為 RoCE 虛擬私有雲網路建立及管理防火牆規則

使用 Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE) 網路設定檔的虛擬私有雲 (VPC) 網路稱為 RoCE VPC 網路。本頁面說明如何建立 RoCE 虛擬私有雲網路,以及如何設定套用至該網路的防火牆規則。開始之前,請先詳閱下列資訊:

由於 RoCE VPC 網路使用的區域網路防火牆政策規則,會大量依賴目標安全標記和來源安全標記,請務必熟悉如何建立及管理安全標記,以及如何將安全標記繫結至 VM 執行個體

本節說明如何執行下列工作:

  • 建立 RoCE 虛擬私有雲網路
  • 建立可搭配 RoCE 虛擬私有雲網路使用的區域網路防火牆政策
  • 在區域性網路防火牆政策中建立規則
  • 將區域網路防火牆政策與 RoCE 虛擬私有雲網路建立關聯

事前準備

請務必查看虛擬私有雲網路中支援和不支援的功能,並使用 RDMA 網路設定檔。如果您嘗試設定不支援的功能, Trusted Cloud 會傳回錯誤。

建立使用 RDMA 網路設定檔的網路

如要使用 RDMA 網路設定檔建立 VPC 網路,請執行下列步驟。

主控台

  1. 在 Trusted Cloud 控制台中,前往「VPC networks」(虛擬私有雲網路) 頁面。

    前往「VPC networks」(虛擬私有雲網路)

  2. 按一下「建立虛擬私有雲網路」

  3. 在「Name」(名稱) 欄位中,輸入網路名稱。

  4. 在「Maximum transmission unit (MTU)」(最大傳輸單位) 欄位中,選取「8896」。

  5. 選取「設定網路設定檔」,然後執行下列操作:

    1. 在「Zone」(可用區) 欄位中,選取要使用的網路設定檔可用區。 您建立的虛擬私有雲網路會受限於這個區域,也就是說,您只能在這個區域的網路中建立資源。
    2. 選取先前所選可用區的 RDMA 網路設定檔,例如 europe-west1-b-vpc-roce
    3. 如要查看所選網路設定檔支援的功能,請按一下「預覽網路設定檔功能」

  6. 在「New subnet」(新子網路) 部分,指定子網路的以下設定參數:

    1. 在「Name」(名稱) 欄位中,輸入子網路的名稱。
    2. 在「Region」(區域) 欄位中,選取要建立子網路的區域。這個區域必須與您設定的網路設定檔區域相符。舉例來說,如果您為 europe-west1-b 設定網路設定檔,就必須在 europe-west1 中建立子網路。

    3. 輸入 IPv4 範圍。這個範圍是子網路的主要 IPv4 範圍

      如果選取的範圍不是 RFC 1918 位址,請確認該範圍與現有設定沒有衝突。詳情請參閱「IPv4 子網路範圍」。

    4. 按一下 [完成]

  7. 如要新增其他子網路,請按一下「新增子網路」,然後重複以上步驟。 建立網路之後,您也可以在網路中新增更多子網路

  8. 點選「建立」

gcloud

  1. 如要建立網路,請使用 gcloud compute networks create 指令並指定 --network-profile 旗標。

      gcloud compute networks create NETWORK \
      --subnet-mode=custom \
      --network-profile=NETWORK_PROFILE

    更改下列內容:

    • NETWORK:虛擬私有雲網路的名稱

    • NETWORK_PROFILE:網路設定檔的可用區專屬名稱,例如 europe-west1-b-vpc-roce

      並非所有可用區都提供 RDMA 網路設定檔。如要查看可用的網路設定檔可用區專屬執行個體,請按照指示列出網路設定檔

  2. 如要新增子網路,請使用 gcloud compute networks subnets create 指令

      gcloud compute networks subnets create SUBNET \
      --network=NETWORK \
      --range=PRIMARY_RANGE \
      --region=REGION

    更改下列內容:

    • SUBNET:新子網路的名稱
    • NETWORK:包含新子網路的虛擬私有雲網路名稱
    • PRIMARY_RANGE:新子網路的主要 IPv4 範圍,採用 CIDR 標記法。詳情請參閱「IPv4 子網路範圍」。
    • REGION:建立新子網路的 Trusted Cloud 區域。這必須與您設定的網路設定檔區域相符。舉例來說,如果您在 europe-west1-b 可用區中,使用名為 europe-west1-b-vpc-roce 的網路設定檔設定網路設定檔,則必須在 europe-west1 區域中建立子網路。

API

  1. 如要建立網路,請對 networks.insert 方法發出 POST 要求,並指定 networkProfile 屬性。

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
{
"autoCreateSubnetworks": false,
"name": "NETWORK",
"networkProfile": "NETWORK_PROFILE"
}

    更改下列內容:

    • PROJECT_ID:建立 VPC 網路的專案 ID
    • NETWORK:虛擬私有雲網路的名稱

    • NETWORK_PROFILE:網路設定檔的可用區專屬名稱,例如 europe-west1-b-vpc-roce

      並非所有可用區都提供 RDMA 網路設定檔。如要查看可用的網路設定檔可用區專屬執行個體,請按照指示列出網路設定檔

  2. 如要新增子網路,請向 subnetworks.insert 方法發出 POST 要求。

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"ipCidrRange": "IP_RANGE",
"network": "NETWORK_URL",
"name": "SUBNET"
}

    更改下列內容:

    • PROJECT_ID:含有要修改的 VPC 網路的專案 ID
    • REGION:子網路新增至其中的 Trusted Cloud 區域名稱。這個區域必須與您設定的網路設定檔區域相符。舉例來說,如果您在 europe-west1-b 可用區中,使用名為 europe-west1-b-vpc-roce 的網路設定檔設定網路設定檔,則必須在 europe-west1 區域中建立子網路。
    • IP_RANGE:子網路的主要 IPv4 位址範圍。 詳情請參閱「IPv4 子網路範圍」。
    • NETWORK_URL:您要新增子網路的虛擬私有雲網路網址
    • SUBNET:子網路的名稱

建立區域網路防火牆政策

RoCE 虛擬私有雲網路僅支援政策類型為 RDMA_ROCE_POLICY 的區域網路防火牆政策。

gcloud

如要為 RoCE 虛擬私有雲網路建立區域網路防火牆政策,請使用 gcloud beta compute network-firewall-policies create 指令

  gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

更改下列內容:

  • FIREWALL_POLICY:網路防火牆政策的名稱
  • REGION:要套用政策的區域。 該地區必須包含 RoCE 虛擬私有雲網路使用的 RoCE 網路設定檔所在區域。

在區域性網路防火牆政策中建立規則

政策類型為 RDMA_ROCE_POLICY 的區域網路防火牆政策僅支援輸入規則,且對有效來源、動作和第 4 層設定標記設有限制。詳情請參閱「規格」。

gcloud

如要建立使用 --src-ip-ranges=0.0.0.0/0 旗標的連入規則,並套用至 RoCE 虛擬私有雲網路中的所有網路介面,請使用 gcloud compute network-firewall-policies rules create 指令

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

如要建立使用來源安全標記的連入規則,並套用至具有相關聯安全標記值的 VM 特定網路介面,請使用 gcloud compute network-firewall-policies rules create 指令

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

更改下列內容:

  • PRIORITY:規則的優先順序
  • ACTION:規則的相符時執行的動作
    • 如果您使用 --src-ip-ranges=0.0.0.0/0,則可使用 ALLOWDENY
    • 如果您使用 --src-secure-tag,就只能使用 ALLOW
  • FIREWALL_POLICY_NAME:要建立規則的區域網路防火牆政策名稱。
  • FIREWALL_POLICY_REGION:區域性網路防火牆政策使用的區域,規則是在該政策中建立。
  • SRC_SECURE_TAG:使用以半形逗號分隔的安全標記值清單,定義輸入規則的來源參數。詳情請參閱防火牆的安全標記
  • TARGET_SECURE_TAG:定義規則的目標參數,方法是以逗號分隔安全代碼值清單。詳情請參閱防火牆的安全標記

將區域網路防火牆政策與 RoCE 虛擬私有雲網路建立關聯

將區域網路防火牆政策與 RoCE 虛擬私有雲網路建立關聯。確保政策規則適用於該網路中的 MRDMA 網路介面。

gcloud

如要將區域網路防火牆政策與 RoCE 虛擬私有雲網路建立關聯,請使用 gcloud compute network-firewall-policies associations create 指令

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION

更改下列內容:

  • FIREWALL_POLICY:區域網路防火牆政策的名稱

    區域網路防火牆政策的政策類型必須為 RDMA_ROCE_POLICY

  • NETWORK:RoCE 虛擬私有雲網路的名稱

  • FIREWALL_POLICY_REGION:防火牆政策的區域

    該區域必須包含 RoCE 虛擬私有雲網路使用的 RoCE 網路設定檔區域。

後續步驟