Membuat dan mengelola aturan firewall untuk jaringan VPC RoCE

Konsol

1. Di Trusted Cloud konsol, buka halaman VPC networks.

   Buka jaringan VPC

2. Klik Create VPC network.

3. Di kolom Name, masukkan nama untuk jaringan.

4. Di kolom Maximum transmission unit (MTU), pilih 8896.

5. Pilih Konfigurasi profil jaringan, lalu lakukan hal berikut:

   1. Di kolom Zone, pilih zona profil jaringan yang ingin Anda gunakan. Jaringan VPC yang Anda buat dibatasi pada zona ini, yang berarti Anda hanya dapat membuat resource di jaringan dalam zona ini.
   2. Pilih profil jaringan RDMA untuk zona yang Anda pilih sebelumnya, seperti europe-west1-b-vpc-roce.
   3. Untuk melihat kumpulan fitur yang didukung untuk profil jaringan yang Anda pilih, klik Pratinjau fitur profil jaringan.

6. Di bagian New subnet tentukan parameter konfigurasi berikut untuk subnet:

   1. Di kolom Name, masukkan nama subnet.
   2. Di kolom Region, pilih region tempat Anda ingin membuat subnet. Region ini harus sesuai dengan zona profil jaringan yang Anda konfigurasi. Misalnya, jika Anda mengonfigurasi profil jaringan untuk europe-west1-b, Anda harus membuat subnet di europe-west1.

   3. Masukkan rentang IPv4. Rentang ini adalah rentang IPv4 utama untuk subnet.

      Jika Anda memilih rentang yang bukan merupakan alamat RFC 1918, pastikan rentang tersebut tidak bertentangan dengan konfigurasi yang ada. Untuk informasi selengkapnya, lihat Rentang subnet IPv4.

   4. Klik Selesai.

7. Untuk menambahkan lebih banyak subnet, klik Add subnet dan ulangi langkah-langkah sebelumnya. Anda juga dapat menambahkan lebih banyak subnet ke jaringan setelah jaringan dibuat.

8. Klik Buat.

gcloud

1. Untuk membuat jaringan, gunakan perintah gcloud compute networks create dan tentukan flag --network-profile.

     gcloud compute networks create NETWORK \
         --subnet-mode=custom \
         --network-profile=NETWORK_PROFILE
   

   Ganti kode berikut:

   • NETWORK: nama untuk jaringan VPC

   • NETWORK_PROFILE: nama spesifik per zona dari profil jaringan, seperti europe-west1-b-vpc-roce

     Profil jaringan RDMA tidak tersedia di semua zona. Untuk melihat instance spesifik per zona dari profil jaringan yang tersedia, ikuti petunjuk untuk mencantumkan profil jaringan.

2. Untuk menambahkan subnet, gunakan perintah gcloud compute networks subnets create.

     gcloud compute networks subnets create SUBNET \
         --network=NETWORK \
         --range=PRIMARY_RANGE \
         --region=REGION
   

   Ganti kode berikut:

   • SUBNET: nama untuk subnet baru
   • NETWORK: nama jaringan VPC yang berisi subnet baru.
   • PRIMARY_RANGE: rentang IPv4 utama untuk subnet baru, dalam notasi CIDR. Untuk mengetahui informasi selengkapnya, lihat Rentang subnet IPv4.
   • REGION: Trusted Cloud region tempat subnet baru dibuat. Ini harus sesuai dengan zona profil jaringan yang Anda konfigurasi. Misalnya, jika Anda mengonfigurasi profil jaringan di zona europe-west1-b menggunakan profil jaringan bernama europe-west1-b-vpc-roce, Anda harus membuat subnet di region europe-west1.

API

1. Untuk membuat jaringan, buat permintaan POST ke metode networks.insert dan tentukan properti networkProfile.

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
   {
   "autoCreateSubnetworks": false,
   "name": "NETWORK",
   "networkProfile": "NETWORK_PROFILE"
   }
   

   Ganti kode berikut:

   • PROJECT_ID: ID project tempat jaringan VPC dibuat
   • NETWORK: nama untuk jaringan VPC

   • NETWORK_PROFILE: nama spesifik per zona dari profil jaringan, seperti europe-west1-b-vpc-roce

     Profil jaringan RDMA tidak tersedia di semua zona. Untuk melihat instance spesifik per zona dari profil jaringan yang tersedia, ikuti petunjuk untuk mencantumkan profil jaringan.

2. Untuk menambahkan subnet, buat permintaan POST ke metode subnetworks.insert.

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
   {
   "ipCidrRange": "IP_RANGE",
   "network": "NETWORK_URL",
   "name": "SUBNET"
   }
   

   Ganti kode berikut:

   • PROJECT_ID: ID project yang berisi jaringan VPC yang akan diubah
   • REGION: nama region Trusted Cloud tempat subnet ditambahkan. Region ini harus sesuai dengan zona profil jaringan yang Anda konfigurasi. Misalnya, jika Anda mengonfigurasi profil jaringan di zona europe-west1-b menggunakan profil jaringan bernama europe-west1-b-vpc-roce, Anda harus membuat subnet di region europe-west1.
   • IP_RANGE: rentang alamat IPv4 utama untuk subnet. Untuk mengetahui informasi selengkapnya, lihat Rentang subnet IPv4.
   • NETWORK_URL: URL jaringan VPC tempat Anda menambahkan subnet
   • SUBNET: nama untuk subnet

gcloud

Untuk membuat kebijakan firewall jaringan regional untuk jaringan VPC RoCE, gunakan perintah gcloud beta compute network-firewall-policies create:

  gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

Ganti kode berikut:

• FIREWALL_POLICY: nama untuk kebijakan firewall jaringan
• REGION: region yang ingin Anda terapkan ke kebijakan. Region harus berisi zona profil jaringan RoCE yang digunakan oleh jaringan VPC RoCE.

gcloud

Untuk membuat aturan traffic masuk yang menggunakan flag --src-ip-ranges=0.0.0.0/0 dan berlaku untuk semua antarmuka jaringan di jaringan VPC RoCE, gunakan perintah gcloud compute network-firewall-policies rules create:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

Untuk membuat aturan ingress yang menggunakan tag aman sumber dan berlaku untuk antarmuka jaringan tertentu dari VM dengan nilai tag aman terkait, gunakan perintah gcloud compute network-firewall-policies rules create:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

Ganti kode berikut:

• PRIORITY: prioritas aturan
• ACTION: tindakan saat mencocokkan aturan
  • Jika Anda menggunakan --src-ip-ranges=0.0.0.0/0, Anda dapat menggunakan ALLOW atau DENY.
  • Jika menggunakan --src-secure-tag, Anda hanya dapat menggunakan ALLOW.
• FIREWALL_POLICY_NAME: nama kebijakan firewall jaringan regional tempat aturan dibuat.
• FIREWALL_POLICY_REGION: region yang digunakan oleh kebijakan firewall jaringan regional tempat aturan dibuat.
• SRC_SECURE_TAG: menentukan parameter sumber aturan ingress menggunakan daftar nilai tag aman yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Mengamankan tag untuk firewall.
• TARGET_SECURE_TAG: menentukan parameter target aturan menggunakan daftar nilai tag aman yang dipisahkan koma. Untuk mengetahui informasi selengkapnya, lihat Mengamankan tag untuk firewall.

gcloud

Untuk mengaitkan kebijakan firewall jaringan regional dengan jaringan VPC RoCE, gunakan perintah gcloud compute network-firewall-policies associations create:

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION
  

Ganti kode berikut:

• FIREWALL_POLICY: nama kebijakan firewall jaringan regional

  Kebijakan firewall jaringan regional harus memiliki jenis kebijakan RDMA_ROCE_POLICY.

• NETWORK: nama jaringan VPC RoCE

• FIREWALL_POLICY_REGION: region kebijakan firewall

  Region harus berisi zona profil jaringan RoCE yang digunakan oleh jaringan VPC RoCE.