통합 이더넷 (RoCE)을 통한 원격 직접 메모리 액세스 (RDMA) 네트워크 프로필을 사용하는 가상 프라이빗 클라우드 (VPC) 네트워크를 RoCE VPC 네트워크라고 합니다. 이 페이지에서는 RoCE VPC 네트워크를 만들고 네트워크에 적용되는 방화벽 규칙을 구성하는 방법을 보여줍니다. 시작하기 전에 다음 정보를 검토하세요.
RoCE VPC 네트워크에서 사용하는 리전 네트워크 방화벽 정책의 규칙은 대상 보안 태그와 소스 보안 태그에 크게 의존하므로 보안 태그를 만들고 관리하고 VM 인스턴스에 보안 태그를 바인딩하는 방법을 잘 알고 있어야 합니다.
이 섹션에서는 다음 작업을 수행하는 방법을 설명합니다.
- RoCE VPC 네트워크 만들기
- RoCE VPC 네트워크와 호환되는 리전 네트워크 방화벽 정책 만들기
- 리전 네트워크 방화벽 정책에서 규칙 만들기
- 리전 네트워크 방화벽 정책을 RoCE VPC 네트워크와 연결
시작하기 전에
RDMA 네트워크 프로필이 있는 VPC 네트워크의 지원되는 기능 및 지원되지 않는 기능을 검토해야 합니다. 지원되지 않는 기능을 구성하려고 하면 Trusted Cloud 에서 오류가 반환됩니다.
RDMA 네트워크 프로필로 네트워크 만들기
RDMA 네트워크 프로필이 있는 VPC 네트워크를 만들려면 다음 단계를 따르세요.
콘솔
Trusted Cloud 콘솔에서 VPC 네트워크 페이지로 이동합니다.
VPC 네트워크 만들기를 클릭합니다.
이름 필드에 네트워크의 이름을 입력합니다.
최대 전송 단위 (MTU) 필드에서
8896을 선택합니다.네트워크 프로필 구성을 선택하고 다음을 실행합니다.
- 영역 필드에서 사용할 네트워크 프로필의 영역을 선택합니다. 만드는 VPC 네트워크는 이 영역으로 제한됩니다. 즉, 이 영역의 네트워크에서만 리소스를 만들 수 있습니다.
- 이전에 선택한 영역의 RDMA 네트워크 프로필(예:
europe-west1-b-vpc-roce)을 선택합니다. - 선택한 네트워크 프로필에 지원되는 기능 집합을 보려면 네트워크 프로필 기능 미리보기를 클릭합니다.
새 서브넷 섹션에서 서브넷에 다음 구성 매개변수를 지정합니다.
- 이름 필드에 서브넷 이름을 입력합니다.
- 리전 필드에서 서브넷을 만들 리전을 선택합니다. 이 리전은 구성한 네트워크 프로필의 영역과 일치해야 합니다. 예를 들어
europe-west1-b의 네트워크 프로필을 구성한 경우europe-west1에서 서브넷을 만들어야 합니다. IPv4 범위를 입력합니다. 이 범위는 서브넷의 기본 IPv4 범위입니다.
RFC 1918 주소가 아닌 범위를 선택하는 경우 범위가 기존 구성과 충돌하지 않는지 확인합니다. 자세한 내용은 IPv4 서브넷 범위를 참조하세요.
완료를 클릭합니다.
서브넷을 추가하려면 서브넷 추가를 클릭하고 이전 단계를 반복합니다. 네트워크를 만든 후에 네트워크에 서브넷을 더 추가할 수도 있습니다.
만들기를 클릭합니다.
gcloud
네트워크를 만들려면
gcloud compute networks create명령어를 사용하고--network-profile플래그를 지정합니다.gcloud compute networks create NETWORK \ --subnet-mode=custom \ --network-profile=NETWORK_PROFILE다음을 바꿉니다.
NETWORK: VPC 네트워크의 이름입니다.NETWORK_PROFILE: 네트워크 프로필의 영역별 이름입니다(예:europe-west1-b-vpc-roce).일부 영역에서는 RDMA 네트워크 프로필을 사용할 수 없습니다. 사용 가능한 네트워크 프로필의 영역별 인스턴스를 보려면 안내에 따라 네트워크 프로필을 나열하세요.
서브넷을 추가하려면
gcloud compute networks subnets create명령어를 사용합니다.gcloud compute networks subnets create SUBNET \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGION다음을 바꿉니다.
SUBNET: 새 서브넷의 이름NETWORK: 새 서브넷이 포함된 VPC 네트워크의 이름PRIMARY_RANGE: CIDR 표기법으로 표시된 새 서브넷의 기본 IPv4 주소 범위. 자세한 내용은 IPv4 서브넷 범위를 참조하세요.REGION: 새 서브넷이 생성되는 Trusted Cloud 리전입니다. 이 리전은 구성한 네트워크 프로필의 영역과 일치해야 합니다. 예를 들어europe-west1-b-vpc-roce라는 네트워크 프로필을 사용하여europe-west1-b영역에서 네트워크 프로필을 구성한 경우europe-west1리전에서 서브넷을 만들어야 합니다.
API
네트워크를 만들려면
POST요청을networks.insert메서드로 보내고networkProfile속성을 지정합니다.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks { "autoCreateSubnetworks": false, "name": "NETWORK", "networkProfile": "NETWORK_PROFILE" }다음을 바꿉니다.
PROJECT_ID: VPC 네트워크가 생성된 프로젝트의 IDNETWORK: VPC 네트워크의 이름입니다.NETWORK_PROFILE: 네트워크 프로필의 영역별 이름입니다(예:europe-west1-b-vpc-roce).일부 영역에서는 RDMA 네트워크 프로필을 사용할 수 없습니다. 사용 가능한 네트워크 프로필의 영역별 인스턴스를 보려면 안내에 따라 네트워크 프로필을 나열하세요.
서브넷을 추가하려면
POST요청을subnetworks.insert메서드에 보냅니다.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks { "ipCidrRange": "IP_RANGE", "network": "NETWORK_URL", "name": "SUBNET" }다음을 바꿉니다.
PROJECT_ID: 수정할 VPC 네트워크가 포함된 프로젝트의 IDREGION: 서브넷이 추가되는 Trusted Cloud 리전의 이름입니다. 이 리전은 구성한 네트워크 프로필의 영역과 일치해야 합니다. 예를 들어europe-west1-b-vpc-roce라는 네트워크 프로필을 사용하여europe-west1-b영역에서 네트워크 프로필을 구성한 경우europe-west1리전에서 서브넷을 만들어야 합니다.IP_RANGE: 서브넷의 기본 IPv4 주소 범위입니다. 자세한 내용은 IPv4 서브넷 범위를 참조하세요.NETWORK_URL: 서브넷을 추가할 VPC 네트워크의 URLSUBNET: 서브넷의 이름입니다.
리전 네트워크 방화벽 정책 만들기
RoCE VPC 네트워크는 정책 유형이 RDMA_ROCE_POLICY인 리전 네트워크 방화벽 정책만 지원합니다.
gcloud
RoCE VPC 네트워크의 리전 네트워크 방화벽 정책을 만들려면 gcloud beta compute network-firewall-policies create 명령어를 사용합니다.
gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
--region REGION \
--policy-type=RDMA_ROCE_POLICY
다음을 바꿉니다.
FIREWALL_POLICY: 네트워크 방화벽 정책의 이름입니다.REGION: 정책에 적용하려는 리전 리전에는 RoCE VPC 네트워크에서 사용하는 RoCE 네트워크 프로필의 영역이 포함되어야 합니다.
리전 네트워크 방화벽 정책에서 규칙 만들기
정책 유형이 RDMA_ROCE_POLICY인 리전 네트워크 방화벽 정책은 인그레스 규칙만 지원하며 유효한 소스, 작업, 레이어 4 구성 플래그에 제약이 있습니다. 자세한 내용은 사양을 참고하세요.
gcloud
--src-ip-ranges=0.0.0.0/0 플래그를 사용하고 RoCE VPC 네트워크의 모든 네트워크 인터페이스에 적용되는 인그레스 규칙을 만들려면 gcloud compute network-firewall-policies rules create 명령어를 사용합니다.
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ACTION \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-ip-ranges=0.0.0.0/0
소스 보안 태그를 사용하고 연결된 보안 태그 값이 있는 VM의 특정 네트워크 인터페이스에 적용되는 수신 규칙을 만들려면 gcloud compute network-firewall-policies rules create 명령어를 사용합니다.
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ALLOW \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
--target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]
다음을 바꿉니다.
PRIORITY: 규칙의 우선순위ACTION: 규칙의 일치 시 작업--src-ip-ranges=0.0.0.0/0를 사용하는 경우ALLOW또는DENY를 사용할 수 있습니다.--src-secure-tag를 사용하는 경우ALLOW만 사용할 수 있습니다.
FIREWALL_POLICY_NAME: 규칙이 생성된 리전 네트워크 방화벽 정책의 이름입니다.FIREWALL_POLICY_REGION: 규칙이 생성된 리전 네트워크 방화벽 정책에서 사용되는 리전입니다.SRC_SECURE_TAG: 보안 태그 값의 쉼표로 구분된 목록을 사용하여 인그레스 규칙의 소스 매개변수를 정의합니다. 자세한 내용은 방화벽 보안 태그를 참고하세요.TARGET_SECURE_TAG: 보안 태그 값의 쉼표로 구분된 목록을 사용하여 규칙의 타겟 매개변수를 정의합니다. 자세한 내용은 방화벽 보안 태그를 참고하세요.
리전 네트워크 방화벽 정책을 RoCE VPC 네트워크와 연결
리전 네트워크 방화벽 정책을 RoCE VPC 네트워크와 연결합니다. 이렇게 하면 정책의 규칙이 해당 네트워크 내의 MRDMA 네트워크 인터페이스에 적용됩니다.
gcloud
리전 네트워크 방화벽 정책을 RoCE VPC 네트워크와 연결하려면 gcloud compute network-firewall-policies associations create 명령어를 사용하세요.
gcloud compute network-firewall-policies associations create \
--firewall-policy FIREWALL_POLICY \
--network NETWORK \
--firewall-policy-region FIREWALL_POLICY_REGION
다음을 바꿉니다.
FIREWALL_POLICY: 리전 네트워크 방화벽 정책의 이름입니다.리전 네트워크 방화벽 정책의 정책 유형은
RDMA_ROCE_POLICY이어야 합니다.NETWORK: RoCE VPC 네트워크의 이름FIREWALL_POLICY_REGION: 방화벽 정책의 리전리전에는 RoCE VPC 네트워크에서 사용하는 RoCE 네트워크 프로필의 영역이 포함되어야 합니다.