Un réseau cloud privé virtuel (VPC) qui utilise le profil réseau Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE) est appelé réseau VPC RoCE. Cette page vous explique comment créer un réseau VPC RoCE et configurer les règles de pare-feu qui s'appliquent au réseau. Avant de commencer, consultez les informations suivantes :
Étant donné que les règles d'une stratégie de pare-feu de réseau régional utilisée par un réseau VPC RoCE reposent fortement sur les tags sécurisés cibles et les tags sécurisés sources, assurez-vous de savoir comment créer et gérer des tags sécurisés et associer des tags sécurisés aux instances de VM.
Cette section explique comment effectuer les tâches suivantes :
- Créer un réseau VPC RoCE
- Créer une stratégie de pare-feu réseau régionale compatible avec le réseau VPC RoCE
- Créer des règles dans la stratégie de pare-feu réseau régionale
- Associer la stratégie de pare-feu réseau régionale au réseau VPC RoCE
Avant de commencer
Assurez-vous de consulter les fonctionnalités compatibles et non compatibles dans les réseaux VPC avec le profil réseau RDMA. Si vous essayez de configurer des fonctionnalités non compatibles, Trusted Cloud renvoie une erreur.
Créer un réseau avec le profil réseau RDMA
Pour créer un réseau VPC avec le profil réseau RDMA, procédez comme suit.
Console
Dans la console Trusted Cloud , accédez à la page Réseaux VPC.
Cliquez sur Créer un réseau VPC.
Dans le champ Nom, saisissez un nom pour le réseau.
Dans le champ Unité de transmission maximale (MTU), sélectionnez
8896.Sélectionnez Configurer le profil réseau et procédez comme suit :
- Dans le champ Zone, sélectionnez la zone du profil réseau que vous souhaitez utiliser. Le réseau VPC que vous créez est limité à cette zone, ce qui signifie que vous ne pouvez créer des ressources dans le réseau que dans cette zone.
- Sélectionnez le profil réseau RDMA pour la zone que vous avez sélectionnée précédemment, par exemple
europe-west1-b-vpc-roce. - Pour afficher l'ensemble des fonctionnalités compatibles avec le profil réseau que vous avez sélectionné, cliquez sur Prévisualiser les caractéristiques du profil réseau.
Dans la section Nouveau sous-réseau, spécifiez les paramètres de configuration de sous-réseau suivants :
- Dans le champ Nom, saisissez un nom pour le sous-réseau.
- Dans le champ Région, sélectionnez la région dans laquelle créer le sous-réseau. Cette région doit correspondre à la zone du profil réseau que vous avez configuré. Par exemple, si vous avez configuré le profil réseau pour
europe-west1-b, vous devez créer le sous-réseau danseurope-west1. Saisissez une plage IPv4. Cette plage correspond à la plage d'adresses IPv4 principale du sous-réseau.
Si vous sélectionnez une plage qui n'est pas une adresse RFC 1918, vérifiez qu'elle n'entre pas en conflit avec une configuration existante. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4.
Cliquez sur OK.
Pour ajouter d'autres sous-réseaux, cliquez sur Ajouter un sous-réseau et répétez les étapes ci-dessus. Vous pouvez également ajouter d'autres sous-réseaux au réseau après sa création.
Cliquez sur Créer.
gcloud
Pour créer le réseau, utilisez la commande
gcloud compute networks createet spécifiez l'option--network-profile.gcloud compute networks create NETWORK \ --subnet-mode=custom \ --network-profile=NETWORK_PROFILERemplacez les éléments suivants :
NETWORK: nom du réseau VPC.NETWORK_PROFILE: nom du profil réseau spécifique à la zone, tel queeurope-west1-b-vpc-roceLe profil réseau RDMA n'est pas disponible dans toutes les zones. Pour afficher les instances spécifiques à une zone du profil réseau disponibles, suivez les instructions pour lister les profils réseau.
Pour ajouter des sous-réseaux, utilisez la commande
gcloud compute networks subnets create.gcloud compute networks subnets create SUBNET \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONRemplacez les éléments suivants :
SUBNET: nom du nouveau sous-réseauNETWORK: nom du réseau VPC contenant le nouveau sous-réseauPRIMARY_RANGE: plage d'adresses IPv4 principales pour le nouveau sous-réseau, au format CIDR. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4.REGION: Trusted Cloud région dans laquelle le nouveau sous-réseau est créé. Elle doit correspondre à la zone du profil réseau que vous avez configuré. Par exemple, si vous avez configuré le profil réseau dans la zoneeurope-west1-bà l'aide du profil réseau nomméeurope-west1-b-vpc-roce, vous devez créer le sous-réseau dans la régioneurope-west1.
API
Pour créer le réseau, envoyez une requête
POSTà la méthodenetworks.insertet spécifiez la propriéténetworkProfile.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks { "autoCreateSubnetworks": false, "name": "NETWORK", "networkProfile": "NETWORK_PROFILE" }Remplacez les éléments suivants :
PROJECT_ID: ID du projet dans lequel le réseau VPC est créé.NETWORK: nom du réseau VPC.NETWORK_PROFILE: nom du profil réseau spécifique à la zone, tel queeurope-west1-b-vpc-roceLe profil réseau RDMA n'est pas disponible dans toutes les zones. Pour afficher les instances spécifiques à une zone du profil réseau disponibles, suivez les instructions pour lister les profils réseau.
Pour ajouter des sous-réseaux, envoyez une requête
POSTà la méthodesubnetworks.insert.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks { "ipCidrRange": "IP_RANGE", "network": "NETWORK_URL", "name": "SUBNET" }Remplacez les éléments suivants :
PROJECT_ID: ID du projet qui contient le réseau VPC à modifier.REGION: nom de la région Trusted Cloud dans laquelle le sous-réseau est ajouté. Cette région doit correspondre à la zone du profil réseau que vous avez configuré. Par exemple, si vous avez configuré le profil réseau dans la zoneeurope-west1-bà l'aide du profil réseau nomméeurope-west1-b-vpc-roce, vous devez créer le sous-réseau dans la régioneurope-west1.IP_RANGEcorrespond à la plage d'adresses IPv4 principale du sous-réseau. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4.NETWORK_URL: URL du réseau VPC sur lequel vous ajoutez le sous-réseau.SUBNET: nom du sous-réseau
Créer une stratégie de pare-feu réseau régionales
Les réseaux VPC RoCE n'acceptent que les stratégies de pare-feu réseau régionales dont le type de stratégie est RDMA_ROCE_POLICY.
gcloud
Pour créer une stratégie de pare-feu réseau régionale pour un réseau VPC RoCE, utilisez la commande gcloud beta compute network-firewall-policies create :
gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
--region REGION \
--policy-type=RDMA_ROCE_POLICY
Remplacez les éléments suivants :
FIREWALL_POLICY: nom de la stratégie de pare-feu réseauREGION: la région que vous souhaitez appliquer à la stratégie. La région doit contenir la zone du profil réseau RoCE utilisé par le réseau VPC RoCE.
Créer des règles dans la stratégie de pare-feu réseau régionale
Les stratégies de pare-feu réseau régionales dont le type de stratégie est RDMA_ROCE_POLICY ne sont compatibles qu'avec les règles d'entrée et comportent des contraintes sur les indicateurs de configuration de la source, de l'action et de la couche 4 valides. Pour en savoir plus, consultez la section Spécifications.
gcloud
Pour créer une règle d'entrée qui utilise l'option --src-ip-ranges=0.0.0.0/0 et s'applique à toutes les interfaces réseau du réseau VPC RoCE, utilisez la commande gcloud compute network-firewall-policies rules create :
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ACTION \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-ip-ranges=0.0.0.0/0
Pour créer une règle d'entrée qui utilise un tag sécurisé source et s'applique à des interfaces réseau spécifiques de VM avec une valeur de tag sécurisé associée, utilisez la commande gcloud compute network-firewall-policies rules create :
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ALLOW \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
--target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]
Remplacez les éléments suivants :
PRIORITY: priorité de la règleACTION: action en cas de correspondance de la règle- Si vous utilisez
--src-ip-ranges=0.0.0.0/0, vous pouvez utiliserALLOWouDENY. - Si vous utilisez
--src-secure-tag, vous ne pouvez utiliser queALLOW.
- Si vous utilisez
FIREWALL_POLICY_NAME: nom de la stratégie de pare-feu de réseau régionale dans laquelle la règle est créée.FIREWALL_POLICY_REGION: région utilisée par la stratégie de pare-feu réseau régionale dans laquelle la règle est créée.SRC_SECURE_TAG: définit le paramètre source de la règle d'entrée à l'aide d'une liste de valeurs de tags sécurisés séparées par une virgule. Pour en savoir plus, consultez Tags sécurisés pour les pare-feu.TARGET_SECURE_TAG: définit le paramètre target de la règle à l'aide d'une liste de valeurs de tags sécurisés séparées par une virgule. Pour en savoir plus, consultez Tags sécurisés pour les pare-feu.
Associer la stratégie de pare-feu réseau régionale à un réseau VPC RoCE
Associez la stratégie de pare-feu réseau régionale à votre réseau VPC RoCE. Cela garantit que les règles de la stratégie s'appliquent aux interfaces réseau MRDMA de ce réseau.
gcloud
Pour associer une stratégie de pare-feu réseau régionale à un réseau VPC RoCE, utilisez la commande gcloud compute network-firewall-policies associations create :
gcloud compute network-firewall-policies associations create \
--firewall-policy FIREWALL_POLICY \
--network NETWORK \
--firewall-policy-region FIREWALL_POLICY_REGION
Remplacez les éléments suivants :
FIREWALL_POLICY: nom de la stratégie de pare-feu réseau régionaleLe type de stratégie de pare-feu réseau régionale doit être
RDMA_ROCE_POLICY.NETWORK: nom du réseau VPC RoCE.FIREWALL_POLICY_REGION: région de la stratégie de pare-feuLa région doit contenir la zone du profil réseau RoCE utilisé par le réseau VPC RoCE.