Halaman ini menjelaskan cara memecahkan masalah umum yang mungkin Anda alami saat menyiapkan kebijakan Cloud Next Generation Firewall untuk jaringan Virtual Private Cloud (VPC) dengan profil jaringan remote direct memory access (RDMA) over converged ethernet (RoCE).
Kebijakan default mengizinkan semua koneksi
Masalah ini terjadi saat Anda tidak mengaitkan kebijakan firewall apa pun untuk jaringan VPC dengan profil jaringan RoCE.
Untuk mengatasi masalah ini, tentukan kebijakan firewall untuk jaringan VPC Anda dengan profil jaringan RoCE. Jika Anda tidak menentukan kebijakan, semua instance virtual machine (VM) di jaringan VPC yang sama akan terhubung satu sama lain secara default. Untuk mengetahui informasi selengkapnya, lihat Membuat jaringan dengan profil jaringan RDMA.
Aturan firewall tersirat mengizinkan traffic masuk
Masalah ini terjadi saat kebijakan firewall RoCE dilampirkan ke jaringan VPC menggunakan profil jaringan RoCE dan tidak ada aturan lain yang cocok.
Untuk mengatasi masalah ini, pahami bahwa aturan firewall tersirat untuk kebijakan firewall jaringan RoCE adalah INGRESS ALLOW ALL. Aturan ini berlaku jika tidak ada aturan lain yang cocok.
Tidak dapat mengaktifkan logging pada aturan tolak yang tersirat
Masalah ini terjadi saat Anda mencoba mengaktifkan logging pada aturan
DENY tersirat untuk kebijakan firewall RoCE.
Untuk mengatasi masalah ini, buat aturan DENY terpisah. Gunakan flag
--src-ip-range=0.0.0.0/0 dan --enable-logging dengan aturan ini. Anda
tidak dapat mengaktifkan logging secara langsung pada aturan tersirat.
Log tindakan firewall mencakup informasi koneksi berikut:
- Log
ALLOWdipublikasikan satu kali, saat koneksi dibuat, dan memberikan informasi 2-tuple (alamat IP sumber, alamat IP tujuan). - Log
DENYmemberikan informasi 5-tuple untuk paket yang ditolak. Log ini diulang selama upaya traffic berlanjut, dengan kecepatan maksimum sekali setiap 5 detik.
Untuk mengetahui informasi selengkapnya tentang batas, lihat Per aturan firewall.
Langkah berikutnya
- Cloud NGFW untuk profil jaringan RoCE
- Membuat dan mengelola aturan firewall untuk RoCE
- Ringkasan profil jaringan