En esta página, se describe cómo solucionar problemas comunes que puedes encontrar cuando configuras políticas del Firewall de nueva generación de Cloud para redes de nube privada virtual (VPC) con el perfil de red de acceso directo a memoria remota (RDMA) a través de Ethernet convergente (RoCE).
La política predeterminada permite todas las conexiones
Este problema se produce cuando no asocias ninguna política de firewall para una red de VPC con el perfil de red de RoCE.
Para resolver este problema, define una política de firewall para tu red de VPC con el perfil de red RoCE. Si no defines una política, todas las instancias de máquina virtual (VM) en la misma red de VPC se conectan entre sí de forma predeterminada. Para obtener más información, consulta Crea una red con el perfil de red RDMA.
La regla de firewall implícita permite el tráfico de entrada
Este problema se produce cuando una política de firewall de RoCE se adjunta a una red de VPC con el perfil de red de RoCE y ninguna otra regla coincidente.
Para resolver este problema, ten en cuenta que la regla de firewall implícita para una política de firewall de red RoCE es INGRESS ALLOW ALL. Esta regla se aplica si no coincide ninguna otra.
No se puede habilitar el registro en la regla de denegación implícita
Este problema se produce cuando intentas habilitar el registro en la regla DENY implícita para una política de firewall de RoCE.
Para resolver este problema, crea una regla DENY independiente. Usa las marcas --src-ip-range=0.0.0.0/0 y --enable-logging con esta regla. No puedes habilitar el registro directamente en la regla implícita.
Los registros de acciones del firewall incluyen la siguiente información de conexión:
- Los registros de
ALLOWse publican una vez, en el momento del establecimiento de la conexión, y proporcionan información de 2 tuplas (dirección IP de origen, dirección IP de destino). - Los registros de
DENYproporcionan información de 5 tuplas para el paquete rechazado. Estos registros se repiten mientras continúen los intentos de tráfico, con una frecuencia máxima de una vez cada 5 segundos.
Para obtener más información sobre los límites, consulta Por regla de firewall.
¿Qué sigue?
- Cloud NGFW para el perfil de red RoCE
- Crea y administra reglas de firewall para RoCE
- Descripción general de los perfiles de red