Criar e gerenciar regras de firewall para redes VPC RoCE

Console

1. No console Trusted Cloud , acesse a página Redes VPC.

   Acessar redes VPC

2. Clique em Criar rede VPC.

3. No campo Nome, insira um nome para a rede.

4. No campo Unidade de transmissão máxima (MTU), selecione 8896.

5. Selecione Configurar perfil de rede e faça o seguinte:

   1. No campo Zona, selecione a zona do perfil de rede que você quer usar. A rede VPC criada é restrita a essa zona, o que significa que só é possível criar recursos na rede nessa zona.
   2. Selecione o perfil de rede RDMA para a zona selecionada anteriormente, como europe-west1-b-vpc-roce.
   3. Para conferir o conjunto de recursos compatíveis com o perfil de rede selecionado, clique em Visualizar recursos do perfil de rede.

6. Na seção Nova sub-rede, especifique os parâmetros de configuração a seguir para uma sub-rede:

   1. No campo Nome, insira um nome para a sub-rede.
   2. No campo Região, selecione a região em que a sub-rede será criada. Essa região precisa corresponder à zona do perfil de rede que você configurou. Por exemplo, se você configurou o perfil de rede para europe-west1-b, crie a sub-rede em europe-west1.

   3. Insira um intervalo de IPv4. Esse intervalo é o intervalo IPv4 principal da sub-rede.

      Se você selecionar um intervalo que não seja um endereço RFC 1918, confirme se não há incompatibilidade entre o intervalo e uma configuração existente. Para mais informações, consulte Intervalos de sub-rede IPv4.

   4. Clique em Concluído.

7. Para adicionar mais sub-redes, clique em Adicionar sub-rede e repita as etapas anteriores. Depois de criar a rede, também é possível adicionar mais sub-redes à ela.

8. Clique em Criar.

gcloud

1. Para criar a rede, use o comando gcloud compute networks create e especifique a flag --network-profile.

     gcloud compute networks create NETWORK \
         --subnet-mode=custom \
         --network-profile=NETWORK_PROFILE
   

   Substitua:

   • NETWORK: um nome para a rede VPC

   • NETWORK_PROFILE: o nome específico da zona do perfil de rede, como europe-west1-b-vpc-roce

     O perfil de rede RDMA não está disponível em todas as zonas. Para conferir as instâncias específicas da zona do perfil de rede disponíveis, siga as instruções para listar perfis de rede.

2. Para adicionar sub-redes, use o comando gcloud compute networks subnets create.

     gcloud compute networks subnets create SUBNET \
         --network=NETWORK \
         --range=PRIMARY_RANGE \
         --region=REGION
   

   Substitua:

   • SUBNET: um nome para a nova sub-rede
   • NETWORK: o nome da rede VPC que contém a nova sub-rede
   • PRIMARY_RANGE: o intervalo IPv4 principal da nova sub-rede, em notação CIDR. Para mais informações, consulte Intervalos de sub-rede IPv4.
   • REGION: a Trusted Cloud região em que a nova sub-rede é criada. Ela precisa corresponder à zona do perfil de rede que você configurou. Por exemplo, se você configurou o perfil de rede na zona europe-west1-b usando o perfil de rede chamado europe-west1-b-vpc-roce, crie a sub-rede na região europe-west1.

API

1. Para criar a rede, faça uma solicitação POST para o método networks.insert e especifique a propriedade networkProfile.

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
   {
   "autoCreateSubnetworks": false,
   "name": "NETWORK",
   "networkProfile": "NETWORK_PROFILE"
   }
   

   Substitua:

   • PROJECT_ID: o ID do projeto em que a rede VPC é criada.
   • NETWORK: um nome para a rede VPC

   • NETWORK_PROFILE: o nome específico da zona do perfil de rede, como europe-west1-b-vpc-roce

     O perfil de rede RDMA não está disponível em todas as zonas. Para conferir as instâncias específicas da zona do perfil de rede disponíveis, siga as instruções para listar perfis de rede.

2. Para adicionar sub-redes, faça uma solicitação POST ao método subnetworks.insert.

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
   {
   "ipCidrRange": "IP_RANGE",
   "network": "NETWORK_URL",
   "name": "SUBNET"
   }
   

   Substitua:

   • PROJECT_ID é o ID do projeto que contém a rede VPC a ser modificada.
   • REGION: o nome da região Trusted Cloud em que a sub-rede foi adicionada. Essa região precisa corresponder à zona do perfil de rede que você configurou. Por exemplo, se você configurou o perfil de rede na zona europe-west1-b usando o perfil de rede chamado europe-west1-b-vpc-roce, crie a sub-rede na região europe-west1.
   • IP_RANGE: o intervalo de endereços IPv4 principais da sub-rede. Para mais informações, consulte Intervalos de sub-rede IPv4.
   • NETWORK_URL: o URL da rede VPC em que você está adicionando a sub-rede
   • SUBNET: um nome para a sub-rede

gcloud

Para criar uma política de firewall de rede regional para uma rede VPC RoCE, use o comando gcloud beta compute network-firewall-policies create:

  gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

Substitua:

• FIREWALL_POLICY: um nome para a política de firewall de rede
• REGION: uma região que você quer aplicar à política. A região precisa conter a zona do perfil de rede RoCE usado pela rede VPC RoCE.

gcloud

Para criar uma regra de entrada que use a flag --src-ip-ranges=0.0.0.0/0 e se aplique a todas as interfaces de rede na rede VPC RoCE, use o comando gcloud compute network-firewall-policies rules create:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

Para criar uma regra de entrada que usa uma tag segura de origem e se aplica a interfaces de rede específicas de VMs com um valor de tag segura associado, use o comando gcloud compute network-firewall-policies rules create:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

Substitua:

• PRIORITY: a prioridade da regra
• ACTION: a ação na correspondência da regra
  • Se você usar --src-ip-ranges=0.0.0.0/0, poderá usar ALLOW ou DENY.
  • Se você usar --src-secure-tag, só poderá usar ALLOW.
• FIREWALL_POLICY_NAME: o nome da política de firewall de rede regional em que a regra foi criada.
• FIREWALL_POLICY_REGION: a região usada pela política de firewall de rede regional em que a regra é criada.
• SRC_SECURE_TAG: define o parâmetro de origem da regra de entrada usando uma lista separada por vírgulas de valores de tag segura. Para mais informações, consulte Tags seguras para firewalls.
• TARGET_SECURE_TAG: define o parâmetro de destino da regra usando uma lista separada por vírgulas de valores de tag segura. Para mais informações, consulte Tags seguras para firewalls.

gcloud

Para associar uma política de firewall de rede regional a uma rede VPC RoCE, use o comando gcloud compute network-firewall-policies associations create:

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION
  

Substitua:

• FIREWALL_POLICY: um nome da política de firewall de rede regional

  A política de firewall de rede regional precisa ter um tipo de política RDMA_ROCE_POLICY.

• NETWORK: um nome da rede VPC RoCE

• FIREWALL_POLICY_REGION: a região da política de firewall

  A região precisa conter a zona do perfil de rede RoCE usado pela rede VPC RoCE.