Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.

Cette page a été traduite par l'API Cloud Translation.

Cloud NGFW pour les réseaux VPC RoCE

Les stratégies de pare-feu réseau régionales Cloud Next Generation Firewall peuvent être utilisées par les réseaux de cloud privé virtuel (VPC) associés à un profil réseau RDMA (Remote Direct Memory Access) over converged ethernet (RoCE). Les réseaux VPC RoCE sont ceux qui sont créés avec un profil de réseau RDMA RoCE.

Les réseaux VPC RoCE permettent les charges de travail zonales pour le calcul hautes performances, y compris les charges de travail d'IA dans Trusted Cloud by S3NS. Cette page décrit les principales différences de compatibilité de Cloud NGFW pour les réseaux VPC RoCE.

Spécifications

Les spécifications de pare-feu suivantes s'appliquent aux réseaux VPC RoCE :

Règles et stratégies de pare-feu compatibles : les réseaux VPC RoCE uniquement sont compatibles avec les règles de pare-feu dans les stratégies de pare-feu réseau régionales. Elles ne sont pas compatibles avec les stratégies de pare-feu réseau mondiales, les stratégies de pare-feu hiérarchiques ni les règles de pare-feu VPC.
Région et type de stratégie : pour utiliser une stratégie de pare-feu de réseau régionale avec un réseau VPC RoCE, vous devez créer la stratégie avec les attributs suivants :
- La région de la stratégie de pare-feu doit contenir la zone utilisée par le profil réseau RoCE du réseau VPC RoCE.
- Vous devez définir le type de stratégie de pare-feu sur RDMA_ROCE_POLICY.
Par conséquent, une stratégie de pare-feu réseau régionale ne peut être utilisée que par les réseaux VPC RoCE d'une région spécifique. Une stratégie de pare-feu de réseau régionale ne peut pas être utilisée à la fois par les réseaux VPC RoCE et les réseaux VPC standards.
La stratégie de pare-feu RoCE est sans état : elle traite chaque paquet comme une unité indépendante et ne suit pas les connexions en cours. Par conséquent, pour vous assurer que deux machines virtuelles (VM) peuvent communiquer, vous devez créer une règle d'autorisation d'entrée dans les deux sens.

Règles de pare-feu implicites

Les réseaux VPC RoCE utilisent les règles de pare-feu implicites suivantes, qui sont différentes de celles utilisées par les réseaux VPC standards :

Sortie autorisée implicite
Autorisation d'entrée implicite

Un réseau VPC RoCE sans aucune règle dans une stratégie de pare-feu réseau régionale associée autorise tout le trafic de sortie et d'entrée. Ces règles de pare-feu implicites ne sont pas compatibles avec la journalisation des règles de pare-feu.

Spécifications des règles

Les règles d'une stratégie de pare-feu réseau régionale dont le type de stratégie est RDMA_ROCE_POLICY doivent répondre aux exigences suivantes :

Direction d'entrée uniquement : la direction de la règle doit être "entrée". Vous ne pouvez pas créer de règles de pare-feu de sortie dans une stratégie de pare-feu réseau régionale dont le type de stratégie est RDMA_ROCE_POLICY.
Paramètre target : les tags sécurisés cibles sont acceptés, mais pas les comptes de service cibles.
Paramètre source : seules deux des valeurs de paramètre source suivantes sont acceptées :
- Les plages d'adresses IP sources (src-ip-ranges) sont acceptées, mais la seule valeur valide est 0.0.0.0/0.
- Les tags sécurisés sources (src-secure-tags) sont entièrement compatibles. L'utilisation de tags sécurisés est la méthode recommandée pour segmenter les charges de travail qui se trouvent dans le même réseau VPC RoCE.
Les tags sécurisés sources et les plages d'adresses IP sources s'excluent mutuellement. Par exemple, si vous créez une règle avec src-ip-ranges=0.0.0.0/0, vous ne pouvez pas utiliser les tags sécurisés de source (src-secure-tags). Les autres paramètres de source qui font partie de Cloud NGFW Standard (groupes d'adresses sources, noms de domaine sources, géolocalisations sources, listes Google Threat Intelligence sources) ne sont pas acceptés.

Remarque : Les tags sécurisés cibles et sources s'appliquent aux interfaces réseau de la machine virtuelle (VM) qui envoient des paquets. Pour en savoir plus, consultez Spécifications.
Paramètre d'action : les actions d'autorisation et de refus sont acceptées, avec les contraintes suivantes :
- Une règle d'entrée avec src-ip-ranges=0.0.0.0/0 peut utiliser l'action ALLOW ou DENY.
- Une règle d'entrée avec un tag sécurisé source ne peut utiliser que l'action ALLOW.
Paramètres de protocole et de port : le seul protocole accepté est all (--layer4-configs=all). Les règles qui s'appliquent à des protocoles ou des ports spécifiques ne sont pas autorisées.

Surveillance et journalisation

La journalisation des règles de pare-feu est compatible avec les contraintes suivantes :

Les journaux des règles de pare-feu autorisant les entrées sont publiés une fois par établissement de tunnel et fournissent des informations sur les paquets sous forme de tuples à deux éléments.
Les journaux des règles de pare-feu d'entrée refusée sont publiés sous forme de paquets échantillonnés et fournissent des informations sur les paquets à cinq tuples. Les journaux sont publiés à une fréquence maximale d'une fois toutes les cinq secondes, et tous les journaux de pare-feu sont limités à 4 000 paquets par période de cinq secondes.

Fonctionnalités non compatibles

Les fonctionnalités suivantes ne sont pas compatibles :

Configurer les réseaux VPC RoCE

Pour créer des règles de pare-feu pour un réseau VPC RoCE, suivez ces consignes et utilisez ces ressources :

Les règles d'une stratégie de pare-feu réseau régionale qu'un réseau VPC RoCE utilise dépendent des tags sécurisés cibles et sources. Par conséquent, assurez-vous de bien connaître les procédures de création et de gestion des tags sécurisés et d'association des tags sécurisés aux instances de VM.
Pour créer des réseaux VPC RoCE et des stratégies de pare-feu réseau régionales pour les réseaux VPC RoCE, consultez Créer et gérer des règles de pare-feu pour les réseaux VPC RoCE.
Pour contrôler le trafic entrant et segmenter vos charges de travail lorsque vous créez des règles d'entrée dans une stratégie de pare-feu réseau régionale, procédez comme suit :
- Créez une règle de pare-feu d'entrée de refus qui spécifie src-ip-ranges=0.0.0.0/0 et s'applique à toutes les VM du réseau VPC RoCE.
- Créez des règles de pare-feu d'entrée de priorité plus élevée qui spécifient des tags sécurisés cibles et des tags sécurisés sources.
Pour déterminer les règles de pare-feu qui s'appliquent à une interface réseau de VM ou pour afficher les journaux des règles de pare-feu, consultez Obtenir des règles de pare-feu efficaces pour une interface de VM et Utiliser la journalisation des règles de pare-feu.