Una rete Virtual Private Cloud (VPC) che utilizza il profilo di rete Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE) è chiamata rete VPC RoCE. Questa pagina mostra come creare una rete VPC RoCE e configurare le regole firewall che si applicano alla rete. Prima di iniziare, rivedi le seguenti informazioni:
Poiché le regole di un criterio firewall di rete regionale utilizzato da una rete VPC RoCE si basano in gran parte su tag sicuri di destinazione e tag sicuri di origine, assicurati di sapere come creare e gestire i tag sicuri e associare i tag sicuri alle istanze VM.
Questa sezione descrive come eseguire le seguenti attività:
- Crea una rete VPC RoCE
- Crea un criterio firewall di rete regionale che funzioni con la rete VPC RoCE
- Crea regole nella policy firewall di rete regionale
- Associa il criterio firewall di rete regionale alla rete VPC RoCE
Prima di iniziare
Assicurati di esaminare le funzionalità supportate e non supportate nelle reti VPC con il profilo di rete RDMA. Se tenti di configurare funzionalità non supportate, Trusted Cloud restituisce un errore.
Crea una rete con il profilo di rete RDMA
Per creare una rete VPC con il profilo di rete RDMA, procedi nel seguente modo.
Console
Nella console Trusted Cloud , vai alla pagina Reti VPC.
Fai clic su Crea rete VPC.
Nel campo Nome, inserisci un nome per la rete.
Nel campo Unità massima di trasmissione (MTU), seleziona
8896.Seleziona Configura profilo di rete e procedi nel seguente modo:
- Nel campo Zona, seleziona la zona del profilo di rete che vuoi utilizzare. La rete VPC che crei è limitata a questa zona, il che significa che puoi creare risorse nella rete solo in questa zona.
- Seleziona il profilo di rete RDMA per la zona che hai selezionato
in precedenza, ad esempio
europe-west1-b-vpc-roce. - Per visualizzare l'insieme di funzionalità supportate per il profilo di rete che hai selezionato, fai clic su Visualizza l'anteprima delle funzionalità del profilo di rete.
Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per una subnet:
- Nel campo Nome, inserisci un nome per la subnet.
- Nel campo Regione, seleziona la regione in cui creare la
subnet. Questa regione deve corrispondere alla zona del profilo di rete che hai configurato. Ad esempio, se hai configurato il
profilo di rete per
europe-west1-b, devi creare la subnet ineurope-west1. Inserisci un intervallo IPv4. Questo intervallo è l'intervallo IPv4 principale per la subnet.
Se selezioni un intervallo che non è un indirizzo RFC 1918, verifica che l'intervallo non sia in conflitto con una configurazione esistente. Per saperne di più, consulta Intervalli di subnet IPv4.
Fai clic su Fine.
Per aggiungere altre subnet, fai clic su Aggiungi subnet e ripeti i passaggi precedenti. Puoi anche aggiungere altre subnet alla rete dopo averla creata.
Fai clic su Crea.
gcloud
Per creare la rete, utilizza il comando
gcloud compute networks createe specifica il flag--network-profile.gcloud compute networks create NETWORK \ --subnet-mode=custom \ --network-profile=NETWORK_PROFILESostituisci quanto segue:
NETWORK: un nome per la rete VPCNETWORK_PROFILE: il nome specifico della zona del profilo di rete, ad esempioeurope-west1-b-vpc-roceIl profilo di rete RDMA non è disponibile in tutte le zone. Per visualizzare le istanze specifiche per zona del profilo di rete disponibili, segui le istruzioni per elencare i profili di rete.
Per aggiungere subnet, utilizza il comando
gcloud compute networks subnets create.gcloud compute networks subnets create SUBNET \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONSostituisci quanto segue:
SUBNET: un nome per la nuova subnetNETWORK: il nome della rete VPC che contiene la nuova subnetPRIMARY_RANGE: l'intervallo IPv4 principale per la nuova subnet, nella notazione CIDR. Per saperne di più, consulta Intervalli di subnet IPv4.REGION: la Trusted Cloud regione in cui viene creata la nuova subnet. Deve corrispondere alla zona del profilo di rete che hai configurato. Ad esempio, se hai configurato il profilo di rete nella zonaeurope-west1-butilizzando il profilo di rete denominatoeurope-west1-b-vpc-roce, devi creare la subnet nella regioneeurope-west1.
API
Per creare la rete, invia una richiesta
POSTal metodonetworks.inserte specifica la proprietànetworkProfile.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks { "autoCreateSubnetworks": false, "name": "NETWORK", "networkProfile": "NETWORK_PROFILE" }Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto in cui viene creata la rete VPCNETWORK: un nome per la rete VPCNETWORK_PROFILE: il nome specifico della zona del profilo di rete, ad esempioeurope-west1-b-vpc-roceIl profilo di rete RDMA non è disponibile in tutte le zone. Per visualizzare le istanze specifiche per zona del profilo di rete disponibili, segui le istruzioni per elencare i profili di rete.
Per aggiungere subnet, effettua una richiesta
POSTal metodosubnetworks.insert.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks { "ipCidrRange": "IP_RANGE", "network": "NETWORK_URL", "name": "SUBNET" }Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto che contiene la rete VPC da modificareREGION: il nome della regione Trusted Cloud in cui viene aggiunta la subnet. Questa regione deve corrispondere alla zona del profilo di rete che hai configurato. Ad esempio, se hai configurato il profilo di rete nella zonaeurope-west1-butilizzando il profilo di rete denominatoeurope-west1-b-vpc-roce, devi creare la subnet nella regioneeurope-west1.IP_RANGE: l'intervallo di indirizzi IPv4 principale per la subnet. Per saperne di più, consulta Intervalli di subnet IPv4.NETWORK_URL: l'URL della rete VPC in cui stai aggiungendo la subnetSUBNET: un nome per la subnet
Crea una policy firewall di rete regionale
Le reti VPC RoCE supportano solo i criteri firewall di rete regionali con un tipo di criterio RDMA_ROCE_POLICY.
gcloud
Per creare una policy firewall di rete regionale per una rete VPC RoCE, utilizza il comando gcloud beta compute network-firewall-policies create:
gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
--region REGION \
--policy-type=RDMA_ROCE_POLICY
Sostituisci quanto segue:
FIREWALL_POLICY: un nome per la policy firewall di reteREGION: una regione che vuoi applicare alla policy. La regione deve contenere la zona del profilo di rete RoCE utilizzato dalla rete VPC RoCE.
Crea regole nella policy firewall di rete regionale
I criteri firewall di rete regionali con tipo di criterio RDMA_ROCE_POLICY
supportano solo le regole in entrata e hanno vincoli su origine, azione e flag di configurazione di livello 4 validi. Per ulteriori informazioni,
consulta Specifiche.
gcloud
Per creare una regola di ingresso che utilizzi il flag --src-ip-ranges=0.0.0.0/0 e si applichi a tutte le interfacce di rete nella rete VPC RoCE, utilizza il comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ACTION \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-ip-ranges=0.0.0.0/0
Per creare una regola di ingresso che utilizza un tag sicuro di origine e si applica a
interfacce di rete specifiche di VM con un valore di tag sicuro associato,
utilizza il
comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ALLOW \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
--target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]
Sostituisci quanto segue:
PRIORITY: la priorità della regolaACTION: l'azione in caso di corrispondenza della regola- Se utilizzi
--src-ip-ranges=0.0.0.0/0, puoi utilizzareALLOWoDENY. - Se utilizzi
--src-secure-tag, puoi utilizzare soloALLOW.
- Se utilizzi
FIREWALL_POLICY_NAME: il nome della policy di firewall di rete regionale in cui viene creata la regola.FIREWALL_POLICY_REGION: la regione utilizzata dalla policy firewall di rete regionale in cui viene creata la regola.SRC_SECURE_TAG: definisce il parametro di origine della regola di ingresso utilizzando un elenco separato da virgole di valori di tag sicuri. Per saperne di più, consulta Tag sicuri per i firewall.TARGET_SECURE_TAG: definisce il parametro di destinazione della regola utilizzando un elenco separato da virgole di valori di tag sicuri. Per saperne di più, consulta Tag sicuri per i firewall.
Associa la policy firewall di rete a livello di regione a una rete VPC RoCE
Associa la policy firewall di rete regionale alla tua rete VPC RoCE. In questo modo, le regole del criterio vengono applicate alle interfacce di rete MRDMA all'interno di quella rete.
gcloud
Per associare una policy firewall di rete regionale a una rete VPC RoCE, utilizza il
comando gcloud compute network-firewall-policies associations create:
gcloud compute network-firewall-policies associations create \
--firewall-policy FIREWALL_POLICY \
--network NETWORK \
--firewall-policy-region FIREWALL_POLICY_REGION
Sostituisci quanto segue:
FIREWALL_POLICY: un nome per il criterio firewall di rete regionaleLa policy firewall di rete regionale deve avere un tipo di policy
RDMA_ROCE_POLICY.NETWORK: un nome della rete VPC RoCEFIREWALL_POLICY_REGION: la regione della policy del firewallLa regione deve contenere la zona del profilo di rete RoCE utilizzato dalla rete VPC RoCE.