이 페이지에서는 컨버지드 이더넷 (RoCE) 네트워크 프로필을 통한 원격 직접 메모리 액세스 (RDMA)를 사용하여 가상 프라이빗 클라우드 (VPC) 네트워크에 Cloud 차세대 방화벽 정책을 설정할 때 발생할 수 있는 일반적인 문제를 해결하는 방법을 설명합니다.
기본 정책은 모든 연결을 허용합니다.
이 문제는 VPC 네트워크의 방화벽 정책을 RoCE 네트워크 프로필과 연결하지 않은 경우에 발생합니다.
이 문제를 해결하려면 RoCE 네트워크 프로필을 사용하여 VPC 네트워크의 방화벽 정책을 정의하세요. 정책을 정의하지 않으면 동일한 VPC 네트워크의 모든 가상 머신 (VM) 인스턴스가 기본적으로 서로 연결됩니다. 자세한 내용은 RDMA 네트워크 프로필로 네트워크 만들기를 참고하세요.
묵시적 방화벽 규칙이 인그레스 트래픽을 허용함
이 문제는 RoCE 네트워크 프로필을 사용하여 RoCE 방화벽 정책이 VPC 네트워크에 연결되고 일치하는 다른 규칙이 없을 때 발생합니다.
이 문제를 해결하려면 RoCE 네트워크 방화벽 정책의 암시적 방화벽 규칙이 INGRESS ALLOW ALL임을 이해해야 합니다. 다른 규칙이 일치하지 않는 경우 이 규칙이 적용됩니다.
묵시적 거부 규칙에는 로깅을 사용 설정할 수 없음
이 문제는 RoCE 방화벽 정책의 암시적 DENY 규칙에서 로깅을 사용 설정하려고 할 때 발생합니다.
이 문제를 해결하려면 별도의 DENY 규칙을 만드세요. 이 규칙과 함께 --src-ip-range=0.0.0.0/0 및 --enable-logging 플래그를 사용합니다. 묵시적 규칙에서는 로깅을 직접 사용 설정할 수 없습니다.
방화벽 작업 로그에는 다음 연결 정보가 포함됩니다.
ALLOW로그는 연결 설정 시 한 번 게시되며 2-튜플 (소스 IP 주소, 대상 IP 주소) 정보를 제공합니다.DENY로그는 거부된 패킷에 대한 5튜플 정보를 제공합니다. 이러한 로그는 트래픽 시도가 계속되는 한 5초에 한 번의 최대 속도로 반복됩니다.
한도에 대한 자세한 내용은 방화벽 규칙별을 참고하세요.