使用 Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE) 网络配置文件的虚拟私有云 (VPC) 网络称为 RoCE VPC 网络。本页面介绍了如何创建 RoCE VPC 网络并配置适用于该网络的防火墙规则。在开始之前,请查看以下信息:
由于 RoCE VPC 网络使用的区域网络防火墙政策中的规则在很大程度上依赖于目标安全标记和来源安全标记,因此请确保您熟悉如何创建和管理安全标记以及如何将安全标记绑定到虚拟机实例。
本部分介绍了如何执行以下任务:
- 创建 RoCE VPC 网络
- 创建可与 RoCE VPC 网络搭配使用的区域级网络防火墙政策
- 在区域级网络防火墙政策中创建规则
- 将区域级网络防火墙政策与 RoCE VPC 网络相关联
准备工作
请务必查看使用 RDMA 网络配置文件的 VPC 网络中支持和不支持的功能。如果您尝试配置不支持的功能, Cloud de Confiance 会返回错误。
使用 RDMA 网络配置文件创建网络
如需创建使用 RDMA 网络配置文件的 VPC 网络,请执行以下操作。
控制台
在 Cloud de Confiance 控制台中,前往 VPC 网络页面。
点击创建 VPC 网络。
在名称字段中,输入网络的名称。
在最大传输单元 (MTU) 字段中,选择
8896。选择配置网络配置文件,然后执行以下操作:
- 在可用区字段中,选择要使用的网络配置文件的可用区。 您创建的 VPC 网络会受限于此可用区,这意味着您只能在此可用区的网络中创建资源。
- 选择您之前选择的可用区的 RDMA 网络配置文件,例如
europe-west4-b-vpc-falcon或europe-west4-b-vpc-roce。 - 如需查看所选网络配置文件支持的功能集,请点击预览网络配置文件功能。
在新子网部分,为子网指定以下配置参数:
- 在名称字段中,输入子网的名称。
- 在区域字段中,选择要在其中创建子网的区域。此区域必须与您配置的网络配置文件的可用区相对应。例如,如果您在
europe-west4-b可用区(例如europe-west4-b-vpc-roce)中配置了网络配置文件,则必须在europe-west4区域中创建子网。 输入 IPv4 范围。此范围是子网的主要 IPv4 地址范围。
如果您选择的范围不是 RFC 1918 地址,请确认该范围与现有配置不冲突。如需了解详情,请参阅 IPv4 子网范围。
点击完成。
如需添加更多子网,请点击添加子网,然后重复上述步骤。此外,您还可以在创建网络后向网络添加更多子网。
点击创建。
gcloud
如需创建网络,请使用
gcloud compute networks create命令并指定--network-profile标志。gcloud compute networks create NETWORK \ --subnet-mode=custom \ --network-profile=NETWORK_PROFILE替换以下内容:
NETWORK:VPC 网络的名称NETWORK_PROFILE:网络配置文件的特定于可用区的名称,例如europe-west4-b-vpc-falcon或europe-west4-b-vpc-roce。RDMA 网络配置文件并非在所有可用区都可用。如需查看网络配置文件的特定于可用区的可用实例,请按照说明列出网络配置文件。
如需添加子网,请使用
gcloud compute networks subnets create命令。gcloud compute networks subnets create SUBNET \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGION替换以下内容:
SUBNET:新子网的名称NETWORK:包含新子网的 VPC 网络的名称PRIMARY_RANGE:新子网的主要 IPv4 范围(采用 CIDR 表示法)。如需了解详情,请参阅 IPv4 子网范围。REGION:在其中创建新子网的 Cloud de Confiance 区域。 此区域必须与您配置的网络配置文件的可用区相对应。例如,如果您在europe-west4-b可用区(例如europe-west4-b-vpc-roce)中配置了网络配置文件,则必须在europe-west4区域中创建子网。
API
如需创建网络,请向
networks.insert方法发出POST请求并指定networkProfile属性。POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks { "autoCreateSubnetworks": false, "name": "NETWORK", "networkProfile": "NETWORK_PROFILE" }替换以下内容:
PROJECT_ID:在其中创建 VPC 网络的项目的 IDNETWORK:VPC 网络的名称NETWORK_PROFILE:网络配置文件的特定于可用区的名称,例如europe-west4-b-vpc-falcon或europe-west4-b-vpc-roceRDMA 网络配置文件并非在所有可用区都可用。如需查看网络配置文件的特定于可用区的可用实例,请按照说明列出网络配置文件。
如需添加子网,请向
subnetworks.insert方法发出POST请求。POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks { "ipCidrRange": "IP_RANGE", "network": "NETWORK_URL", "name": "SUBNET" }替换以下内容:
PROJECT_ID:包含所要修改 VPC 网络的项目的 IDREGION:在其中添加子网的 Cloud de Confiance 区域的名称。 此区域必须与您配置的网络配置文件的可用区相对应。例如,如果您在europe-west4-b可用区(例如europe-west4-b-vpc-roce)中配置了网络配置文件,则必须在europe-west4区域中创建子网。IP_RANGE:子网的主要 IPv4 地址范围。如需了解详情,请参阅 IPv4 子网范围。NETWORK_URL:要添加子网的 VPC 网络的网址SUBNET:子网的名称
创建区域级网络防火墙政策
RoCE VPC 网络仅支持政策类型为 RDMA_ROCE_POLICY 的区域级网络防火墙政策。
控制台
在 Cloud de Confiance 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择您的组织内的项目。
点击创建防火墙政策。
在 Name 字段中,为政策输入名称。
对于政策类型,选择 RDMA RoCE 政策。
点击创建。
gcloud
如需为 RoCE VPC 网络创建区域级网络防火墙政策,请使用 gcloud compute network-firewall-policies create 命令:
gcloud compute network-firewall-policies create FIREWALL_POLICY \
--region REGION \
--policy-type=RDMA_ROCE_POLICY
替换以下内容:
FIREWALL_POLICY:网络防火墙政策的名称REGION:您要应用于政策的区域。 该区域必须包含 RoCE VPC 网络所使用的 RoCE 网络配置文件的可用区。
在区域级网络防火墙政策中创建规则
政策类型为 RDMA_ROCE_POLICY 的区域级网络防火墙政策仅支持入站流量规则,并且对有效的来源、操作和第 4 层配置标志有限制。如需了解详情,请参阅规范。
控制台
如需创建使用源 IP 范围 0.0.0.0/0 且适用于 RoCE VPC 网络中所有网络接口的入站规则,请执行以下操作:
在 Cloud de Confiance 控制台中,前往防火墙政策页面。
在项目选择器列表中,选择包含政策的项目或文件夹。
点击相应政策的名称,然后点击创建防火墙规则。
输入规则的优先级。
对于目标,选择应用于所有。
对于来源,选择所有 IP 地址 (0.0.0.0/0)。
对于对匹配项执行的操作,指定是允许(允许)还是拒绝(拒绝)与规则匹配的连接。
在日志字段中,选择开启或关闭。
点击创建。
如需创建使用来源安全标记并应用于具有关联安全标记值的虚拟机的特定网络接口的入站流量规则,请执行以下操作:
在 Cloud de Confiance 控制台中,前往防火墙政策页面。
在项目选择器列表中,选择包含政策的项目或文件夹。
点击相应政策的名称,然后点击创建防火墙规则。
输入规则的优先级。
对于目标,选择应用于所有。
对于来源,选择安全标记,然后执行以下操作:
- 点击选择标记的范围。
- 在选择资源页面上,选择要在其中创建安全标记的组织或项目。
- 选择规则应应用于的键值对。
- 如需添加更多键值对,请点击添加标记。
在日志字段中,选择开启或关闭。
点击创建。
gcloud
如需创建使用 --src-ip-ranges=0.0.0.0/0 标志且适用于 RoCE VPC 网络中所有网络接口的入站规则,请使用 gcloud compute network-firewall-policies rules create 命令:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ACTION \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-ip-ranges=0.0.0.0/0
如需创建使用来源安全标记并应用于具有关联安全标记值的虚拟机的特定网络接口的入站规则,请使用 gcloud compute network-firewall-policies rules create 命令:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ALLOW \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
--target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]
替换以下内容:
PRIORITY:规则的优先级ACTION:规则的匹配时执行的操作- 如果您使用
--src-ip-ranges=0.0.0.0/0,则可以使用ALLOW或DENY。 - 如果您使用
--src-secure-tag,则只能使用ALLOW。
- 如果您使用
FIREWALL_POLICY_NAME:要在其中创建规则的区域级网络防火墙政策的名称。FIREWALL_POLICY_REGION:创建规则的区域级网络防火墙政策所使用的区域。SRC_SECURE_TAG:使用以英文逗号分隔的安全标记值列表定义入站规则的来源参数。如需了解详情,请参阅防火墙的安全标记。TARGET_SECURE_TAG:使用以英文逗号分隔的安全标记值列表定义规则的目标参数。如需了解详情,请参阅防火墙的安全标记。
将区域级网络防火墙政策与 RoCE VPC 网络相关联
将区域级网络防火墙政策与您的 RoCE VPC 网络相关联。这样可确保政策的规则适用于相应网络中的 MRDMA 网络接口。
控制台
在 Cloud de Confiance 控制台中,前往防火墙政策页面。
在项目选择器菜单中,选择包含 RoCE VPC 网络的政策的项目。
点击您的政策。
点击关联标签页。
点击添加关联。
选择项目中的 RDMA RoCE 网络。
点击关联。
gcloud
如需将区域级网络防火墙政策与 RoCE VPC 网络相关联,请使用 gcloud compute network-firewall-policies associations create 命令:
gcloud compute network-firewall-policies associations create \
--firewall-policy FIREWALL_POLICY \
--network NETWORK \
--firewall-policy-region FIREWALL_POLICY_REGION
替换以下内容:
FIREWALL_POLICY:区域级网络防火墙政策的名称区域级网络防火墙政策必须具有
RDMA_ROCE_POLICY的政策类型。NETWORK:RoCE VPC 网络的名称FIREWALL_POLICY_REGION:防火墙政策的区域该区域必须包含 RoCE VPC 网络所用 RoCE 网络配置文件的可用区。