同一リージョン内の VBR のアクティブ/スタンバイルートを構成する - Cloud Enterprise Network

データセンターが Enterprise Edition 中継ルーターに接続された複数の仮想ボーダールーター (VBR) を介して仮想プライベートクラウド (VPC) にアクセスする場合、VBR が同じリージョンにある場合は、ルーティングポリシーを使用してルートの優先順位を構成できます。 1 つの VBR をプライマリとして、もう 1 つをバックアップとして指定し、プライマリが使用できなくなった場合にバックアップ VBR にシームレスに切り替えます。

背景

ルートの優先順位によると、同じリージョン内の 2 つの VBR が Enterprise Edition 中継ルーター (Enterprise Edition) に接続され、同じ宛先 CIDR ブロックを持つルートを中継ルーターにアドバタイズする場合、属性が同一であれば等コストマルチパスルーティング (ECMP) が形成されます。 VPC からデータセンターへのトラフィックは、両方の VBR インスタンスを介して送信されます。

ただし、ネットワーク計画またはオンプレミスゲートウェイデバイスの制限により、ECMP がサポートされない場合があります。そのような場合は、アクティブおよびスタンバイルートを介してのみ VPC にアクセスできます。これにより、VPC にアクセスするトラフィックパスとデータセンターにアクセスするトラフィックパスとの間に不整合が生じ、非対称ルーティングが発生する可能性があります。

この問題を回避するには、Alibaba Cloud 上のデータセンターのルート属性を変更して、アクティブ/スタンバイルートを指定します。これにより、データセンターへのトラフィックもアクティブ/スタンバイルートを介して送信され、双方向のトラフィックパスの一貫性が維持されます。

ルートの優先順位に基づいて、アクティブおよびスタンバイルートを指定する方法は複数あります。このトピックでは、ルーティングポリシーを使用してこれを実現する方法について説明します。

シナリオ

ある企業は、中国 (杭州) リージョンにある 2 つの Express Connect 回線を介してデータセンターをクラウドに接続し、Enterprise Edition 中継ルーターを介してネットワーク接続を確立しています。企業のネットワーク計画では、データセンターから ECMP を介して VPC にアクセスすることはサポートされていません。データセンターと VPC 間のトラフィックがアクティブおよびスタンバイ接続を介して送信されるように、トラフィックパスを変更する必要があります。トラフィックはアクティブな接続を流れ、アクティブな接続が中断された場合は自動的にスタンバイ接続に切り替え、アクティブな接続が回復した場合は自動的にアクティブな接続を介した送信を再開する必要があります。

説明

このシナリオでは、VBR1 と VBR2 の両方で静的ルートが使用されています。

前提条件

開始する前に、データセンターがクラウドに接続されており、データセンターと VPC の間にネットワーク接続が確立されていることを確認してください。次の表の CIDR ブロックとネットワーク構成を表示します。

このシナリオでは、データセンターのクラウドへのアクセスと、データセンターと VPC 間のネットワーク通信は既に完了しています。このシナリオに関連する CIDR ブロックと完了したネットワーク構成は、次の表で確認できます。

クリックして CIDR ブロックとネットワーク構成を表示します。

インスタンス/リソース	CIDR ブロック/IP アドレス	ネットワーク構成
VPC	VPC CIDR ブロック: 10.0.0.0/16 vSwitch CIDR ブロック: 10.0.30.0/24、10.0.40.0/24 ECS IP アドレス: 10.0.30.104	VPC は、すべての [詳細設定] オプションが有効になっている状態で、US (シリコンバレー) の中継ルーターに接続されています。これにより、中継ルーターは次の 3 つのカスタムルートエントリを VPC システムルートテーブルに自動的に追加できます。
US (シリコンバレー) TR	-	US (シリコンバレー) とドイツ (フランクフルト) の中継ルーター間にリージョン間接続が作成されています。 US (シリコンバレー) 中継ルーターがデータセンター (192.168.0.0/16) へのルートを学習していることを確認してください。
ドイツ (フランクフルト) TR	-	VBR1 と VBR2 は、ドイツ (フランクフルト) 中継ルーターに接続されています。ドイツ (フランクフルト) 中継ルーターが VBR1 と VBR2 の両方を通じてデータセンター (192.168.0.0/16) へのルートを学習しており、両方のルートが [アクティブ] 状態であることを確認してください。ドイツ (フランクフルト) 中継ルーターがリージョン間接続を介して VPC ルート (10.0.30.0/24、10.0.40.0/24) を学習していることを確認してください。
VBR1	[Alibaba Cloud IPv4 ピア IP]: 10.99.0.2 クライアント IPv4 ピア IP: 10.99.0.1 [IPv4 サブネットマスク]: 255.255.255.252	VBR1 は、すべての [詳細設定] オプションが有効になっている状態で、ドイツ (フランクフルト) 中継ルーターに接続されています。データセンターのカスタムルートエントリが VBR1 に追加されています。宛先 CIDR ブロック: データセンター CIDR ブロック (192.168.0.0/16) ネクストホップ: Express Connect 回線	VBR1 は、ドイツ (フランクフルト) 中継ルーターを介して VPC ルート (10.0.30.0/24、10.0.40.0/24) を学習しています。
VBR2	[Alibaba Cloud IPv4 ピア IP]: 10.1.0.1 [クライアント IPv4 ピア IP]: 10.1.0.2 [IPv4 サブネットマスク]: 255.255.255.252	VBR2 は、すべての [詳細設定] オプションが有効になっている状態で、ドイツ (フランクフルト) 中継ルーターに接続されています。データセンターのカスタムルートエントリが VBR2 に追加されています。宛先 CIDR ブロック: オンプレミスデータセンター CIDR ブロック (192.168.0.0/16) ネクストホップインスタンス: Express Connect 回線	VBR2 は、ドイツ (フランクフルト) 中継ルーターを介して VPC ルート (10.0.30.0/24、10.0.40.0/24) を学習しています。
データセンター	VPC に接続される CIDR ブロック: 192.168.0.0/16。クライアント IP アドレス: 192.168.10.135	CPE1 ネクストホップが VBR1 を指す VPC (10.0.0.0/16) への静的ルートが構成されています。 CPE2 ネクストホップが VBR2 を指す VPC (10.0.0.0/16) への静的ルートが構成されています。

手順

ステップ 1: データセンターへのルートを指定する

ルーティングポリシーを構成します。

VBR インスタンスが接続されている中継ルーターの下にルーティングポリシーを構成します。ルーティングポリシーを使用してルート属性を変更し、アクティブ/スタンバイルートを指定します。

CEN コンソールにログオンします。 インスタンス ページで、中継ルーターが属する CEN インスタンスを見つけ、CEN インスタンス ID をクリックします。
[基本情報] > [中継ルーター] タブで、VBR インスタンスが接続されている中継ルーターの ID をクリックします。
中継ルーターインスタンスの詳細ページで、[ルートテーブル] タブをクリックします。中継ルータールートテーブルの下にある [ルーティングポリシー] タブをクリックし、[ルーティングポリシーの追加] をクリックします。

次の情報に従って、2 つのルーティングポリシーを構成します。その他の構成はデフォルトのままにします。

ルーティングポリシー 1	ルーティングポリシー 2
VBR1 からのルートの場合、[ルートの優先順位] を 10 に指定します。値が小さいほど、優先順位が高くなります。	VBR2 からのルートの場合、[ルートの優先順位] を 20 に指定し、VBR2 からのルートをバックアップとして指定します。
[ポリシーの優先順位]: 10。 [関連付けられたルートテーブル]: 中継ルーターのルートテーブル。 [方向]: [出力リージョンゲートウェイ]。 [一致条件]: [ソースインスタンス ID] を選択し、VBR1 ID を入力します。 [ポリシーアクション]: [許可] を選択します。 [アクションオブジェクト]: [アクションオブジェクトの追加] をクリックし、[ルートの優先順位] を選択して、10 と入力します。	[ルーティングポリシーの優先順位]: 20。 [関連付けられたルートテーブル]: 中継ルーターのルートテーブル。 [方向]: [出力リージョンゲートウェイ]。 [一致条件]: [ソースインスタンス ID] を選択し、VBR2 ID を入力します。 [ポリシーアクション]: [許可] を選択します。 [アクションオブジェクト]: [アクションオブジェクトの追加] をクリックし、[ルートの優先順位] を選択して、20 と入力します。

ルーティングポリシーを構成した後、[ルート] タブをクリックします。 VBR2 からのルートが [バックアップ] に変更されたことがわかります。路由状态

VBR インスタンスのヘルスチェックを構成する。

アクティブ接続とスタンバイ接続間の自動切り替えを有効にするには、CEN コンソールで VBR インスタンスのヘルスチェックを構成する必要があります。アクティブな接続のヘルスチェックが失敗すると、中継ルーターは自動的にトラフィックをスタンバイ接続に切り替えます。アクティブな接続が回復すると、トラフィックはアクティブな接続に戻されます。

左側のナビゲーションウィンドウで、VBR ヘルスチェック をクリックします。
VBR ヘルスチェック ページで、VBR インスタンスが配置されているリージョンを選択し、ヘルスチェックの追加 をクリックします。

次の表に従って、VBR1 と VBR2 のヘルスチェックを構成します。その他の構成はデフォルトのままにします。

ヘルスチェック 1	ヘルスチェック 2
インスタンス: 中継ルーターが属する CEN インスタンスを選択します。仮想ボーダールーター (VBR): VBR1 を選択します。ソース IP: 自動 IP アドレスを選択します。ターゲット IP: VBR1 の [クライアント IPv4 ピア IP] を選択します。 [ルートの切り替え]: 有効。	インスタンス: 中継ルーターが属する CEN インスタンスを選択します。仮想ボーダールーター (VBR): VBR2 を選択します。ソース IP: 自動 IP アドレスを選択します。ターゲット IP: VBR2 の [クライアント IPv4 ピア IP] を選択します。 [ルートの切り替え]: 有効。

健康检查

データセンターで VBR ヘルスチェックの戻りルートを構成します。
宛先 CIDR ブロックをヘルスチェックソース IP アドレスに設定し、サブネットマスクを 32 に設定し、ネクストホップを対応する Express Connect 回線に設定して、データセンターにルートエントリを手動で構成する必要があります。そうしないと、ヘルスチェックプローブ ping メッセージが同じ回線を介して返されないため、Alibaba Cloud が Express Connect 回線リンクが使用できないと誤って判断する可能性があります。

(オプション) VBR インスタンスのアラートルールを構成する。
ヘルスチェックでアクティブ/スタンバイ接続の障害が検出されると、ルートは自動的に切り替えられますが、通知は届きません。 Express Connect 回線が失敗した場合にアラート通知を受け取るために、VBR のアラートルールを構成することをお勧めします。

ステップ 2: VPC へのルートを指定する

これで、データセンターは CPE1 または CPE2 のいずれかを介して VPC にアクセスできるようになりました。 VPC とデータセンターの両方にアクセスするためのトラフィックパスの一貫性を確保するには、データセンターで VPC にアクセスするためのアクティブおよびスタンバイルートを指定し、データセンターが主に CPE1 を介して VPC にアクセスするようにする必要があります。次に、ヘルスチェックを追加し、ルートを構成して、CPE1 が中断されたときにデータセンターが CPE2 を介して VPC に自動的にアクセスするようにします。 CPE1 接続が回復すると、CPE1 を介した VPC へのアクセスが自動的に再開されます。

ステップ 3: 接続をテストする

ルートを構成した後、Express Connect の障害訓練機能を使用してアクティブな接続を中断し、自動切り替えが機能するかどうかをテストできます。テスト中は、データセンタークライアントと ECS インスタンスの両方で traceroute -I <ターゲット IP アドレス> コマンドを実行してトラフィックパスを追跡し、トラフィックが予期したパスに沿って送信されているかどうかを確認します。

説明

-I パラメーターは、ICMP プロトコルを使用してテストメッセージを送信することを示します。データセンターのアクセス制御ルールと ECS セキュリティグループルールで ICMP プロトコルが許可されており、IDC ネットワークと VPC ネットワーク間の ICMP トラフィックが許可されていることを確認してください。
このトピックのデータセンタークライアントは、CentOS Stream 9 64 ビットオペレーティングシステムを使用しています。オペレーティングシステムが traceroute コマンドをサポートしていない場合は、最初にインストールしてください。
traceroute コマンドを使用してトラフィックフローを追跡できない場合は、CEN コンソールの監視チャートを使用して VBR 接続を表示します。

ECS インスタンスとデータセンタークライアントの両方で traceroute -I <ターゲット IP アドレス> コマンドを実行して、トラフィック送信パスを確認します。
Express Connect コンソールにログオンして障害訓練を構成し、アクティブな接続を中断します。障害訓練の開始後、ECS インスタンスとデータセンタークライアントの両方でトラフィックパスを確認します。構成の詳細は次のとおりです。
- [リージョン]: [ドイツ (フランクフルト)] を選択します。
- [訓練リソース]: [仮想ボーダールーター (VBR)] を選択します。
- [インスタンスリスト]: VBR1 を選択します。
- [訓練モード]: [今すぐ開始] を選択します。
- [訓練期間]: 5 分。
障害訓練が終了すると、アクティブな接続は自動的に回復します。 ECS インスタンスとデータセンタークライアントの両方でトラフィックパスを確認します。
次の図に示すように、VPC にアクセスするためのトラフィックパスとデータセンターにアクセスするためのトラフィックパスは一貫しています。いずれも最初にアクティブな接続を介して送信されます。アクティブな接続が中断されると、トラフィックは自動的にスタンバイ接続に切り替えられ、回復すると自動的にアクティブな接続に戻されます。切り替えプロセス中にトラフィックが短時間中断されます。
デバイス
現在のトラフィックパスを表示する
アクティブな接続を中断する
アクティブな接続が回復する
データセンター
ECS

よくある質問

Basic Edition 中継ルーターでアクティブおよびスタンバイルートを構成するにはどうすればよいですか?

上記の手順に従って、Basic Edition 中継ルーターでアクティブおよびスタンバイルートを構成します。インターフェースは、Enterprise Edition 中継ルーターのインターフェースとは異なる場合があります。関連ドキュメントを参照してください。

traceroute コマンドを使用してトラフィックフローを追跡できない場合は、Express Connect コンソールの VBR インスタンス監視チャートを表示します。

デバイス	現在のトラフィックパスを表示する	アクティブな接続を中断する	アクティブな接続が回復する
データセンター
ECS