排解 RoCE 網路設定檔的 Cloud NGFW 政策問題
本頁面說明如何排解常見問題。您可能會在為虛擬私有雲 (VPC) 網路設定 Cloud Next Generation Firewall 政策時遇到這些問題,而這些網路採用透過融合乙太網路的遠端直接記憶體存取 (RDMA over Converged Ethernet,RoCE) 網路設定檔。
預設政策允許所有連線
如果沒有將虛擬私有雲網路的任何防火牆政策與 RoCE 網路設定檔建立關聯,就會發生這個問題。
如要解決這個問題,請使用 RoCE 網路設定檔,為虛擬私有雲網路定義防火牆政策。如果您未定義政策,同一虛擬私有雲網路中的所有虛擬機器 (VM) 執行個體預設會彼此連線。詳情請參閱「使用 RDMA 網路設定檔建立網路」。
默示防火牆規則允許輸入流量
如果使用 RoCE 網路設定檔將 RoCE 防火牆政策附加至 VPC 網路,且沒有其他相符規則,就會發生這個問題。
如要解決這個問題,請瞭解 RoCE 網路防火牆政策的隱含防火牆規則為 INGRESS ALLOW ALL。如果沒有其他符合的規則,系統就會採用這項規則。
無法對默示拒絕規則啟用記錄功能
如果您嘗試對 RoCE 防火牆政策的隱含 DENY 規則啟用記錄功能,就會發生這個問題。
如要解決這個問題,請建立個別的 DENY 規則。請使用 --src-ip-range=0.0.0.0/0 和 --enable-logging 旗標搭配這項規則。您無法直接對默示規則啟用記錄功能。防火牆動作記錄檔包含下列連線資訊:
ALLOW 記錄會在建立連線時發布一次,並提供 2 元組 (來源 IP 位址、目的地 IP 位址) 資訊。DENY 記錄會提供遭拒封包的 5 元組資訊。只要持續嘗試傳輸流量,系統就會重複記錄這些記錄,但最多每 5 秒一次。
如要進一步瞭解限制,請參閱每個防火牆規則。
後續步驟
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權,程式碼範例則為阿帕契 2.0 授權。詳情請參閱《Google Developers 網站政策》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-08-14 (世界標準時間)。
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["缺少我需要的資訊","missingTheInformationINeed","thumb-down"],["過於複雜/步驟過多","tooComplicatedTooManySteps","thumb-down"],["過時","outOfDate","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["示例/程式碼問題","samplesCodeIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-08-14 (世界標準時間)。"],[],[],null,[]]
