# 入门教程
本教程将指导您完成设置和配置 VPC Route Server,以在 VPC 中启用动态路由的过程。您将学习如何创建和配置所有必要的组件、建立 BGP 对等,以及验证操作是否正确。本教程涵盖了从初始 IAM 设置到测试和清理的所有内容。
开始本教程之前,请确保您满足以下条件:
+ AWS 账户的管理权限
+ 具有至少两个要在其中启用动态路由的子网的 VPC
+ 支持 BGP 并可用作路由服务器对等设备的网络设备(如在 EC2 实例上运行的防火墙)
+ 基本熟悉 BGP 概念和 AWS 网络
这些步骤可以使用 AWS 管理控制台或 AWS CLI 完成。每个步骤都提供了两种方法。
预计完成时间:15 到 30 分钟
**Topics**
+ [步骤 1:配置所需的 IAM 角色权限](route-server-iam.md)
+ [步骤 2:创建路由服务器](route-server-tutorial-create.md)
+ [步骤 3:将路由服务器与 VPC 关联](route-server-tutorial-associate.md)
+ [步骤 4:创建路由服务器端点](route-server-tutorial-create-endpoints.md)
+ [步骤 5:启用路由服务器传播](route-server-tutorial-enable-prop.md)
+ [步骤 6:创建路由服务器对等](route-server-tutorial-create-peer.md)
+ [步骤 7:从设备启动 BGP 会话](route-server-tutorial-initiate-bgp.md)
+ [步骤 8:清除](route-server-tutorial-cleanup.md)
# 步骤 1:配置所需的 IAM 角色权限
要使用 VPC Route Server,请确保您使用的 IAM 用户或角色具有所需的 IAM 权限。以下是每个 API 需要哪些权限的指南:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateRouteServer",
"Effect": "Allow",
"Action": [
"sns:CreateTopic"
],
"Resource": "*"
},
{
"Sid": "DeleteRouteServer",
"Effect": "Allow",
"Action": [
"sns:DeleteTopic"
],
"Resource": "*"
},
{
"Sid": "CreateRouteServerEndpoint",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:CreateSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": "*"
},
{
"Sid": "DeleteRouteServerEndpoint",
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupIngress",
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": "*"
},
{
"Sid": "CreateRouteServerPeer",
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*"
},
{
"Sid": "DeleteRouteServerPeer",
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*"
}
]
}
```
------
# 步骤 2:创建路由服务器
完成本部分中的步骤以创建路由服务器。
路由服务器组件使用转发信息库(FIB)中的 IPv4 或 IPv6 路由更新您的 VPC 和互联网网关路由表。路由服务器代表单个 FIB 和路由信息库(RIB)。
------
#### [ AWS Management Console ]
**创建路由服务器**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中的**虚拟私有云**下,选择**路由服务器**。
1. 在**路由服务器**页面上,选择**创建路由服务器**。
1. 在**创建路由服务器**页面上,配置以下设置:
+ 对于**名称**,输入路由服务器的名称(例如,"my-route-server-01")。名称长度不得超过 255 个字符。
+ 对于 **Amazon 端 ASN**,输入 BGP ASN 值。该值必须在 1 到 4294967295 的范围内。建议使用 64512 到 65534(16 位 ASN)或 4200000000 到 4294967294(32 位 ASN)范围内的专用 ASN。
+ 对于**保留路由**,请选择**启用**或**禁用**。此选项决定在所有 BGP 会话终止后是否应保留路由:
+ 如果启用:即使所有 BGP 会话均已结束,路由仍将保留在路由服务器的路由数据库中
+ 如果禁用:所有 BGP 会话结束后,路由将从路由数据库中删除
+ 如果您启用了保留路由,请在**保留持续时间**中输入一个介于 1 到 5 分钟之间的值。此持续时间指定路由服务器在重新建立 BGP 后要等待多长时间才能取消保留路由。例如,如果您将其设置为 1 分钟,则在重新建立 BGP 后,您的设备有 1 分钟的时间来重新学习和通告其路由,然后路由服务器将恢复正常功能。虽然 1 分钟通常就足够了,但如果您的 BGP 网络需要更多时间来完全重新建立和重新学习所有路由,则可以设置最多 5 分钟。
+ (可选)要启用 BGP 状态更改的 SNS 通知,请切换**启用 SNS 通知**开关。启用 SNS 通知功能后,路由服务器对等上的 BGP 或 BFD 会话状态更改,以及路由服务器端点的维护通知,都将保留到 AWS 预置的 SNS 主题。有关这些通知的详细信息,请参阅下方的 **SNS 通知详细信息**表。
1. (可选)要向您的路由服务器添加标签,请向下滚动到**标签 - 可选**部分,然后选择**添加新标签**。输入每个标签的键和可选值。最多可以添加 50 个标签。
1. 检查您的设置,然后选择**创建路由服务器**。
1. 等待创建路由服务器。完成后,您将重定向到**路由服务器**页面,在此可以看到列出的新路由服务器,其状态为*可用*。
------
#### [ Command line ]
使用以下步骤创建新的路由服务器,以管理 VPC 中的动态路由。
对于 `--amazon-side-asn`,输入 BGP ASN 值。该值必须在 1 到 4294967295 的范围内。建议使用 64512 到 65534(16 位 ASN)或 4200000000 到 4294967294(32 位 ASN)范围内的专用 ASN。
1. 命令:
```
aws ec2 create-route-server --amazon-side-asn 65000
```
响应:
```
{
"RouteServer": {
"RouteServerId": "rs-1",
"AmazonSideAsn": 65000,
"State": "pending"
}
}
```
1. 等待路由服务器变为可用。
命令:
```
aws ec2 describe-route-servers
```
响应:
```
{
"RouteServer": {
"RouteServerId": "rs-1",
"AmazonSideAsn": 65000,
"State": "available"
}
}
```
------
**SNS 通知详细信息**
下表显示 Amazon VPC Route Server 将使用 Amazon SNS 发送的消息的详细信息:
| 标准字段 | | 消息属性(元数据) | | | |
| --- | --- | --- | --- | --- | --- |
| Message | 何时发送 | timestamp | eventCode | routeServerEndpointId | affectedRouteServerPeerIds |
| 路由服务器端点 [ENDPOINT ID] 现在正在进行维护。BFD 和 BGP 会话可能会受到影响。 | 路由服务器端点维护 | 格式:2025-02-17T15:55:00Z | ROUTE\$1SERVER\$1ENDPOINT\$1MAINTENANCE | 受影响的端点 ID | 受影响的对等 ID 列表 |
| Message | 何时发送 | timestamp | eventCode | routeServerPeerId | newBgpStatus |
| 路由服务器对等 [PEER ID] 的 BGP 现在处于 [UP/DOWN] 状态。 | 路由服务器对等 BGP 状态更改 | 格式:2025-02-17T15:55:00Z | ROUTE\$1SERVER\$1PEER\$1BGP\$1STATUS\$1CHANGE | 受影响的对等 ID | 运行或停机 |
| Message | 何时发送 | timestamp | eventCode | routeServerPeerId | newBfdStatus |
| 路由服务器对等 [PEER ID] 的 BFD 现在处于 [UP/DOWN] 状态。 | 路由服务器对等 BFD 状态更改 | 格式:2025-02-17T15:55:00Z | ROUTE\$1SERVER\$1PEER\$1BFD\$1STATUS\$1CHANGE | 受影响的对等 ID | 运行或停机 |
# 步骤 3:将路由服务器与 VPC 关联
完成本部分中的步骤将路由服务器与 VPC 关联。
路由服务器关联是在路由服务器与 VPC 之间建立的连接。这是一个基本配置步骤,使路由服务器能够与 VPC 中的设备协同工作。
创建路由服务器关联时:
+ 其将路由服务器关联到特定的 VPC。
+ 其使路由服务器能够与 VPC 子网内的路由表进行交互。
+ 其允许路由服务器在关联的 VPC 内接收和传播路由。
+ 其确定路由服务器可以运行的范围。
路由服务器关联的关键方面:
+ 每个路由服务器可以与一个 VPC 关联。默认情况下,每个 VPC 最多可以有 5 个独立的路由服务器关联。有关限额的更多信息,请参阅[路由服务器限额](amazon-vpc-limits.md#vpc-limits-route-servers)。
+ 必须先创建关联,然后路由服务器才能管理路由。
+ 可以监控关联以追踪其状态(例如正在关联和已关联)。
+ 如果您不再希望路由服务器在该 VPC 中运行,则可以移除关联(取消关联)。
------
#### [ AWS Management Console ]
**将路由服务器与 VPC 关联**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中的**虚拟私有云**下,选择**路由服务器**。
1. 选择要与 VPC 关联的路由服务器。
1. 在**关联选项卡**上,选择**关联路由服务器**。
1. 在“关联路由服务器”对话框中:
+ **路由服务器 ID** 字段将自动填充您选择的路由服务器
+ 对于 **VPC ID**,从下拉列表中选择要关联的 VPC
1. 选择**关联路由服务器**。
1. 等待关联完成。完成后,该**状态**将在**关联**选项卡上显示为*已关联*。
------
#### [ Command line ]
使用以下步骤将路由服务器与 VPC 关联。
1. 命令:
```
aws ec2 associate-route-server --route-server-id rs-1 --vpc-id vpc-1
```
响应:
```
{
"RouteServerAssociation": {
"RouteServerId": "rs-1",
"VpcId": "vpc-1",
"State": "associating"
}
}
```
1. 等待关联完成。
命令:
```
aws ec2 get-route-server-associations --route-server-id rs-1
```
响应:
```
{
"RouteServerAssociation": {
"RouteServerId": "rs-1",
"VpcId": "vpc-1",
"State": "associated"
}
}
```
------
# 步骤 4:创建路由服务器端点
完成本部分中的步骤,以创建路由服务器端点。为每个子网创建两个端点以实现冗余。
路由服务器端点是子网内的 AWS 托管组件,可促进路由服务器与 BGP 对等之间的 [BGP(边界网关协议)](https://en.wikipedia.org/wiki/Border_Gateway_Protocol)连接。
路由服务器端点是网络设备与路由服务器建立 BGP 会话的“接触点”。它们是实际处理 BGP 连接的组件,而路由服务器本身则管理路由决策和路由传播。
**注意**
路由服务器端点的费用为每小时 0.75 美元。
------
#### [ AWS Management Console ]
**创建路由服务器端点**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中的**虚拟私有云**下,选择**路由服务器**。
1. 选择要为其创建端点的路由服务器。
1. 在下方窗格中,选择**路由服务器端点**选项卡。
1. 选择**创建路由服务器端点**。
1. 在**创建路由服务器端点**页面上,配置以下设置:
+ 对于**名称**,为您的端点输入一个描述性名称。
+ 对于**路由服务器**,请确认已选择正确的路由服务器。
+ 对于**子网**,选择您要在其中创建端点的子网。
1. (可选)要向您的路由服务器端点添加标签,请向下滚动到**标签 - 可选**部分,然后选择**添加新标签**。输入每个标签的键和可选值。
1. 检查您的设置,然后选择**创建路由服务器端点**。
1. 等待创建端点。完成后,您将看到一条成功消息。
1. 重复步骤 5 到 9,使用不同的名称在同一子网中创建第二个端点。
1. 对需要路由服务器端点的每个子网重复步骤 5 到 10。
1. 创建端点后,返回路由服务器的**路由服务器端点**选项卡。
1. 确认您看到每个子网列出两个端点。
1. 检查每个端点的**状态**是否为*可用*。
------
#### [ Command line ]
使用以下步骤创建路由服务器端点。
1. 命令:
```
aws ec2 create-route-server-endpoint --route-server-id rs-1 --subnet-id subnet-1
```
响应:
```
{
"RouteServerEndpoint": {
"RouteServerId": "rs-1",
"RouteServerEndpointId": "rse-1",
"VpcId": "vpc-1",
"SubnetId": "subnet-1",
"State": "pending"
}
}
```
1. 创建后可能需要等待几分钟,端点才会变为完全可用。
命令:
```
aws ec2 describe-route-server-endpoints
```
响应:
```
{
"RouteServerEndpoint": {
"RouteServerId": "rs-1",
"RouteServerEndpointId": "rse-1",
"VpcId": "vpc-1",
"SubnetId": "subnet-1",
"EniId": "eni-123",
"EniAddress": "10.1.2.3",
"State": "available"
}
}
```
重复上述步骤,在同一子网中使用不同的名称创建第二个端点,为需要路由服务器端点的每个子网创建端点。
------
# 步骤 5:启用路由服务器传播
完成此步骤以启用路由服务器传播。
启用后,路由服务器传播会将路由安装到指定路由表的 FIB 中。路由服务器支持 IPv4 和 IPv6 路由传播。
路由服务器传播是自动更新路由表的机制:路由服务器无需手动更新路由表,而是使用来自 FIB 的路由自动将适当的路由传播到已配置的路由表。
路由服务器传播的关键方面:
+ 配置
+ 将路由服务器关联到特定的路由表
+ 确定哪些路由表将接收动态路由更新
+ 可以为每个路由表启用或禁用
+ 功能
+ 使用从 BGP 对等获知的路由自动更新路由表
+ 根据 BGP 属性传播最佳可用路由
+ 保持指定路由表间的路由一致性
+ 网络条件发生变化时动态更新路由
+ 状态
+ 可以启用(路由正在传播)
+ 可以禁用(路由未进行传播)
------
#### [ AWS Management Console ]
**启用路由服务器传播**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 选择要为其启用传播的路由服务器。
1. 在路由服务器详细信息面板中选择**传播**选项卡。
1. 选择**启用传播**。
1. 在**启用传播**对话框中:
+ **路由服务器 ID** 将预先填充。
+ 在**路由表**下,从新传播路由的下拉菜单中选择目标路由表。
1. 选择**启用传播**进行确认。
1. 等待**传播**列表中的传播状态更改为“可用”。
1. 验证所选路由表是否显示在**传播**列表中,状态为*可用*。
------
#### [ Command line ]
使用以下步骤启用路由服务器传播。
1. 命令:
```
aws ec2 enable-route-server-propagation --route-table-id rtb-1 --route-server-id rs-1
```
响应:
```
{
"RouteServerRoutePropagation": {
"RouteServerId": "rs-1",
"RouteTableId": "rtb-1",
"State": "pending"
}
}
```
1. 等待传播状态变为可用。
命令:
```
aws ec2 get-route-server-propagations --route-server-id rs-1
```
响应:
```
{
"RouteServerRoutePropagation": {
"RouteServerId": "rs-1",
"RouteTableId": "rtb-1",
"State": "available"
}
}
```
------
# 步骤 6:创建路由服务器对等
路由服务器对等是路由服务器端点与部署在 AWS 中的设备(例如在 EC2 实例上运行的防火墙设备或其他网络安全功能)之间的会话。设备必须满足以下要求:
+ 在 VPC 中有弹性网络接口
+ 支持 BGP(边界网关协议)
+ 可以启动 BGP 会话
**注意**
建议您为每个路由服务器端点创建一个路由服务器对等以实现冗余。
------
#### [ AWS Management Console ]
**创建路由服务器对等**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航路径中,选择 **VPC** > **路由服务器对等** > **创建路由服务器对等**。
1. 在**详细信息**下,配置以下各项:
+ **名称**:输入路由服务器对等的名称(最多 255 个字符)。例如:my-route-server-peer-01
+ **路由服务器端点 ID**:从下拉列表中选择路由服务器端点。或者,选择**创建路由服务器端点**来创建新端点。
+ **对等地址**:输入对等的 IPv4 地址。必须是有效的 IP 地址。对等地址必须能够从路由服务器端点访问。
+ **对等 ASN**:输入 BGP 对等的 ASN(自治系统编号)。值必须在 1 到 4294967295 的范围内。ASN 通常应使用专用范围(16 位为 64512 到 65534,32 位为 4200000000 到 4294967294)
+ **对等活跃度检测**:
+ **BGP 保持活跃**(默认):标准 BGP 保持活动状态机制
+ **BFD**:双向转发检测,可实现更快的失效转移
+ (可选)在**标签**下,选择**添加新标签**以添加键值对标签。标签有助于标识和追踪 AWS 资源。
1. 检查您的设置,然后选择**创建路由服务器对等**。
------
#### [ Command line ]
使用以下步骤创建路由服务器对等。
1. 命令:
```
aws ec2 create-route-server-peer --route-server-endpoint-id rse-1 --peer-address 10.0.2.3 --bgp-options PeerAsn=65001,PeerLivenessDetection=bfd
```
响应:
在响应中,状态值可以是 `pending|available|deleting|deleted`。
```
{
"RouteServerPeer": {
"RouteServerPeerId": "rsp-1",
"RouteServerId": "rs-1",
"VpcId": "vpc-1",
"SubnetId": "subnet-1",
"State": "pending",
"EndpointEniId": "eni-2,
"EndpointEniAddress": "10.0.2.4",
"PeerEniId": "eni-1",
"PeerAddress": "10.0.2.3",
"BgpOptions": {
"PeerAsn": 65001,
"PeerLivenessDetection": "bfd"
},
"BgpStatus": {
"Status": "Up"
}
}
}
```
1. 等待传播状态变为可用。
命令:
```
aws ec2 describe-route-server-peers
```
响应:
```
{
"RouteServerPeer": {
"RouteServerPeerId": "rsp-1",
"RouteServerId": "rs-1",
"VpcId": "vpc-1",
"SubnetId": "subnet-1",
"State": "available",
"EndpointEniId": "eni-2,
"EndpointEniAddress": "10.0.2.4",
"PeerEniId": "eni-1",
"PeerAddress": "10.0.2.3",
"BgpOptions": {
"PeerAsn": 65001,
"PeerLivenessDetection": "bfd"
},
"BgpStatus": {
"Status": "down"
}
}
}
```
------
# 步骤 7:从设备启动 BGP 会话
当路由服务器对等的状态为可用时,请配置您的工作负载以启动与路由服务器端点的 BGP 会话。
从子网中的设备启动 BGP 会话不在本指南的讨论范围内。路由服务器端点不启动 BGP 会话。
您可以通过验证路由表中是否包含路由服务器传播的最佳路由,来检查 VPC Route Server 功能是否正常运行。
# 步骤 8:清除
本教程的构建部分已完成。完成本部分中的步骤,以删除您创建的 VPC Route Server 组件。
**7.1:撤销设备上的 BGP 通告**
撤销子网中设备上的 BGP 通告不在本指南的讨论范围内。如有必要,请向第三方供应商咨询您的 BGP 配置。
**7.2:禁用路由服务器传播**
使用以下步骤禁用路由服务器传播。
------
#### [ AWS Management Console ]
****
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 选择要为其禁用传播的路由服务器。
1. 选择**操作 > 修改路由服务器**。
1. 在路由服务器详细信息面板中选择**传播**选项卡。
1. 选择要禁用的传播,然后选择**禁用传播**。
1. 在对话框中,选择**禁用路由服务器传播**。
------
#### [ Command line ]
1. 禁用传播:
```
aws ec2 disable-route-server-route-propagation --route-table-id rtb-1 --route-server-id rs-1
```
1. 确认传播已删除:
```
aws ec2 get-route-server-route-propagations --route-server-id rs-1 [--route-table-id rtb-1]
```
------
**7.3:删除路由服务器对等**
使用以下步骤删除路由服务器对等。
------
#### [ AWS Management Console ]
****
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航路径中,选择**路由服务器** > **路由服务器对等**。
1. 选择路由服务器对等。
1. 选择**操作** > **删除路由服务器对等**。
------
#### [ Command line ]
1. 删除对等:
```
aws ec2 delete-route-server-peer --route-server-peer-id rsp-1
```
1. 确认删除操作:
```
aws ec2 describe-route-server-peers [--route-server-peer-ids rsp-1] [--filters Key=RouteServerId|RouteServerEndpointId|VpcId]
```
------
**7.4:删除路由服务器端点**
使用以下步骤删除路由服务器端点。
------
#### [ AWS Management Console ]
****
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 选择要删除端点的路由服务器。
1. 选择**路由服务器端点**。
1. 选择端点,然后选择**操作** > **删除路由服务器端点**。
1. 输入删除并选择**删除**。
------
#### [ Command line ]
1. 描述端点:
```
aws ec2 describe-route-server-endpoints
```
1. 删除路由服务器端点:
```
aws ec2 delete-route-server-endpoint --route-server-endpoint-id rse-1
```
1. 确认已删除端点:
```
aws ec2 describe-route-server-endpoints [--route-server-endpoint-ids rsp-1] [--filters Key=RouteServerId|VpcId|SubnetId]
```
------
**7.5:取消路由服务器与 VPC 的关联**
使用以下步骤取消路由服务器与 VPC 的关联。
------
#### [ AWS Management Console ]
****
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 选择要取消关联的路由服务器。
1. 选择**关联**。
1. 选择**取消关联路由服务器**。
1. 确认将要进行的更改,然后选择**取消关联路由服务器**。
------
#### [ Command line ]
1. 取消路由服务器与 VPC 的关联:
```
aws ec2 disassociate-route-server --route-server-id rs-1 --vpc-id vpc-1
```
1. 确认取消关联:
```
aws ec2 get-route-server-associations --route-server-id rs-1
```
------
**7.6 删除路由服务器**
使用以下步骤删除路由服务器。
------
#### [ AWS Management Console ]
****
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 选择要删除的路由服务器。
1. 选择**操作** > **删除路由服务器**。
1. 输入*删除*并选择**删除**。
------
#### [ Command line ]
1. 删除路由服务器:
```
aws ec2 delete-route-server --route-server-id rs-1
```
1. 确认删除操作:
```
aws ec2 describe-route-servers [--route-server-ids rs-1] [--filters Key=VpcId]
```
------
Amazon VPC Route Server 教程已完成。