Las políticas de firewall de red regionales de Cloud Next Generation Firewall pueden usarse en redes de nube privada virtual (VPC) que tengan un perfil de red de acceso directo a memoria remota (RDMA) a través de Ethernet convergente (RoCE) asociado. Las redes de VPC de RoCE son aquellas que se crean con un perfil de red de RDMA RoCE.
Las redes de VPC de RoCE habilitan cargas de trabajo zonales para la computación de alto rendimiento, incluidas las cargas de trabajo de IA en Trusted Cloud by S3NS. En esta página, se describen las diferencias clave en la compatibilidad con el NGFW de Cloud para las redes de VPC de RoCE.
Especificaciones
Las siguientes especificaciones de firewall se aplican a las redes de VPC de RoCE:
Políticas y reglas de firewall admitidas: Las redes de VPC de RoCE solo admiten reglas de firewall en políticas de firewall de red regionales. No admiten políticas de firewall de red globales, políticas de firewall jerárquicas ni reglas de firewall de VPC.
Región y tipo de política: Para usar una política de firewall de red regional con una red de VPC de RoCE, debes crear la política con los siguientes atributos:
La región de la política de firewall debe contener la zona que usa el perfil de red RoCE de la red de VPC de RoCE.
Debes establecer el tipo de política de firewall en
RDMA_ROCE_POLICY.
Por lo tanto, las políticas de firewall de red regionales solo pueden usarse en redes de VPC de RoCE en una región en particular. Las políticas de firewall de red regionales no se pueden usar en redes de VPC de RoCE ni en redes de VPC normales.
La política de firewall de RoCE no tiene estado: La política de firewall de RoCE procesa cada paquete como una unidad independiente y no realiza un seguimiento de las conexiones en curso. Por lo tanto, para garantizar que dos máquinas virtuales (VM) puedan comunicarse, debes crear una regla de entrada permitida en ambas direcciones.
Reglas de firewall implícitas
Las redes de VPC de RoCE usan las siguientes reglas de firewall implícitas, que son diferentes de las reglas de firewall implícitas que usan las redes de VPC normales:
- Permiso de salida implícito
- Permiso de entrada implícito
Una red de VPC de RoCE sin reglas en una política de firewall de red regional asociada permite todo el tráfico de entrada y salida. Estas reglas de firewall implícitas no admiten el registro de reglas de firewall.
Especificaciones de la regla
Las reglas de una política de firewall de red regional con el tipo de política RDMA_ROCE_POLICY deben cumplir con los siguientes requisitos:
Solo dirección de entrada: La dirección de la regla debe ser de entrada. No puedes crear reglas de firewall de salida en una política de firewall de red regional cuyo tipo de política sea
RDMA_ROCE_POLICY.Parámetro de segmentación: Se admiten las etiquetas seguras de segmentación, pero no las cuentas de servicio de segmentación.
Parámetro de fuente: Solo se admiten dos de los siguientes valores del parámetro de fuente:
Se admiten rangos de direcciones IP de origen (
src-ip-ranges), pero el único valor válido es0.0.0.0/0.Las etiquetas de origen seguras (
src-secure-tags) son totalmente compatibles. El uso de etiquetas seguras es la forma sugerida de segmentar las cargas de trabajo que se encuentran en la misma red de VPC de RoCE.
Las etiquetas de origen seguras y los rangos de direcciones IP de origen son mutuamente excluyentes. Por ejemplo, si creas una regla con
src-ip-ranges=0.0.0.0/0, no puedes usar etiquetas seguras de origen (src-secure-tags). No se admiten otros parámetros de origen que forman parte de Cloud NGFW Standard (grupos de direcciones de origen, nombres de dominio de origen, ubicaciones geográficas de origen, listas de Inteligencia sobre amenazas de Google de origen).Parámetro de acción: Se admiten acciones de permitir y rechazar, con las siguientes restricciones:
Una regla de entrada con
src-ip-ranges=0.0.0.0/0puede usar la acciónALLOWoDENY.Una regla de entrada con una etiqueta segura de origen solo puede usar la acción
ALLOW.
Parámetros de protocolo y puerto: El único protocolo admitido es
all(--layer4-configs=all). No se permiten reglas que se apliquen a protocolos o puertos específicos.
Supervisión y registro
El registro de reglas de firewall es compatible con las siguientes restricciones:
Los registros de las reglas de firewall de permiso de entrada se publican una vez por establecimiento de túnel y proporcionan información de paquetes de 2 tuplas.
Los registros de las reglas de firewall de denegación de entrada se publican como paquetes muestreados y proporcionan información de paquetes de 5 tuplas. Los registros se publican a una frecuencia máxima de una vez cada 5 segundos, y todos los registros del firewall están limitados a 4,000 paquetes cada 5 segundos.
Características no compatibles
Las siguientes funciones no son compatibles:
Configura redes de VPC de RoCE
Para crear reglas de firewall para una red de VPC de RoCE, usa estos recursos y lineamientos:
Las reglas de una política de firewall de red regional que usa una red de VPC de RoCE dependen de las etiquetas seguras de destino y origen. Por lo tanto, asegúrate de conocer cómo crear y administrar etiquetas seguras y cómo vincular etiquetas seguras a instancias de VM.
Para crear redes de VPC de RoCE y políticas de firewall de red regionales para redes de VPC de RoCE, consulta Crea y administra reglas de firewall para redes de VPC de RoCE.
Para controlar el tráfico de entrada y segmentar tus cargas de trabajo cuando creas reglas de entrada en una política de firewall de red regional, sigue estos pasos:
Crea una regla de firewall de entrada de denegación que especifique
src-ip-ranges=0.0.0.0/0y se aplique a todas las VMs de la red de VPC de RoCE.Crea reglas de firewall de entrada con mayor prioridad que permitan el acceso y que especifiquen etiquetas seguras de destino y etiquetas seguras de origen.
Para determinar qué reglas de firewall se aplican a una interfaz de red de VM o para ver los registros de reglas de firewall, consulta Obtén reglas de firewall efectivas para una interfaz de VM y Usa el registro de las reglas de firewall.