Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.

Esta página foi traduzida pela API Cloud Translation.

Cloud NGFW para redes VPC RoCE

As políticas regionais de firewall de rede do Cloud Next Generation Firewall podem ser usadas por redes de nuvem privada virtual (VPC) que têm um perfil de rede de acesso direto à memória remota (RDMA) associado em Ethernet convergente (RoCE). As redes VPC RoCE são criadas com um perfil de rede RDMA RoCE.

As redes VPC RoCE habilitam cargas de trabalho zonais para computação de alta performance, incluindo cargas de trabalho de IA em Trusted Cloud by S3NS. Nesta página, descrevemos as principais diferenças no suporte do Cloud NGFW para redes VPC RoCE.

Especificações

As seguintes especificações de firewall se aplicam às redes VPC RoCE:

Regras e políticas de firewall compatíveis: as redes VPC RoCE só são compatíveis com regras de firewall em políticas regionais de firewall de rede. Elas não são compatíveis com políticas de firewall de rede global, políticas de firewall hierárquicas ou regras de firewall da VPC.
Região e tipo de política: para usar uma política regional de firewall de rede com uma rede VPC RoCE, crie a política com os seguintes atributos:
- A região da política de firewall precisa conter a zona usada pelo perfil de rede RoCE da rede VPC RoCE.
- Defina o tipo de política de firewall como RDMA_ROCE_POLICY.
Consequentemente, uma política de firewall de rede regional só pode ser usada por redes VPC RoCE em uma região específica. Uma política regional de firewall de rede não pode ser usada por redes VPC RoCE e redes VPC comuns.
A política de firewall RoCE não tem estado: ela processa cada pacote como uma unidade independente e não rastreia as conexões em andamento. Portanto, para garantir que duas máquinas virtuais (VMs) possam se comunicar, é necessário criar uma regra de entrada de permissão nas duas direções.

Regras de firewall implícitas

As redes VPC RoCE usam as seguintes regras de firewall implícitas, que são diferentes das regras de firewall implícitas usadas pelas redes VPC comuns:

Saída de permissão implícita
Permissão de entrada implícita

Uma rede VPC RoCE sem regras em uma política de firewall de rede regional associada permite todo o tráfego de saída e entrada. Essas regras de firewall implícitas não são compatíveis com a geração de registros de regras de firewall.

Especificações da regra

As regras em uma política de firewall de rede regional com o tipo de política RDMA_ROCE_POLICY precisam atender aos seguintes requisitos:

Somente direção de entrada: a direção da regra precisa ser de entrada. Não é possível criar regras de firewall de saída em uma política de firewall de rede regional cujo tipo seja RDMA_ROCE_POLICY.
Parâmetro de destino: as tags seguras de destino são aceitas, mas as contas de serviço de destino não.
Parâmetro de origem: apenas dois dos seguintes valores de parâmetro de origem são aceitos:
- Os intervalos de endereços IP de origem (src-ip-ranges) são aceitos, mas o único valor válido é 0.0.0.0/0.
- As tags de origem seguras (src-secure-tags) são totalmente compatíveis. Usar tags seguras é a maneira recomendada de segmentar cargas de trabalho que estão na mesma rede VPC RoCE.
As tags de origem seguras e os intervalos de endereços IP de origem são mutuamente exclusivos. Por exemplo, se você criar uma regra com src-ip-ranges=0.0.0.0/0, não poderá usar tags seguras de origem (src-secure-tags). Outros parâmetros de origem que fazem parte do Cloud NGFW Standard (grupos de endereços de origem, nomes de domínio de origem, geolocalizações de origem, listas de origem do Google Threat Intelligence) não são compatíveis.

Observação: as tags seguras de destino e de origem se aplicam às interfaces de rede da máquina virtual (VM) que enviam pacotes. Para mais informações, consulte Especificações.
Parâmetro de ação: as ações de permissão e negação são compatíveis, com as seguintes restrições:
- Uma regra de entrada com src-ip-ranges=0.0.0.0/0 pode usar a ação ALLOW ou DENY.
- Uma regra de entrada com uma tag segura de origem só pode usar a ação ALLOW.
Parâmetros de protocolo e porta: o único protocolo aceito é all (--layer4-configs=all). Não são permitidas regras que se aplicam a protocolos ou portas específicos.

Como monitorar e gerar registros

A geração de registros de regras de firewall é compatível com as seguintes restrições:

Os registros das regras de firewall de entrada permitida são publicados uma vez por estabelecimento de túnel e fornecem informações de pacote de duas tuplas.
Os registros das regras de firewall de negação de entrada são publicados como pacotes amostrados e fornecem informações de pacotes de 5 tuplas. Os registros são publicados a uma taxa máxima de uma vez a cada 5 segundos, e todos os registros de firewall são limitados a 4.000 pacotes a cada 5 segundos.

Recursos não suportados

Os seguintes recursos não são compatíveis:

Configurar redes VPC RoCE

Para criar regras de firewall para uma rede VPC RoCE, use estas diretrizes e recursos:

As regras em uma política de firewall de rede regional usada por uma rede VPC RoCE dependem das tags seguras de destino e de origem. Portanto, familiarize-se com criar e gerenciar tags seguras e vincular tags seguras a instâncias de VM.
Para criar redes VPC RoCE e políticas regionais de firewall de rede para redes VPC RoCE, consulte Criar e gerenciar regras de firewall para redes VPC RoCE.
Para controlar o tráfego de entrada e segmentar suas cargas de trabalho ao criar regras de entrada em uma política de firewall de rede regional, siga estas etapas:
- Crie uma regra de firewall de negação de entrada que especifique src-ip-ranges=0.0.0.0/0 e se aplique a todas as VMs na rede VPC RoCE.
- Crie regras de firewall de entrada de maior prioridade que especifiquem tags seguras de destino e de origem.
Para determinar quais regras de firewall se aplicam a uma interface de rede de VM ou ver os registros de regras de firewall, consulte Receber regras de firewall em vigor para uma interface de VM e Usar a geração de registros de regras de firewall.