以确定唯一的路由条目,则返回该路由。若存在多条优先级相同的路由,则继续下一因素的比较;
- 第三步,优选Metric优先级最高的路由,若可以确定唯一的路由条目,则返回该路由。若存在多条优先级相同的路由,则多条路由均为有效路由,多条路由之间以ECMP的方式转发数据包。
路由下一跳类型的优先级说明
| 下一跳网关名称 | 下一跳类型优先级 |
|---|---|
| VPC Attachment(VPC接口)/VPC | 100 |
| Private Virtual Interface(专线通道/托管通道) | 120 |
| VPN Connection(VPN连接) | 140 |
说明:优先级数值越小,路由优先级越高。
路由类型的优先级说明(Administrative Distance,路由协议的管理距离)
| 路由类型 | 路由协议优先级 |
|---|---|
| 静态 | 100 |
| 内部传播(VPC接口传播) | 120 |
| BGP | 150 |
说明:优先级数值越小,路由优先级越高。
路由Metric优先级说明
- 路由Metric数值越小,路由优先级越高。
- 路由Metric目前支持BGP路由协议的AS_PATH属性,AS_PATH越短、Metric数值越小。
边界网关与VPC互通方式调整说明
1)互通方式调整
边界网关支持VPC接口功能前,边界网关一旦创建、即自动与同地域的所有VPC连通;
随着边界网关的VPC接口功能上线,新建的边界网关默认不与同地域下任何VPC连通,用户需要创建"VPC接口”用于打通指定VPC和边界网关的互联。对于已经创建的边界网关,边界网关路由表内已有到VPC的路由仍然有效可用、并且可以修改删除,但是不能直接新建下一跳为VPC的路由,请先创建与该VPC互通的VPC接口,并指定下一跳为VPC接口的路由。
2)路由方式调整
边界网关支持VPC接口功能前,边界网关路由表和VPC路由表仅支持静态路由;
随着边界网关的VPC接口功能上线,边界网关路由表和VPC路由表都新增支持动态传播路由。
边界网关的有效路由可自动传播到创建关联的VPC路由表内,到达VPC子网网段的路由可以自动传播到边界网关路由表,边界网关与IDC网关可通过EBGP相互宣告有效路由。具体过程如下:
- 边界网关通过专线通道、托管通道学习到的BGP路由,以及通过创建VPC接口时指定的VPC子网网段访问路由,都会以传播路由的方式添加到边界网关的动态路由表内、并且会通过路由优先级比对后把高优先级路由添加到有效路由表;
- VPC路由表通过创建路由传播、可以将边界网关有效路由表中目的地址在传播地址范围内的路由规则动态传播到VPC路由表内,边界网关会将有效路由通过eBGP宣告给IDC网关的BGP Peer。
