Questa pagina descrive come risolvere i problemi comuni che potresti riscontrare quando configuri i criteri del firewall di nuova generazione Cloud per le reti Virtual Private Cloud (VPC) con il profilo di rete RDMA (Remote Direct Memory Access) su Ethernet convergente (RoCE).
Il criterio predefinito consente tutte le connessioni
Questo problema si verifica quando non associ alcuna policy firewall per una rete VPC al profilo di rete RoCE.
Per risolvere il problema, definisci una policy firewall per la tua rete VPC con il profilo di rete RoCE. Se non definisci una policy, tutte le istanze di macchine virtuali (VM) nella stessa rete VPC si connettono tra loro per impostazione predefinita. Per saperne di più, consulta Creare una rete con il profilo di rete RDMA.
La regola firewall implicita consente il traffico in entrata
Questo problema si verifica quando una policy del firewall RoCE viene collegata a una rete VPC utilizzando il profilo di rete RoCE e nessun'altra regola corrispondente.
Per risolvere questo problema, tieni presente che la regola firewall implicita per un criterio firewall di rete RoCE è INGRESS ALLOW ALL. Questa regola
viene applicata se non corrispondono altre regole.
Impossibile abilitare la registrazione nella regola di negazione implicita
Questo problema si verifica quando tenti di attivare la registrazione nella regola
DENY implicita per un criterio firewall RoCE.
Per risolvere il problema, crea una regola DENY separata. Utilizza i flag --src-ip-range=0.0.0.0/0 e --enable-logging con questa regola. Non puoi
abilitare la registrazione direttamente nella regola implicita.
I log delle azioni del firewall includono le seguenti informazioni sulla connessione:
- I log
ALLOWvengono pubblicati una sola volta, al momento della creazione della connessione, e forniscono informazioni a due tuple (indirizzo IP di origine, indirizzo IP di destinazione). - I log
DENYforniscono informazioni a 5 tuple per il pacchetto rifiutato. Questi log vengono ripetuti finché continuano i tentativi di traffico, con una frequenza massima di una volta ogni 5 secondi.
Per ulteriori informazioni sui limiti, vedi Per regola firewall.
Passaggi successivi
- Cloud NGFW per il profilo di rete RoCE
- Crea e gestisci le regole firewall per RoCE
- Panoramica dei profili di rete