Cette page explique comment résoudre les problèmes courants que vous pouvez rencontrer lors de la configuration des règles Cloud Next Generation Firewall pour les réseaux de cloud privé virtuel (VPC) avec le profil réseau RDMA (Remote Direct Memory Access) over Converged Ethernet (RoCE).
La stratégie par défaut autorise toutes les connexions
Ce problème se produit lorsque vous n'associez aucune stratégie de pare-feu pour un réseau VPC au profil réseau RoCE.
Pour résoudre ce problème, définissez une stratégie de pare-feu pour votre réseau VPC avec le profil réseau RoCE. Si vous ne définissez pas de stratégie, toutes les instances de machine virtuelle (VM) du même réseau VPC se connectent les unes aux autres par défaut. Pour en savoir plus, consultez Créer un réseau avec le profil réseau RDMA.
La règle de pare-feu implicite autorise le trafic entrant
Ce problème se produit lorsqu'une stratégie de pare-feu RoCE est associée à un réseau VPC à l'aide du profil de réseau RoCE et qu'aucune autre règle correspondante n'est appliquée.
Pour résoudre ce problème, sachez que la règle de pare-feu implicite pour une stratégie de pare-feu réseau RoCE est INGRESS ALLOW ALL. Cette règle s'applique si aucune autre règle ne correspond.
Impossible d'activer la journalisation pour la règle de refus implicite
Ce problème se produit lorsque vous tentez d'activer la journalisation sur la règle DENY implicite pour une stratégie de pare-feu RoCE.
Pour résoudre ce problème, créez une règle DENY distincte. Utilisez les options --src-ip-range=0.0.0.0/0 et --enable-logging avec cette règle. Vous ne pouvez pas activer la journalisation directement sur la règle implicite.
Les journaux d'actions du pare-feu incluent les informations de connexion suivantes :
- Les journaux
ALLOWsont publiés une seule fois, lors de l'établissement de la connexion, et fournissent des informations sur le 2-tuple (adresse IP source, adresse IP de destination). - Les journaux
DENYfournissent des informations à cinq tuples pour le paquet refusé. Ces journaux sont répétés tant que les tentatives de trafic se poursuivent, avec une fréquence maximale d'une fois toutes les cinq secondes.
Pour en savoir plus sur les limites, consultez la section Par règle de pare-feu.
Étapes suivantes
- Cloud NGFW pour le profil de réseau RoCE
- Créer et gérer des règles de pare-feu pour RoCE
- Présentation des profils réseau