Una red de nube privada virtual (VPC) que usa el perfil de red de acceso directo a la memoria remoto (RDMA) a través de Ethernet convergida (RoCE) se denomina red de VPC de RoCE. En esta página, se muestra cómo crear una red de VPC de RoCE y configurar reglas de firewall que se apliquen a la red. Antes de comenzar, revisa la siguiente información:
Dado que las reglas de una política de firewall de red regional que usa una red de VPC de RoCE dependen en gran medida de las etiquetas seguras de destino y las etiquetas seguras de origen, asegúrate de saber cómo crear y administrar etiquetas seguras y vincular etiquetas seguras a las instancias de VM.
En esta sección, se describe cómo realizar las siguientes tareas:
- Crea una red de VPC de RoCE
- Crea una política de firewall de red regional que funcione con la red de VPC de RoCE
- Crea reglas en la política de firewall de red regional
- Asocia la política de firewall de red regional con la red de VPC de RoCE
Antes de comenzar
Asegúrate de revisar las funciones compatibles y no compatibles en las redes de VPC con el perfil de red RDMA. Si intentas configurar funciones no compatibles, Trusted Cloud devuelve un error.
Crea una red con el perfil de red de RDMA
Para crear una red de VPC con el perfil de red de RDMA, haz lo siguiente.
Console
En la consola de Trusted Cloud , ve a la página Redes de VPC.
Haz clic en Crear red de VPC.
En el campo Nombre, ingresa un nombre para la red.
En el campo Unidad de transmisión máxima (MTU), selecciona
8896.Selecciona Configurar el perfil de red y haz lo siguiente:
- En el campo Zona, selecciona la zona del perfil de red que deseas usar. La red de VPC que creas está restringida a esta zona, lo que significa que solo puedes crear recursos en la red en esta zona.
- Selecciona el perfil de red de RDMA para la zona que seleccionaste anteriormente, como
europe-west1-b-vpc-roce. - Para ver el conjunto de funciones compatibles con el perfil de red que seleccionaste, haz clic en Obtener vista previa de las funciones del perfil de la red.
En la sección Subred nueva, especifica los siguientes parámetros de configuración para una subred:
- En el campo Nombre, ingresa un nombre para la subred.
- En el campo Región, selecciona la región en la que deseas crear la
subred. Esta región debe corresponder a la zona del perfil de
red que configuraste. Por ejemplo, si configuraste el
perfil de red para
europe-west1-b, debes crear la subred eneurope-west1. Ingresa un rango IPv4. Este es el rango IPv4 principal de la subred.
Si seleccionas un rango que no es una dirección RFC 1918, confirma que el rango no entre en conflicto con una configuración existente. Para obtener más información, consulta Rangos de subredes IPv4.
Haz clic en Listo.
Para agregar más subredes, haz clic en Agregar subred y repite los pasos anteriores. También puedes agregar más subredes a la red después de haberla creado.
Haz clic en Crear.
gcloud
Para crear la red, usa el comando
gcloud compute networks createy especifica la marca--network-profile.gcloud compute networks create NETWORK \ --subnet-mode=custom \ --network-profile=NETWORK_PROFILEReemplaza lo siguiente:
NETWORK: es un nombre para la red de VPCNETWORK_PROFILE: Es el nombre específico de la zona del perfil de red, comoeurope-west1-b-vpc-roce.El perfil de red de RDMA no está disponible en todas las zonas. Para ver las instancias específicas de la zona del perfil de red que están disponibles, sigue las instrucciones para enumerar los perfiles de red.
Para agregar subredes, usa el comando
gcloud compute networks subnets create.gcloud compute networks subnets create SUBNET \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONReemplaza lo siguiente:
SUBNET: Es un nombre para la subred nueva.NETWORK: Es el nombre de la red de VPC que contiene la subred nueva.PRIMARY_RANGE: Es el rango IPv4 principal para la subred nueva, en notación CIDR. Para obtener más información, consulta Rangos de subredes IPv4.REGION: es la región Trusted Cloud en la que se crea la subred nueva. Debe corresponder a la zona del perfil de red que configuraste. Por ejemplo, si configuraste el perfil de red en la zonaeurope-west1-bcon el perfil de red llamadoeurope-west1-b-vpc-roce, debes crear la subred en la regióneurope-west1.
API
Para crear la red, realiza una solicitud
POSTal métodonetworks.inserty especifica la propiedadnetworkProfile.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks { "autoCreateSubnetworks": false, "name": "NETWORK", "networkProfile": "NETWORK_PROFILE" }Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto en el que se crea la red de VPC.NETWORK: es un nombre para la red de VPCNETWORK_PROFILE: Es el nombre específico de la zona del perfil de red, comoeurope-west1-b-vpc-roce.El perfil de red de RDMA no está disponible en todas las zonas. Para ver las instancias específicas de la zona del perfil de red que están disponibles, sigue las instrucciones para enumerar los perfiles de red.
Para agregar subredes, realiza una solicitud
POSTal métodosubnetworks.insert.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks { "ipCidrRange": "IP_RANGE", "network": "NETWORK_URL", "name": "SUBNET" }Reemplaza lo siguiente:
PROJECT_IDes el ID del proyecto que contiene la red de VPC que deseas modificar.REGION: es el nombre de la región Trusted Cloud en la que se agrega la subred. Esta región debe corresponder a la zona del perfil de red que configuraste. Por ejemplo, si configuraste el perfil de red en la zonaeurope-west1-bcon el perfil de red llamadoeurope-west1-b-vpc-roce, debes crear la subred en la regióneurope-west1.IP_RANGE: Es el rango principal de direcciones IPv4 de la subred. Para obtener más información, consulta Rangos de subredes IPv4.NETWORK_URL: Es la URL de la red de VPC a la que agregas la subred.SUBNET: un nombre de la subred
Crea una política de firewall de red regional
Las redes de VPC de RoCE solo admiten políticas de firewall de red regionales que tienen un tipo de política de RDMA_ROCE_POLICY.
gcloud
Para crear una política de firewall de red regional para una red de VPC de RoCE, usa el comando gcloud beta compute network-firewall-policies create:
gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
--region REGION \
--policy-type=RDMA_ROCE_POLICY
Reemplaza lo siguiente:
FIREWALL_POLICY: Es un nombre para la política de firewall de red.REGION: es una región que deseas aplicar a la política. La región debe contener la zona del perfil de red de RoCE que usa la red de VPC de RoCE.
Crea reglas en la política de firewall de red regional
Las políticas de firewall de red regionales que tienen un tipo de política de RDMA_ROCE_POLICY solo admiten reglas de entrada y tienen restricciones en las marcas de configuración válidas de origen, acción y capa 4. Para obtener más información, consulta Especificaciones.
gcloud
Para crear una regla de entrada que use la marca --src-ip-ranges=0.0.0.0/0 y se aplique a todas las interfaces de red en la red de VPC de RoCE, usa el comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ACTION \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-ip-ranges=0.0.0.0/0
Para crear una regla de entrada que use una etiqueta segura de origen y se aplique a interfaces de red específicas de VMs con un valor de etiqueta segura asociado, usa el comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ALLOW \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
--target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]
Reemplaza lo siguiente:
PRIORITY: La prioridad de la reglaACTION: Es la acción en caso de coincidencia de la regla.- Si usas
--src-ip-ranges=0.0.0.0/0, puedes usarALLOWoDENY. - Si usas
--src-secure-tag, solo puedes usarALLOW.
- Si usas
FIREWALL_POLICY_NAME: Es el nombre de la política de firewall de red regional en la que se crea la regla.FIREWALL_POLICY_REGION: Es la región que usa la política de firewall de red regional en la que se crea la regla.SRC_SECURE_TAG: Define el parámetro de origen de la regla de ingreso con una lista de valores de etiquetas seguras separados por comas. Para obtener más información, consulta Etiquetas seguras para firewalls.TARGET_SECURE_TAG: Define el parámetro de segmentación de la regla con una lista de valores de etiquetas seguras separados por comas. Para obtener más información, consulta Etiquetas seguras para firewalls.
Asocia la política de firewall de red regional con una red de VPC de RoCE
Asocia la política de firewall de red regional con tu red de VPC de RoCE. Esto garantiza que las reglas de la política se apliquen a las interfaces de red MRDMA dentro de esa red.
gcloud
Para asociar una política de firewall de red regional con una red de VPC de RoCE, usa el comando gcloud compute network-firewall-policies associations create:
gcloud compute network-firewall-policies associations create \
--firewall-policy FIREWALL_POLICY \
--network NETWORK \
--firewall-policy-region FIREWALL_POLICY_REGION
Reemplaza lo siguiente:
FIREWALL_POLICY: Es el nombre de la política de firewall de red regional.La política de firewall de red regional debe tener un tipo de política
RDMA_ROCE_POLICY.NETWORK: Es el nombre de la red de VPC de RoCE.FIREWALL_POLICY_REGION: Es la región de la política de firewall.La región debe contener la zona del perfil de red de RoCE que usa la red de VPC de RoCE.