Créer et gérer des règles de pare-feu pour les réseaux VPC RoCE

Un réseau cloud privé virtuel (VPC) qui utilise le profil réseau RDMA (Remote Direct Memory Access) sur Ethernet convergé (RoCE) est appelé réseau VPC RoCE. Cette page explique comment créer un réseau VPC RoCE et configurer des règles de pare-feu qui s'appliquent au réseau. Avant de commencer, consultez les informations suivantes :

Étant donné que les règles d'une stratégie de pare-feu réseau régionale utilisée par un réseau VPC RoCE dépendent fortement des tags sécurisés cibles et des tags sécurisés sources, assurez-vous de savoir comment créer et gérer des tags sécurisés et comment les lier aux instances de VM.

Cette section explique comment effectuer les tâches suivantes :

  • Créer un réseau VPC RoCE
  • Créer une stratégie de pare-feu de réseau régionale qui fonctionne avec le réseau VPC RoCE
  • Créer des règles dans la stratégie de pare-feu de réseau régionale
  • Associer la stratégie de pare-feu de réseau régionale au réseau VPC RoCE

Avant de commencer

Assurez-vous de consulter les fonctionnalités compatibles et non compatibles dans les réseaux VPC avec un profil réseau RDMA. Si vous tentez de configurer des fonctionnalités non compatibles, Google Cloud renvoie une erreur.

Créer un réseau avec un profil réseau RDMA

Pour créer un réseau VPC avec un profil réseau RDMA, procédez comme suit.

Console

  1. Dans la console Google Cloud , accédez à la page Réseaux VPC.

    Accéder aux réseaux VPC

  2. Cliquez sur Créer un réseau VPC.

  3. Dans le champ Nom, saisissez un nom pour le réseau.

  4. Laissez la case Configurer automatiquement la MTU cochée. Lorsque cette case est cochée, Google Cloud définit automatiquement la MTU sur la valeur par défaut pour le type de réseau VPC que vous créez. Pour les réseaux VPC avec un profil réseau RDMA, la valeur MTU par défaut est 8896.

  5. Sélectionnez Configurer le profil réseau , puis procédez comme suit :

    1. Dans le champ Zone, sélectionnez la zone du profil réseau que vous souhaitez utiliser. Le réseau VPC que vous créez est limité à cette zone, ce qui signifie que vous ne pouvez créer des ressources dans le réseau que dans cette zone.
    2. Sélectionnez le profil réseau RDMA pour la zone que vous avez sélectionnée précédemment, par exemple us-central1-b-vpc-falcon, us-central1-b-vpc-roce, ou us-central1-b-vpc-roce-metal.
    3. Pour afficher l'ensemble des fonctionnalités compatibles avec le profil réseau que vous avez sélectionné, cliquez sur Prévisualiser les caractéristiques du profil réseau.

  6. Dans la section Nouveau sous-réseau, spécifiez les paramètres de configuration de sous-réseau suivants :

    1. Dans le champ Nom, saisissez un nom pour le sous-réseau.
    2. Dans le champ Région, sélectionnez la région dans laquelle créer le sous-réseau. Cette région doit correspondre à la zone du profil réseau que vous avez configuré. Par exemple, si vous avez configuré un profil réseau dans la zone us-central1-b (par exemple us-central1-b-vpc-roce), vous devez créer le sous-réseau dans la région us-central1.

    3. Saisissez une plage IPv4. Il s'agit de la plage d'adresses IPv4 principale du sous-réseau.

      Si vous sélectionnez une plage qui n'est pas conforme à la RFC 1918, vérifiez qu'elle n'entre pas en conflit avec une configuration existante. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4.

    4. Cliquez sur OK.

  7. Pour ajouter d'autres sous-réseaux, cliquez sur Ajouter un sous-réseau et répétez les étapes ci-dessus. Vous pouvez également ajouter d'autres sous-réseaux au réseau après que vous avez créé le réseau.

  8. Cliquez sur Créer.

gcloud

  1. Pour créer le réseau, utilisez la gcloud compute networks create commande et spécifiez l'option --network-profile flag.

      gcloud compute networks create NETWORK \
      --subnet-mode=custom \
      --network-profile=NETWORK_PROFILE

    Remplacez les éléments suivants :

    • NETWORK : nom du réseau VPC.

    • NETWORK_PROFILE : nom spécifique à la zone du profil réseau, tel que us-central1-b-vpc-falcon, us-central1-b-vpc-roce ou us-central1-b-vpc-roce-metal.

      Les profils réseau RDMA ne sont pas disponibles dans toutes les zones. Pour afficher les instances spécifiques à la zone d'un profil réseau disponibles, suivez les instructions pour lister les profils réseau.

  2. Pour ajouter des sous-réseaux, utilisez la gcloud compute networks subnets create commande.

      gcloud compute networks subnets create SUBNET \
      --network=NETWORK \
      --range=PRIMARY_RANGE \
      --region=REGION

    Remplacez les éléments suivants :

    • SUBNET : nom du nouveau sous-réseau.
    • NETWORK: nom du réseau VPC contenant le nouveau sous-réseau.
    • PRIMARY_RANGE: plage d'adresses IPv4 principales pour le nouveau sous-réseau, au format CIDR. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4 .
    • REGION : région dans laquelle le nouveau sous-réseau est créé. Google Cloud Cette région doit correspondre à la zone du profil réseau que vous avez configuré. Par exemple, si vous avez configuré un profil réseau dans la zone us-central1-b (par exemple us-central1-b-vpc-roce), vous devez créer le sous-réseau dans la région us-central1.

API

  1. Pour créer le réseau, envoyez une POST requête à la networks.insert méthode et spécifiez la networkProfile propriété.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
{
"autoCreateSubnetworks": false,
"name": "NETWORK",
"networkProfile": "NETWORK_PROFILE"
}

    Remplacez les éléments suivants :

    • PROJECT_ID: ID du projet dans lequel le réseau VPC est créé.
    • NETWORK : nom du réseau VPC.

    • NETWORK_PROFILE : nom spécifique à la zone du profil réseau, tel que us-central1-b-vpc-falcon, us-central1-b-vpc-roce ou us-central1-b-vpc-roce-metal.

      Les profils réseau RDMA ne sont pas disponibles dans toutes les zones. Pour afficher les instances spécifiques à la zone d'un profil réseau disponibles, suivez les instructions pour lister les profils réseau.

  2. Pour ajouter des sous-réseaux, envoyez une POST requête au subnetworks.insert méthode.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"ipCidrRange": "IP_RANGE",
"network": "NETWORK_URL",
"name": "SUBNET"
}

    Remplacez les éléments suivants :

    • PROJECT_ID: ID du projet qui contient le réseau VPC à modifier.
    • REGION : nom de la Google Cloud région dans laquelle le sous-réseau est ajouté. Cette région doit correspondre à la zone du profil réseau que vous avez configuré. Par exemple, si vous avez configuré un profil réseau dans la zone us-central1-b (par exemple us-central1-b-vpc-roce), vous devez créer le sous-réseau dans la région us-central1.
    • IP_RANGE : plage d'adresses IPv4 principale du sous-réseau. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4 .
    • NETWORK_URL: URL du réseau VPC sur lequel vous ajoutez le sous-réseau.
    • SUBNET : nom du sous-réseau.

Créer une stratégie de pare-feu réseau régionale

Les réseaux VPC RoCE ne sont compatibles qu'avec les stratégies de pare-feu de réseau régionales dont le type de stratégie est RDMA_ROCE_POLICY.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder aux stratégies de pare-feu

  2. Dans le menu de sélection du projet, sélectionnez votre projet au sein de votre organisation.

  3. Cliquez sur Créer une stratégie de pare-feu.

  4. Dans le champ Nom, saisissez un nom de stratégie.

  5. Pour le champ Type de stratégie, sélectionnez Règle RDMA RoCE.

  6. Cliquez sur Créer.

gcloud

Pour créer une stratégie de pare-feu de réseau régionale pour un réseau VPC RoCE network, utilisez la gcloud compute network-firewall-policies create commande :

  gcloud compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

Remplacez les éléments suivants :

  • FIREWALL_POLICY : nom de la stratégie de pare-feu de réseau.
  • REGION : région que vous souhaitez appliquer à la stratégie. La région doit contenir la zone du profil réseau RoCE utilisé par le réseau VPC RoCE.

Créer des règles dans la stratégie de pare-feu de réseau régionale

Les stratégies de pare-feu de réseau régionales dont le type de stratégie est RDMA_ROCE_POLICY ne sont compatibles qu'avec les règles d'entrée et sont soumises à des contraintes concernant les options de configuration de source, d'action et de couche 4 valides. Pour en savoir plus, consultez la section Spécifications.

Console

Pour créer une règle d'entrée qui utilise la plage d'adresses IP sources 0.0.0.0/0 et s'applique à toutes les interfaces réseau du réseau VPC RoCE, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Règles de pare-feu.

    Accéder aux stratégies de pare-feu

  2. Dans la liste des sélecteurs de projet, sélectionnez votre projet ou le dossier contenant votre stratégie.

  3. Cliquez sur le nom de votre stratégie, puis sur Créer une règle de pare-feu.

  4. Saisissez la priorité de la règle.

  5. Pour Cible, sélectionnez Appliquer à tous.

  6. Pour Source, sélectionnez Toutes les adresses IP (0.0.0.0/0).

  7. Sous Action en cas de correspondance, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser).

  8. Pour Journaux, sélectionnez Activé ou Désactivé.

  9. Cliquez sur Créer.

Pour créer une règle d'entrée qui utilise un tag sécurisé source et s'applique à des interfaces réseau spécifiques de VM avec une valeur de tag sécurisé associée, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Règles de pare-feu.

    Accéder aux stratégies de pare-feu

  2. Dans la liste des sélecteurs de projet, sélectionnez votre projet ou le dossier contenant votre stratégie.

  3. Cliquez sur le nom de votre stratégie, puis sur Créer une règle de pare-feu.

  4. Saisissez la priorité de la règle.

  5. Pour Cible, sélectionnez Appliquer à tous.

  6. Pour Source, sélectionnez Tags sécurisés, puis procédez comme suit :

    1. Cliquez sur Sélectionner le champ d'application des tags.
    2. Sur la page Sélectionner une ressource, sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des tags sécurisés.
    3. Sélectionnez les paires clé-valeur auxquelles la règle doit s'appliquer.
    4. Pour ajouter d'autres paires clé-valeur, cliquez sur Ajouter un tag.

  7. Pour Journaux, sélectionnez Activé ou Désactivé.

  8. Cliquez sur Créer.

gcloud

Pour créer une règle d'entrée qui utilise l'--src-ip-ranges=0.0.0.0/0 option et s'applique à toutes les interfaces réseau du réseau VPC RoCE, utilisez la gcloud compute network-firewall-policies rules create commande :

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

Pour créer une règle d'entrée qui utilise un tag sécurisé source et s'applique à des interfaces réseau spécifiques de VM avec une valeur de tag sécurisé associée, utilisez la commande gcloud compute network-firewall-policies rules create :

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

Remplacez les éléments suivants :

Associer la stratégie de pare-feu de réseau régionale à un réseau VPC RoCE

Associez la stratégie de pare-feu de réseau régionale à votre réseau VPC RoCE. Cela garantit que les règles de la stratégie s'appliquent aux interfaces réseau MRDMA de ce réseau.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder aux stratégies de pare-feu

  2. Dans le menu de sélection du projet, sélectionnez le projet contenant la stratégie avec votre réseau VPC RoCE.

  3. Cliquez sur la stratégie.

  4. Cliquez sur l'onglet Associations.

  5. Cliquez sur Ajouter des associations.

  6. Sélectionnez les réseaux RDMA RoCE dans le projet.

  7. Cliquez sur Associer.

gcloud

Pour associer une stratégie de pare-feu réseau régionale à un réseau VPC RoCE, utilisez la gcloud compute network-firewall-policies associations create commande :

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION

Remplacez les éléments suivants :

  • FIREWALL_POLICY: nom de la stratégie de pare-feu de réseau régionale.

    La stratégie de pare-feu de réseau régionale doit avoir un type de stratégie de RDMA_ROCE_POLICY.

  • NETWORK : nom du réseau VPC RoCE.

  • FIREWALL_POLICY_REGION : région de la stratégie de pare-feu.

    La région doit contenir la zone du profil réseau RoCE utilisé par le réseau VPC RoCE.

Étape suivante