このページでは、リモート ダイレクト メモリ アクセス(RDMA)over Converged Ethernet(RoCE)ネットワーク プロファイルを使用して Virtual Private Cloud(VPC)ネットワークの Cloud Next Generation Firewall ポリシーを設定する際に発生する可能性のある一般的な問題のトラブルシューティング方法について説明します。
デフォルトのポリシーではすべての接続が許可される
この問題は、VPC ネットワークのファイアウォール ポリシーを RoCE ネットワーク プロファイルに関連付けていない場合に発生します。
この問題を解決するには、RoCE ネットワーク プロファイルを使用して VPC ネットワークのファイアウォール ポリシーを定義します。ポリシーを定義しない場合、同じ VPC ネットワーク内のすべての仮想マシン(VM)インスタンスはデフォルトで相互に接続されます。詳細については、RDMA ネットワーク プロファイルを使用してネットワークを作成するをご覧ください。
暗黙のファイアウォール ルールで上り(内向き)トラフィックが許可される
この問題は、RoCE ファイアウォール ポリシーが RoCE ネットワーク プロファイルを使用して VPC ネットワークに接続され、一致するルールが他にない場合に発生します。
この問題を解決するには、RoCE ネットワーク ファイアウォール ポリシーの暗黙的なファイアウォール ルールが INGRESS ALLOW ALL であることを理解してください。このルールは、他の一致ルールがない場合に適用されます。
暗黙の上り拒否ルールでロギングを有効にできない
この問題は、RoCE ファイアウォール ポリシーの暗黙的な DENY ルールでロギングを有効にしようとすると発生します。
この問題を解決するには、別の DENY ルールを作成します。このルールでは、--src-ip-range=0.0.0.0/0 フラグと --enable-logging フラグを使用します。暗黙のルールでロギングを直接有効にすることはできません。ファイアウォール アクション ログには、次の接続情報が含まれます。
ALLOWログは、接続の確立時に 1 回だけ公開され、2 タプル(送信元 IP アドレス、宛先 IP アドレス)情報を提供します。DENYログには、拒否されたパケットの 5 タプル情報が記録されます。これらのログは、トラフィック試行が続く限り、最大 5 秒ごとに繰り返されます。
上限の詳細については、ファイアウォール ルールごとをご覧ください。