为 RoCE VPC 网络创建和管理防火墙规则

使用 Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE) 网络配置文件的虚拟私有云 (VPC) 网络称为 RoCE VPC 网络。本页面介绍了如何创建 RoCE VPC 网络并配置适用于该网络的防火墙规则。在开始之前,请查看以下信息:

由于 RoCE VPC 网络使用的区域网络防火墙政策中的规则在很大程度上依赖于目标安全标记和来源安全标记,因此请确保您熟悉如何创建和管理安全标记以及如何将安全标记绑定到虚拟机实例。

本部分介绍了如何执行以下任务:

  • 创建 RoCE VPC 网络
  • 创建可与 RoCE VPC 网络搭配使用的区域级网络防火墙政策
  • 在区域级网络防火墙政策中创建规则
  • 将区域级网络防火墙政策与 RoCE VPC 网络相关联

准备工作

请务必查看使用 RDMA 网络配置文件的 VPC 网络中支持和不支持的功能。如果您尝试配置不支持的功能, Trusted Cloud 会返回错误。

使用 RDMA 网络配置文件创建网络

如需创建使用 RDMA 网络配置文件的 VPC 网络,请执行以下操作。

控制台

  1. 在 Trusted Cloud 控制台中,前往 VPC 网络页面。

    前往“VPC 网络”页面

  2. 点击创建 VPC 网络

  3. 名称字段中,输入网络的名称。

  4. 最大传输单元 (MTU) 字段中,选择 8896

  5. 选择配置网络配置文件,然后执行以下操作:

    1. 可用区字段中,选择要使用的网络配置文件的可用区。 您创建的 VPC 网络会受限于此可用区,这意味着您只能在此可用区的网络中创建资源。
    2. 选择您之前选择的可用区的 RDMA 网络配置文件,例如 europe-west1-b-vpc-roce
    3. 如需查看所选网络配置文件支持的功能集,请点击预览网络配置文件功能

  6. 新子网部分,为子网指定以下配置参数:

    1. 名称字段中,输入子网的名称。
    2. 区域字段中,选择要在其中创建子网的区域。此区域必须与您配置的网络配置文件的可用区相对应。例如,如果您为 europe-west1-b 配置了网络配置文件,则必须在 europe-west1 中创建子网。

    3. 输入 IPv4 范围。此范围是子网的主要 IPv4 地址范围

      如果您选择的范围不是 RFC 1918 地址,请确认该范围与现有配置不冲突。如需了解详情,请参阅 IPv4 子网范围

    4. 点击完成

  7. 如需添加更多子网,请点击添加子网,然后重复上述步骤。此外,您还可以在创建网络后向网络添加更多子网

  8. 点击创建

gcloud

  1. 如需创建网络,请使用 gcloud compute networks create 命令并指定 --network-profile 标志。

      gcloud compute networks create NETWORK \
      --subnet-mode=custom \
      --network-profile=NETWORK_PROFILE

    替换以下内容:

    • NETWORK:VPC 网络的名称

    • NETWORK_PROFILE:网络配置文件的特定于可用区的名称,例如 europe-west1-b-vpc-roce

      RDMA 网络配置文件并非在所有可用区都可用。如需查看网络配置文件的特定于可用区的可用实例,请按照说明列出网络配置文件

  2. 如需添加子网,请使用 gcloud compute networks subnets create 命令

      gcloud compute networks subnets create SUBNET \
      --network=NETWORK \
      --range=PRIMARY_RANGE \
      --region=REGION

    替换以下内容:

    • SUBNET:新子网的名称
    • NETWORK:包含新子网的 VPC 网络的名称
    • PRIMARY_RANGE:新子网的主要 IPv4 范围(采用 CIDR 表示法)。如需了解详情,请参阅 IPv4 子网范围
    • REGION:在其中创建新子网的 Trusted Cloud 区域。 此区域必须与您配置的网络配置文件的可用区相对应。例如,如果您使用名为 europe-west1-b-vpc-roce 的网络配置文件在 europe-west1-b 可用区中配置了网络配置文件,则必须在 europe-west1 区域中创建子网。

API

  1. 如需创建网络,请向 networks.insert 方法发出 POST 请求并指定 networkProfile 属性。

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
{
"autoCreateSubnetworks": false,
"name": "NETWORK",
"networkProfile": "NETWORK_PROFILE"
}

    替换以下内容:

    • PROJECT_ID:创建 VPC 网络的项目的 ID
    • NETWORK:VPC 网络的名称

    • NETWORK_PROFILE:网络配置文件的特定于可用区的名称,例如 europe-west1-b-vpc-roce

      RDMA 网络配置文件并非在所有可用区都可用。如需查看网络配置文件的特定于可用区的可用实例,请按照说明列出网络配置文件

  2. 如需添加子网,请向 subnetworks.insert 方法发出 POST 请求。

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"ipCidrRange": "IP_RANGE",
"network": "NETWORK_URL",
"name": "SUBNET"
}

    替换以下内容:

    • PROJECT_ID:包含所要修改 VPC 网络的项目的 ID
    • REGION:在其中添加子网的 Trusted Cloud 区域的名称。此区域必须与您配置的网络配置文件的可用区相对应。例如,如果您使用名为 europe-west1-b-vpc-roce 的网络配置文件在 europe-west1-b 可用区中配置了网络配置文件,则必须在 europe-west1 区域中创建子网。
    • IP_RANGE:子网的主要 IPv4 地址范围。如需了解详情,请参阅 IPv4 子网范围
    • NETWORK_URL:要添加子网的 VPC 网络的网址
    • SUBNET:子网的名称

创建区域级网络防火墙政策

RoCE VPC 网络仅支持政策类型为 RDMA_ROCE_POLICY 的区域级网络防火墙政策。

gcloud

如需为 RoCE VPC 网络创建区域级网络防火墙政策,请使用 gcloud beta compute network-firewall-policies create 命令

  gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

替换以下内容:

  • FIREWALL_POLICY:网络防火墙政策的名称
  • REGION:您要应用于政策的区域。 该区域必须包含 RoCE VPC 网络所使用的 RoCE 网络配置文件的可用区。

在区域级网络防火墙政策中创建规则

政策类型为 RDMA_ROCE_POLICY 的区域级网络防火墙政策仅支持入站流量规则,并且对有效的来源、操作和第 4 层配置标志有限制。如需了解详情,请参阅规范

gcloud

如需创建使用 --src-ip-ranges=0.0.0.0/0 标志且适用于 RoCE VPC 网络中所有网络接口的入站规则,请使用 gcloud compute network-firewall-policies rules create 命令

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

如需创建使用来源安全标记并应用于具有关联安全标记值的虚拟机的特定网络接口的入站规则,请使用 gcloud compute network-firewall-policies rules create 命令

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

替换以下内容:

  • PRIORITY:规则的优先级
  • ACTION:规则的匹配时执行的操作
    • 如果您使用 --src-ip-ranges=0.0.0.0/0,则可以使用 ALLOWDENY
    • 如果您使用 --src-secure-tag,则只能使用 ALLOW
  • FIREWALL_POLICY_NAME:要在其中创建规则的区域级网络防火墙政策的名称。
  • FIREWALL_POLICY_REGION:创建规则的区域级网络防火墙政策所使用的区域。
  • SRC_SECURE_TAG:使用以英文逗号分隔的安全标记值列表定义入站规则的来源参数。如需了解详情,请参阅防火墙的安全标记
  • TARGET_SECURE_TAG:使用以英文逗号分隔的安全标记值列表定义规则的目标参数。如需了解详情,请参阅防火墙的安全标记

将区域级网络防火墙政策与 RoCE VPC 网络相关联

将区域级网络防火墙政策与您的 RoCE VPC 网络相关联。这样可确保政策的规则适用于相应网络中的 MRDMA 网络接口。

gcloud

如需将区域级网络防火墙政策与 RoCE VPC 网络相关联,请使用 gcloud compute network-firewall-policies associations create 命令

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION

替换以下内容:

  • FIREWALL_POLICY:区域级网络防火墙政策的名称

    区域级网络防火墙政策必须具有 RDMA_ROCE_POLICY 政策类型。

  • NETWORK:RoCE VPC 网络的名称

  • FIREWALL_POLICY_REGION:防火墙政策的区域

    该区域必须包含 RoCE VPC 网络所使用的 RoCE 网络配置文件的可用区。

后续步骤