Nesta página, descrevemos como resolver problemas comuns que podem ocorrer ao configurar políticas de firewall de próxima geração do Cloud para redes de nuvem privada virtual (VPC) com o perfil de rede de acesso direto à memória (RDMA) remoto sobre Ethernet convergente (RoCE).
A política padrão permite todas as conexões
Esse problema ocorre quando você não associa nenhuma política de firewall para uma rede VPC ao perfil de rede RoCE.
Para resolver esse problema, defina uma política de firewall para sua rede VPC com o perfil de rede RoCE. Se você não definir uma política, todas as instâncias de máquina virtual (VM) na mesma rede VPC se conectarão umas às outras por padrão. Para mais informações, consulte Criar uma rede com o perfil de rede RDMA.
A regra de firewall implícita permite o tráfego de entrada
Esse problema ocorre quando uma política de firewall RoCE é anexada a uma rede VPC usando o perfil de rede RoCE e nenhuma outra regra correspondente.
Para resolver esse problema, entenda que a regra de firewall implícita para uma política de firewall de rede RoCE é INGRESS ALLOW ALL. Essa regra é aplicada se nenhuma outra regra corresponder.
Não é possível ativar a geração de registros em uma regra de negação implícita
Esse problema ocorre quando você tenta ativar a geração de registros na regra DENY implícita de uma política de firewall RoCE.
Para resolver esse problema, crie uma regra DENY separada. Use as sinalizações
--src-ip-range=0.0.0.0/0 e --enable-logging com essa regra. Não é possível ativar o registro diretamente na regra implícita.
Os registros de ações de firewall incluem as seguintes informações de conexão:
- Os registros
ALLOWsão publicados uma vez, no estabelecimento da conexão, e fornecem informações de duas tuplas (endereço IP de origem, endereço IP de destino). - Os registros do
DENYfornecem informações de cinco tuplas para o pacote negado. Esses registros são repetidos enquanto as tentativas de tráfego continuam, com uma taxa máxima de uma vez a cada 5 segundos.
Para mais informações sobre limites, consulte Por regra de firewall.
A seguir
- Cloud NGFW para o perfil de rede RoCE
- Criar e gerenciar regras de firewall para RoCE
- Visão geral dos perfis de rede