Firewallregeln für RoCE-VPC-Netzwerke erstellen und verwalten

Ein VPC-Netzwerk (Virtual Private Cloud), das das RDMA-Netzwerkprofil (Remote Direct Memory Access) über Converged Ethernet (RoCE) verwendet, wird als RoCE-VPC-Netzwerk bezeichnet. Auf dieser Seite wird beschrieben, wie Sie ein RoCE-VPC-Netzwerk erstellen und Firewallregeln konfigurieren, die auf das Netzwerk angewendet werden. Lesen Sie vor Beginn die folgenden Informationen:

Da die Regeln in einer regionalen Netzwerk-Firewallrichtlinie, die von einem RoCE VPC-Netzwerk verwendet wird, stark von sicheren Ziel-Tags und sicheren Quell Tags abhängen, sollten Sie wissen, wie Sie sichere Tags erstellen und verwalten und sichere Tags binden an die VM-Instanzen.

In diesem Abschnitt wird beschrieben, wie Sie die folgenden Aufgaben ausführen:

  • RoCE-VPC-Netzwerk erstellen
  • Regionale Netzwerk-Firewallrichtlinie erstellen, die mit dem RoCE-VPC-Netzwerk funktioniert
  • Regeln in der regionalen Netzwerk-Firewallrichtlinie erstellen
  • Regionale Netzwerk-Firewallrichtlinie mit dem RoCE-VPC-Netzwerk verknüpfen

Hinweis

Lesen Sie die Informationen zu den unterstützten und nicht unterstützten Funktionen in VPC-Netzwerken mit einem RDMA-Netzwerkprofil. Wenn Sie versuchen, nicht unterstützte Funktionen zu konfigurieren, gibt die Console einen Fehler zurück. Google Cloud

Netzwerk mit einem RDMA-Netzwerkprofil erstellen

So erstellen Sie ein VPC-Netzwerk mit einem RDMA-Netzwerkprofil:

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf VPC-Netzwerk erstellen.

  3. Geben Sie im Feld Name einen Namen für das VPC-Netzwerk ein.

  4. Lassen Sie das Kästchen MTU automatisch festlegen ausgewählt. Wenn dieses Kästchen ausgewählt ist, Google Cloud legt die Console die MTU automatisch auf den Standardwert für den Typ des VPC-Netzwerk fest, das Sie erstellen. Für VPC-Netzwerke mit einem RDMA-Netzwerkprofil ist der MTU-Standardwert 8896.

  5. Wählen Sie Netzwerkprofil konfigurieren aus und gehen Sie so vor:

    1. Wählen Sie im Feld Zone die Zone des Netzwerkprofils aus, das Sie verwenden möchten. Das von Ihnen erstellte VPC-Netzwerk ist auf diese Zone beschränkt. Das bedeutet, dass Sie Ressourcen im Netzwerk nur in dieser Zone erstellen können.
    2. Wählen Sie das RDMA-Netzwerkprofil für die zuvor ausgewählte Zone aus , z. B. us-central1-b-vpc-falcon, us-central1-b-vpc-roce oder us-central1-b-vpc-roce-metal.
    3. Wenn Sie die unterstützten Funktionen für das ausgewählte Netzwerkprofil ansehen möchten, klicken Sie auf Vorschau der Netzwerkprofilfunktionen anzeigen.

  6. Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:

    1. Geben Sie im Feld Name einen Namen für das Subnetz ein.
    2. Wählen Sie im Feld Region die Region aus, in der das Subnetz erstellt werden soll. Diese Region muss der Zone des konfigurierten Netzwerkprofils entsprechen. Wenn Sie beispielsweise ein Netzwerkprofil in der Zone us-central1-b konfiguriert haben (z. B. us-central1-b-vpc-roce), müssen Sie das Subnetz in der Region us-central1 erstellen.

    3. Geben Sie einen IPv4-Bereich ein. Dieser Bereich ist der primäre IPv4 Bereich für das Subnetz.

      Wenn Sie einen Bereich auswählen, der keine RFC 1918-Adresse ist, prüfen Sie, ob der Bereich mit einer vorhandenen Konfiguration in Konflikt steht. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.

    4. Klicken Sie auf Fertig.

  7. Klicken Sie auf Subnetz hinzufügen, um weitere Subnetze zu erstellen. Wiederholen Sie dazu die vorherigen Schritte. Sie können dem Netzwerk auch weitere Subnetze hinzufügen, nachdem Sie es erstellt haben.

  8. Klicken Sie auf Erstellen.

gcloud

  1. Verwenden Sie den gcloud compute networks create Befehl und geben Sie das --network-profile Flag an, um das Netzwerk zu erstellen.

      gcloud compute networks create NETWORK \
      --subnet-mode=custom \
      --network-profile=NETWORK_PROFILE

    Ersetzen Sie Folgendes:

    • NETWORK: ein Name für das VPC-Netzwerk

    • NETWORK_PROFILE: der zonenspezifische Name des Netzwerkprofils, z. B. us-central1-b-vpc-falcon, us-central1-b-vpc-roce oder us-central1-b-vpc-roce-metal.

      RDMA-Netzwerkprofile sind nicht in allen Zonen verfügbar. Eine Liste der zonenspezifischen Instanzen eines Netzwerkprofils, die verfügbar sind, finden Sie unter Netzwerkprofile auflisten.

  2. Verwenden Sie den gcloud compute networks subnets create Befehl, um Subnetze hinzuzufügen.

      gcloud compute networks subnets create SUBNET \
      --network=NETWORK \
      --range=PRIMARY_RANGE \
      --region=REGION

    Ersetzen Sie Folgendes:

    • SUBNET: ein Name für das neue Subnetz
    • NETWORK: der Name des VPC-Netzwerk, das das neue Subnetz enthält
    • PRIMARY_RANGE: der primäre IPv4-Bereich für das neue Subnetz in CIDR-Notation. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.
    • REGION: die Google Cloud Region, in der das neue Subnetz erstellt wird. Diese Region muss der Zone des konfigurierten Netzwerkprofils entsprechen. Wenn Sie beispielsweise ein Netzwerkprofil in der Zone us-central1-b konfiguriert haben (z. B. us-central1-b-vpc-roce), müssen Sie das Subnetz in der Region us-central1 erstellen.

API

  1. Stellen Sie eine POST Anfrage an die networks.insert Methode und geben Sie die networkProfile Property an, um das Netzwerk zu erstellen.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
{
"autoCreateSubnetworks": false,
"name": "NETWORK",
"networkProfile": "NETWORK_PROFILE"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, in dem das VPC-Netzwerk erstellt wird
    • NETWORK: ein Name für das VPC-Netzwerk

    • NETWORK_PROFILE: der zonenspezifische Name des Netzwerkprofils, z. B. us-central1-b-vpc-falcon, us-central1-b-vpc-roce oder us-central1-b-vpc-roce-metal.

      RDMA-Netzwerkprofile sind nicht in allen Zonen verfügbar. Eine Liste der zonenspezifischen Instanzen eines Netzwerkprofils, die verfügbar sind, finden Sie unter Netzwerkprofile auflisten.

  2. Stellen Sie eine POST Anfrage an die subnetworks.insert Methode, um Subnetze hinzuzufügen.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"ipCidrRange": "IP_RANGE",
"network": "NETWORK_URL",
"name": "SUBNET"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, das das zu ändernde VPC-Netzwerk enthält
    • REGION: der Name der Google Cloud Region, in der das Subnetz hinzugefügt wird. Diese Region muss der Zone des konfigurierten Netzwerkprofils entsprechen. Wenn Sie beispielsweise ein Netzwerkprofil in der Zone us-central1-b konfiguriert haben (z. B. us-central1-b-vpc-roce), müssen Sie das Subnetz in der Region us-central1 erstellen.
    • IP_RANGE: der primäre IPv4-Adressbereich für das Subnetz. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.
    • NETWORK_URL: die URL des VPC-Netzwerk, dem Sie das Subnetz hinzufügen
    • SUBNET: ein Name für das Subnetz

Regionale Netzwerk-Firewallrichtlinie erstellen

RoCE-VPC-Netzwerke unterstützen nur regionale Netzwerk-Firewallrichtlinien mit dem Richtlinientyp RDMA_ROCE_POLICY.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü der Projektauswahl das Projekt in Ihrer Organisation aus.

  3. Klicken Sie auf Firewallrichtlinie erstellen.

  4. Geben Sie im Feld Name einen Richtliniennamen ein.

  5. Wählen Sie für Richtlinientyp die Option RDMA-RoCE-Richtlinie aus.

  6. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den gcloud compute network-firewall-policies create Befehl, um eine regionale Netzwerk-Firewallrichtlinie für ein RoCE-VPC Netzwerk zu erstellen:

  gcloud compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

Ersetzen Sie Folgendes:

  • FIREWALL_POLICY: ein Name für die Netzwerk-Firewallrichtlinie
  • REGION: eine Region, die Sie auf die Richtlinie anwenden möchten. Die Region muss die Zone des RoCE-Netzwerkprofils enthalten, das vom RoCE-VPC-Netzwerk verwendet wird.

Regeln in der regionalen Netzwerk-Firewallrichtlinie erstellen

Regionale Netzwerk-Firewallrichtlinien mit dem Richtlinientyp RDMA_ROCE_POLICY unterstützen nur Regeln für eingehenden Traffic und haben Einschränkungen für gültige Quell-, Aktions- und Layer 4-Konfigurationsflags. Weitere Informationen finden Sie unter Spezifikationen.

Console

So erstellen Sie eine Regel für eingehenden Traffic, die den Quell-IP-Bereich 0.0.0.0/0 verwendet und auf alle Netzwerkschnittstellen im RoCE-VPC-Netzwerk angewendet wird:

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste der Projektauswahl das Projekt oder den Ordner aus, der Ihre Richtlinie enthält.

  3. Klicken Sie auf den Namen Ihrer Richtlinie und dann auf Firewallregel erstellen.

  4. Geben Sie die Priorität der Regel ein.

  5. Wählen Sie für Ziel die Option Auf alle anwenden aus.

  6. Wählen Sie für Quelle die Option Alle IP-Adressen (0.0.0.0/0) aus.

  7. Geben Sie für Aktion bei Übereinstimmung an, ob Verbindungen, die der Regel entsprechen, zugelassen (Zulassen) oder abgelehnt (Ablehnen) werden sollen.

  8. Wählen Sie für Logs die Option Ein oder Aus aus.

  9. Klicken Sie auf Erstellen.

So erstellen Sie eine Regel für eingehenden Traffic, die ein sicheres Quell-Tag verwendet und auf bestimmte Netzwerkschnittstellen von VMs mit einem zugehörigen sicheren Tag-Wert angewendet wird:

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste der Projektauswahl das Projekt oder den Ordner aus, der Ihre Richtlinie enthält.

  3. Klicken Sie auf den Namen Ihrer Richtlinie und dann auf Firewallregel erstellen.

  4. Geben Sie die Priorität der Regel ein.

  5. Wählen Sie für Ziel die Option Auf alle anwenden aus.

  6. Wählen Sie für Quelle die Option Sichere Tags aus und gehen Sie so vor:

    1. Klicken Sie auf Bereich für Tags auswählen.
    2. Wählen Sie auf der Seite Ressource auswählen die Organisation oder das Projekt aus, in dem Sie sichere Tags erstellen möchten.
    3. Wählen Sie die Schlüssel/Wert-Paare aus, auf die die Regel angewendet werden soll.
    4. Wenn Sie weitere Schlüssel/Wert-Paare hinzufügen möchten, klicken Sie auf Tag hinzufügen.

  7. Wählen Sie für Logs die Option Ein oder Aus aus.

  8. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den gcloud compute network-firewall-policies rules create Befehl mit dem --src-ip-ranges=0.0.0.0/0 Flag, um eine Regel für eingehenden Traffic zu erstellen, die auf alle Netzwerkschnittstellen im RoCE-VPC Netzwerk angewendet wird:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

Verwenden Sie den gcloud compute network-firewall-policies rules create Befehl, um eine Regel für eingehenden Traffic zu erstellen, die ein sicheres Quell-Tag verwendet und auf bestimmte Netzwerkschnittstellen von VMs mit einem zugehörigen sicheren Tag-Wert angewendet wird:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

Ersetzen Sie Folgendes:

  • PRIORITY: die Priorität der Regel
  • ACTION: die Aktion bei Übereinstimmung der Regel
    • Wenn Sie --src-ip-ranges=0.0.0.0/0 verwenden, können Sie entweder ALLOW oder DENY verwenden.
    • Wenn Sie --src-secure-tag verwenden, können Sie nur ALLOW verwenden.
  • FIREWALL_POLICY_NAME: ein Name der regionalen Netzwerk-Firewallrichtlinie, in der die Regel erstellt wird.
  • FIREWALL_POLICY_REGION: die Region, die von der regionalen Netzwerk-Firewallrichtlinie verwendet wird, in der die Regel erstellt wird.
  • SRC_SECURE_TAG: definiert den Quellparameter der Regel für eingehenden Traffic mit einer durch Kommas getrennten Liste sicherer Tag-Werte. Weitere Informationen finden Sie unter Sichere Tags für Firewalls.
  • TARGET_SECURE_TAG: definiert den Zielparameter der Regel mit einer durch Kommas getrennten Liste sicherer Tag-Werte. Weitere Informationen finden Sie unter Sichere Tags für Firewalls.

Regionale Netzwerk-Firewallrichtlinie mit einem RoCE-VPC-Netzwerk verknüpfen

Verknüpfen Sie die regionale Netzwerk-Firewallrichtlinie mit Ihrem RoCE-VPC-Netzwerk. So wird sichergestellt, dass die Regeln der Richtlinie auf die MRDMA-Netzwerkschnittstellen in diesem Netzwerk angewendet werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü der Projektauswahl das Projekt aus, das die Richtlinie mit Ihrem RoCE-VPC-Netzwerk enthält.

  3. Klicken Sie auf die Richtlinie.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Klicken Sie auf Verknüpfungen hinzufügen.

  6. Wählen Sie die RDMA-RoCE-Netzwerke im Projekt aus.

  7. Klicken Sie auf Verknüpfen.

gcloud

Verwenden Sie den gcloud compute network-firewall-policies associations create Befehl, um eine regionale Netzwerk-Firewallrichtlinie mit einem RoCE VPC-Netzwerk zu verknüpfen:

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION

Ersetzen Sie Folgendes:

  • FIREWALL_POLICY: ein Name der regionalen Netzwerk-Firewallrichtlinie

    Die regionale Netzwerk-Firewallrichtlinie muss den Richtlinientyp RDMA_ROCE_POLICY haben.

  • NETWORK: ein Name des RoCE-VPC-Netzwerk

  • FIREWALL_POLICY_REGION: die Region der Firewallrichtlinie

    Die Region muss die Zone des RoCE-Netzwerkprofils enthalten, das vom RoCE-VPC-Netzwerk verwendet wird.

Nächste Schritte