Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Trusted Cloud von S3NS.

Diese Seite wurde von der Cloud Translation API übersetzt.

Fehlerbehebung bei Cloud NGFW-Richtlinien für RoCE-Netzwerkprofile

Auf dieser Seite wird beschrieben, wie Sie häufige Probleme beheben, die beim Einrichten von Cloud Next Generation Firewall-Richtlinien für VPC-Netzwerke (Virtual Private Cloud) mit dem Netzwerkprofil „Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE)“ auftreten können.

Standardrichtlinie lässt alle Verbindungen zu

Dieses Problem tritt auf, wenn Sie kein RoCE-Netzwerkprofil mit einer Firewallrichtlinie für ein VPC-Netzwerk verknüpfen.

Um dieses Problem zu beheben, definieren Sie eine Firewallrichtlinie für Ihr VPC-Netzwerk mit dem RoCE-Netzwerkprofil. Wenn Sie keine Richtlinie definieren, stellen alle VM-Instanzen (virtuelle Maschinen) im selben VPC-Netzwerk standardmäßig eine Verbindung zueinander her. Weitere Informationen finden Sie unter Netzwerk mit dem RDMA-Netzwerkprofil erstellen.

Implizite Firewallregel lässt eingehenden Traffic zu

Dieses Problem tritt auf, wenn eine RoCE-Firewallrichtlinie über das RoCE-Netzwerkprofil an ein VPC-Netzwerk angehängt wird und keine anderen übereinstimmenden Regeln vorhanden sind.

Um dieses Problem zu beheben, müssen Sie wissen, dass die implizite Firewallregel für eine RoCE-Netzwerk-Firewallrichtlinie INGRESS ALLOW ALL ist. Diese Regel wird angewendet, wenn keine anderen Regeln übereinstimmen.

Logging kann nicht für die implizierte Regel zum Ablehnen aktiviert werden

Dieses Problem tritt auf, wenn Sie versuchen, das Logging für die implizite DENY-Regel für eine RoCE-Firewallrichtlinie zu aktivieren.

Erstellen Sie eine separate DENY-Regel, um dieses Problem zu beheben. Verwenden Sie die Flags --src-ip-range=0.0.0.0/0 und --enable-logging mit dieser Regel. Sie können das Logging nicht direkt für die implizierte Regel aktivieren. Firewall-Aktionslogs enthalten die folgenden Verbindungsinformationen:

ALLOW-Logs werden einmal bei der Verbindungsherstellung veröffentlicht und enthalten Informationen zum 2-Tupel (Quell-IP-Adresse, Ziel-IP-Adresse).
DENY-Logs enthalten 5-Tupel-Informationen für das abgelehnte Paket. Diese Logs werden wiederholt, solange Traffic-Versuche fortgesetzt werden, mit einer maximalen Rate von einmal alle 5 Sekunden.

Weitere Informationen zu Limits finden Sie unter Pro Firewallregel.

Fehlerbehebung bei Cloud NGFW-Richtlinien für RoCE-Netzwerkprofile

Standardrichtlinie lässt alle Verbindungen zu

Implizite Firewallregel lässt eingehenden Traffic zu

Logging kann nicht für die implizierte Regel zum Ablehnen aktiviert werden

Nächste Schritte