使用透過融合乙太網路 (RoCE) 網路設定檔的遠端直接記憶體存取 (RDMA) 的虛擬私有雲 (VPC) 網路稱為 RoCE VPC 網路。本頁面說明如何建立 RoCE 虛擬私有雲網路,以及如何設定適用於該網路的防火牆規則。開始之前,請先詳閱下列資訊:
由於 RoCE 虛擬私有雲網路使用的區域網路防火牆政策規則,高度依賴目標安全標記和來源安全標記,請務必熟悉如何建立及管理安全標記,以及如何將安全標記繫結至 VM 執行個體。
本節說明如何執行下列工作:
- 建立 RoCE 虛擬私有雲網路
- 建立可與 RoCE 虛擬私有雲網路搭配使用的區域網路防火牆政策
- 在區域網路防火牆政策中建立規則
- 將區域網路防火牆政策與 RoCE VPC 網路建立關聯
事前準備
請務必查看 RDMA 網路設定檔的虛擬私有雲網路中支援和不支援的功能。如果您嘗試設定不支援的功能, Google Cloud 會傳回錯誤。
建立具有 RDMA 網路設定檔的網路
如要建立具有 RDMA 網路設定檔的虛擬私有雲網路,請執行下列步驟。
控制台
前往 Google Cloud 控制台的「VPC Networks」(虛擬私有雲網路) 頁面。
按一下「建立虛擬私有雲網路」。
在「Name」(名稱) 欄位中,輸入網路名稱。
在「Maximum transmission unit (MTU)」(最大傳輸單位) 欄位中,選取「
8896」。選取「設定網路設定檔」,然後執行下列操作:
- 在「Zone」(可用區) 欄位中,選取要使用的網路設定檔可用區。 您建立的虛擬私有雲網路會受限於這個可用區,也就是說,您只能在這個可用區的網路中建立資源。
- 選取先前所選可用區的 RDMA 網路設定檔,例如
europe-west4-b-vpc-falcon或europe-west4-b-vpc-roce。 - 如要查看所選網路設定檔支援的功能,請按一下「預覽網路設定檔功能」。
在「New subnet」(新子網路) 部分,指定子網路的以下設定參數:
- 在「Name」(名稱) 欄位中,輸入子網路的名稱。
- 在「Region」(區域) 欄位中,選取要建立子網路的區域。這個區域必須對應您設定的網路設定檔區域。舉例來說,如果您在
europe-west4-b可用區設定網路設定檔 (例如europe-west4-b-vpc-roce),就必須在europe-west4區域建立子網路。 輸入「IPv4 range」(IPv4 範圍)。這個範圍是子網路的主要 IPv4 範圍。
如果您選取的範圍不是 RFC 1918 位址,請確認該範圍不會與現有設定衝突。詳情請參閱「IPv4 子網路範圍」。
按一下 [完成]。
如要新增其他子網路,請按一下「Add subnet」(新增子網路),然後重複上述步驟。建立網路之後,您也可以在網路中新增更多子網路。
點選「建立」。
gcloud
如要建立網路,請使用
gcloud compute networks create指令並指定--network-profile旗標。gcloud compute networks create NETWORK \ --subnet-mode=custom \ --network-profile=NETWORK_PROFILE更改下列內容:
NETWORK:虛擬私有雲網路的名稱NETWORK_PROFILE:網路設定檔的區域專屬名稱,例如europe-west4-b-vpc-falcon或europe-west4-b-vpc-roce。並非所有可用區都提供 RDMA 網路設定檔。如要查看可用的網路設定檔可用區專屬執行個體,請按照列出網路設定檔的操作說明進行。
如要新增子網路,請使用
gcloud compute networks subnets create指令。gcloud compute networks subnets create SUBNET \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGION更改下列內容:
SUBNET:新子網路的名稱NETWORK:包含新子網路的虛擬私有雲網路名稱PRIMARY_RANGE:新子網路的主要 IPv4 範圍,採用 CIDR 標記法。詳情請參閱「IPv4 子網路範圍」。REGION:建立新子網路的 Google Cloud 區域。這必須與您設定的網路設定檔區域相符。舉例來說,如果您在europe-west4-b可用區設定網路設定檔 (例如europe-west4-b-vpc-roce),就必須在europe-west4區域建立子網路。
API
如要建立網路,請對
networks.insert方法發出POST要求,並指定networkProfile屬性。POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks { "autoCreateSubnetworks": false, "name": "NETWORK", "networkProfile": "NETWORK_PROFILE" }更改下列內容:
PROJECT_ID:建立虛擬私有雲網路的專案 IDNETWORK:虛擬私有雲網路的名稱NETWORK_PROFILE:網路設定檔的專屬區域名稱,例如europe-west4-b-vpc-falcon或europe-west4-b-vpc-roce並非所有可用區都提供 RDMA 網路設定檔。如要查看可用的網路設定檔可用區專屬執行個體,請按照列出網路設定檔的操作說明進行。
如要新增子網路,請向
subnetworks.insert方法發出POST要求。POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks { "ipCidrRange": "IP_RANGE", "network": "NETWORK_URL", "name": "SUBNET" }更改下列內容:
PROJECT_ID:要修改的虛擬私有雲網路所在專案的 IDREGION:子網路新增至其中的 Google Cloud 區域名稱。這個區域必須與您設定的網路設定檔區域相符。舉例來說,如果您在europe-west4-b可用區設定網路設定檔 (例如europe-west4-b-vpc-roce),就必須在europe-west4區域建立子網路。IP_RANGE:子網路的主要 IPv4 位址範圍。 詳情請參閱「IPv4 子網路範圍」。NETWORK_URL:您要新增子網路的虛擬私有雲網路網址SUBNET:子網路的名稱
建立區域網路防火牆政策
RoCE 虛擬私有雲網路僅支援政策類型為 RDMA_ROCE_POLICY 的區域網路防火牆政策。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取機構內的專案。
按一下「建立防火牆政策」。
在「Name」(名稱) 欄位中,輸入政策名稱。
在「政策類型」部分,選取「RDMA RoCE 政策」。
點選「建立」。
gcloud
如要為 RoCE 虛擬私有雲網路建立區域網路防火牆政策,請使用 gcloud compute network-firewall-policies create 指令:
gcloud compute network-firewall-policies create FIREWALL_POLICY \
--region REGION \
--policy-type=RDMA_ROCE_POLICY
更改下列內容:
FIREWALL_POLICY:網路防火牆政策的名稱REGION:要套用政策的區域。該區域必須包含 RoCE 虛擬私有雲網路使用的 RoCE 網路設定檔所在區域。
在區域網路防火牆政策中建立規則
政策類型為 RDMA_ROCE_POLICY 的區域網路防火牆政策僅支援輸入規則,且對有效來源、動作和第 4 層設定標記設有限制。詳情請參閱「規格」。
控制台
如要建立使用來源 IP 範圍 0.0.0.0/0 的連入規則,並套用至 RoCE VPC 網路中的所有網路介面,請按照下列步驟操作:
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器清單中,選取專案或包含政策的資料夾。
按一下政策名稱,然後點選「建立防火牆規則」。
輸入規則的優先順序。
在「目標」中,選取「套用至全部」。
在「來源」中,選取「所有 IP 位址 (0.0.0.0/0)」。
針對「相符時執行的動作」,指定要允許 (允許) 或拒絕 (拒絕) 符合規則的連線。
針對「記錄」,選擇「開啟」或「關閉」。
點選「建立」。
如要建立使用來源安全標記的 Ingress 規則,並套用至具有相關聯安全標記值的 VM 特定網路介面,請按照下列步驟操作:
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器清單中,選取專案或包含政策的資料夾。
按一下政策名稱,然後點選「建立防火牆規則」。
輸入規則的優先順序。
在「目標」中,選取「套用至全部」。
在「來源」中選取「安全代碼」,然後執行下列操作:
- 按一下「選取標記的範圍」。
- 在「選取資源」頁面中,選取要建立安全標記的機構或專案。
- 選取要套用規則的鍵/值組合。
- 如要新增更多鍵/值組合,請按一下「新增代碼」。
針對「記錄」,選擇「開啟」或「關閉」。
點選「建立」。
gcloud
如要建立使用 --src-ip-ranges=0.0.0.0/0 旗標的連入規則,並套用至 RoCE 虛擬私有雲網路中的所有網路介面,請使用 gcloud compute network-firewall-policies rules create 指令:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ACTION \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-ip-ranges=0.0.0.0/0
如要建立使用來源安全標記的 Ingress 規則,並套用至具有相關聯安全標記值的 VM 特定網路介面,請使用 gcloud compute network-firewall-policies rules create 指令:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ALLOW \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
--target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]
更改下列內容:
PRIORITY:規則的優先順序ACTION:規則的相符時執行的動作- 如果您使用
--src-ip-ranges=0.0.0.0/0,可以選擇ALLOW或DENY。 - 如果您使用
--src-secure-tag,就只能使用ALLOW。
- 如果您使用
FIREWALL_POLICY_NAME:要建立規則的區域性網路防火牆政策名稱。FIREWALL_POLICY_REGION:區域性網路防火牆政策使用的區域,規則是在該政策中建立。SRC_SECURE_TAG:使用以半形逗號分隔的安全標記值清單,定義輸入規則的來源參數。詳情請參閱防火牆的安全標記。TARGET_SECURE_TAG:定義規則的目標參數,方法是以逗號分隔安全代碼值清單。詳情請參閱防火牆的安全標記。
將區域網路防火牆政策與 RoCE 虛擬私有雲網路建立關聯
將區域網路防火牆政策與 RoCE 虛擬私有雲網路建立關聯。確保政策規則適用於該網路中的 MRDMA 網路介面。
控制台
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
在專案選取器選單中,選取包含 RoCE 虛擬私有雲網路政策的專案。
按一下政策。
按一下「關聯項目」分頁標籤。
按一下「新增關聯項目」。
選取專案中的 RDMA RoCE 網路。
按一下「關聯」。
gcloud
如要將區域網路防火牆政策與 RoCE 虛擬私有雲網路建立關聯,請使用 gcloud compute network-firewall-policies associations create 指令:
gcloud compute network-firewall-policies associations create \
--firewall-policy FIREWALL_POLICY \
--network NETWORK \
--firewall-policy-region FIREWALL_POLICY_REGION
更改下列內容:
FIREWALL_POLICY:區域網路防火牆政策的名稱區域網路防火牆政策的政策類型必須為
RDMA_ROCE_POLICY。NETWORK:RoCE 虛擬私有雲網路的名稱FIREWALL_POLICY_REGION:防火牆政策的區域該區域必須包含 RoCE 虛擬私有雲網路使用的 RoCE 網路設定檔區域。