Créer et gérer des règles de pare-feu pour les réseaux VPC RoCE

Un réseau de cloud privé virtuel (VPC) qui utilise le profil réseau Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE) est appelé réseau VPC RoCE. Cette page vous explique comment créer un réseau VPC RoCE et configurer les règles de pare-feu qui s'appliquent au réseau. Avant de commencer, consultez les informations suivantes :

Étant donné que les règles d'une stratégie de pare-feu de réseau régional utilisée par un réseau VPC RoCE reposent fortement sur les tags sécurisés cibles et les tags sécurisés sources, assurez-vous de savoir comment créer et gérer des tags sécurisés et associer des tags sécurisés aux instances de VM.

Cette section explique comment effectuer les tâches suivantes :

  • Créer un réseau VPC RoCE
  • Créer une stratégie de pare-feu réseau régionale compatible avec le réseau VPC RoCE
  • Créer des règles dans la stratégie de pare-feu réseau régionale
  • Associer la stratégie de pare-feu réseau régionale au réseau VPC RoCE

Avant de commencer

Assurez-vous de consulter les fonctionnalités compatibles et non compatibles dans les réseaux VPC avec un profil réseau RDMA. Si vous essayez de configurer des fonctionnalités non compatibles, Google Cloud renvoie une erreur.

Créer un réseau avec un profil réseau RDMA

Pour créer un réseau VPC avec un profil réseau RDMA, procédez comme suit.

Console

  1. Dans la console Google Cloud , accédez à la page Réseaux VPC.

    Accéder aux réseaux VPC

  2. Cliquez sur Créer un réseau VPC.

  3. Dans le champ Nom, saisissez un nom pour le réseau.

  4. Dans le champ Unité de transmission maximale (MTU), sélectionnez 8896.

  5. Sélectionnez Configurer le profil réseau et procédez comme suit :

    1. Dans le champ Zone, sélectionnez la zone du profil réseau que vous souhaitez utiliser. Le réseau VPC que vous créez est limité à cette zone, ce qui signifie que vous ne pouvez créer des ressources dans le réseau que dans cette zone.
    2. Sélectionnez le profil réseau RDMA pour la zone que vous avez sélectionnée précédemment, par exemple europe-west4-b-vpc-falcon ou europe-west4-b-vpc-roce.
    3. Pour afficher l'ensemble des fonctionnalités compatibles avec le profil réseau que vous avez sélectionné, cliquez sur Prévisualiser les caractéristiques du profil réseau.

  6. Dans la section Nouveau sous-réseau, spécifiez les paramètres de configuration de sous-réseau suivants :

    1. Dans le champ Nom, saisissez un nom pour le sous-réseau.
    2. Dans le champ Région, sélectionnez la région dans laquelle créer le sous-réseau. Cette région doit correspondre à la zone du profil réseau que vous avez configuré. Par exemple, si vous avez configuré un profil réseau dans la zone europe-west4-b (par exemple, europe-west4-b-vpc-roce), vous devez créer le sous-réseau dans la région europe-west4.

    3. Saisissez une plage IPv4. Cette plage correspond à la plage d'adresses IPv4 principale du sous-réseau.

      Si vous sélectionnez une plage qui n'est pas conforme à la RFC 1918, vérifiez qu'elle n'entre pas en conflit avec une configuration existante. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4.

    4. Cliquez sur OK.

  7. Pour ajouter d'autres sous-réseaux, cliquez sur Ajouter un sous-réseau et répétez les étapes ci-dessus. Vous pouvez également ajouter d'autres sous-réseaux au réseau après sa création.

  8. Cliquez sur Créer.

gcloud

  1. Pour créer le réseau, utilisez la commande gcloud compute networks create et spécifiez l'option --network-profile.

      gcloud compute networks create NETWORK \
      --subnet-mode=custom \
      --network-profile=NETWORK_PROFILE

    Remplacez les éléments suivants :

    • NETWORK : nom du réseau VPC.

    • NETWORK_PROFILE : nom du profil réseau spécifique à la zone, tel que europe-west4-b-vpc-falcon ou europe-west4-b-vpc-roce.

      Les profils réseau RDMA ne sont pas disponibles dans toutes les zones. Pour afficher les instances spécifiques à une zone d'un profil réseau disponibles, suivez les instructions pour lister les profils réseau.

  2. Pour ajouter des sous-réseaux, utilisez la commande gcloud compute networks subnets create.

      gcloud compute networks subnets create SUBNET \
      --network=NETWORK \
      --range=PRIMARY_RANGE \
      --region=REGION

    Remplacez les éléments suivants :

    • SUBNET : nom du nouveau sous-réseau
    • NETWORK : nom du réseau VPC contenant le nouveau sous-réseau
    • PRIMARY_RANGE : plage d'adresses IPv4 principales pour le nouveau sous-réseau, au format CIDR. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4.
    • REGION : région Google Cloud dans laquelle le nouveau sous-réseau est créé. Cela doit correspondre à la zone du profil réseau que vous avez configuré. Par exemple, si vous avez configuré un profil réseau dans la zone europe-west4-b (par exemple, europe-west4-b-vpc-roce), vous devez créer le sous-réseau dans la région europe-west4.

API

  1. Pour créer le réseau, envoyez une requête POST à la méthode networks.insert et spécifiez la propriété networkProfile.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
{
"autoCreateSubnetworks": false,
"name": "NETWORK",
"networkProfile": "NETWORK_PROFILE"
}

    Remplacez les éléments suivants :

    • PROJECT_ID : ID du projet dans lequel le réseau VPC est créé.
    • NETWORK : nom du réseau VPC.

    • NETWORK_PROFILE : nom du profil réseau spécifique à la zone, tel que europe-west4-b-vpc-falcon ou europe-west4-b-vpc-roce

      Les profils réseau RDMA ne sont pas disponibles dans toutes les zones. Pour afficher les instances spécifiques à une zone d'un profil réseau disponibles, suivez les instructions pour lister les profils réseau.

  2. Pour ajouter des sous-réseaux, envoyez une requête POST à la méthode subnetworks.insert.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"ipCidrRange": "IP_RANGE",
"network": "NETWORK_URL",
"name": "SUBNET"
}

    Remplacez les éléments suivants :

    • PROJECT_ID : ID du projet qui contient le réseau VPC à modifier.
    • REGION : nom de la région Google Cloud dans laquelle le sous-réseau est ajouté. Cette région doit correspondre à la zone du profil réseau que vous avez configuré. Par exemple, si vous avez configuré un profil réseau dans la zone europe-west4-b (par exemple, europe-west4-b-vpc-roce), vous devez créer le sous-réseau dans la région europe-west4.
    • IP_RANGE correspond à la plage d'adresses IPv4 principale du sous-réseau. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4.
    • NETWORK_URL : URL du réseau VPC sur lequel vous ajoutez le sous-réseau.
    • SUBNET : nom du sous-réseau

Créer une stratégie de pare-feu réseau régionales

Les réseaux VPC RoCE n'acceptent que les stratégies de pare-feu réseau régionales dont le type de stratégie est RDMA_ROCE_POLICY.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le menu de sélection du projet, sélectionnez votre projet au sein de votre organisation.

  3. Cliquez sur Créer une stratégie de pare-feu.

  4. Dans le champ Nom, saisissez un nom de stratégie.

  5. Pour Type de règle, sélectionnez Règle RDMA RoCE.

  6. Cliquez sur Créer.

gcloud

Pour créer une stratégie de pare-feu réseau régionale pour un réseau VPC RoCE, utilisez la commande gcloud compute network-firewall-policies create :

  gcloud compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

Remplacez les éléments suivants :

  • FIREWALL_POLICY : nom de la stratégie de pare-feu réseau
  • REGION : la région que vous souhaitez appliquer à la stratégie. La région doit contenir la zone du profil réseau RoCE utilisé par le réseau VPC RoCE.

Créer des règles dans la stratégie de pare-feu réseau régionale

Les stratégies de pare-feu réseau régionales dont le type de stratégie est RDMA_ROCE_POLICY ne sont compatibles qu'avec les règles d'entrée et comportent des contraintes sur les indicateurs de configuration de la source, de l'action et de la couche 4 valides. Pour en savoir plus, consultez Spécifications.

Console

Pour créer une règle d'entrée qui utilise la plage d'adresses IP sources 0.0.0.0/0 et s'applique à toutes les interfaces réseau du réseau VPC RoCE, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans la liste des sélecteurs de projet, sélectionnez votre projet ou le dossier contenant votre stratégie.

  3. Cliquez sur le nom de votre stratégie, puis sur Créer une règle de pare-feu.

  4. Saisissez la priorité de la règle.

  5. Pour Cible, sélectionnez Appliquer à tous.

  6. Pour Source, sélectionnez Toutes les adresses IP (0.0.0.0/0).

  7. Sous Action en cas de correspondance, indiquez si les connexions correspondant à la règle sont autorisées (Autoriser) ou refusées (Refuser).

  8. Pour Journaux, sélectionnez Activé ou Désactivé.

  9. Cliquez sur Créer.

Pour créer une règle d'entrée qui utilise un tag sécurisé source et s'applique à des interfaces réseau spécifiques de VM avec une valeur de tag sécurisé associée, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans la liste des sélecteurs de projet, sélectionnez votre projet ou le dossier contenant votre stratégie.

  3. Cliquez sur le nom de votre stratégie, puis sur Créer une règle de pare-feu.

  4. Saisissez la priorité de la règle.

  5. Pour Cible, sélectionnez Appliquer à tous.

  6. Pour Source, sélectionnez Tags sécurisés, puis procédez comme suit :

    1. Cliquez sur Sélectionner le champ d'application des tags.
    2. Sur la page Sélectionner une ressource, sélectionnez l'organisation ou le projet dans lequel vous souhaitez créer des tags sécurisés.
    3. Sélectionnez les paires clé-valeur auxquelles la règle doit s'appliquer.
    4. Pour ajouter d'autres paires clé-valeur, cliquez sur Ajouter un tag.

  7. Pour Journaux, sélectionnez Activé ou Désactivé.

  8. Cliquez sur Créer.

gcloud

Pour créer une règle d'entrée qui utilise le flag --src-ip-ranges=0.0.0.0/0 et s'applique à toutes les interfaces réseau du réseau VPC RoCE, utilisez la commande gcloud compute network-firewall-policies rules create :

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

Pour créer une règle d'entrée qui utilise un tag sécurisé source et s'applique à des interfaces réseau spécifiques de VM avec une valeur de tag sécurisé associée, utilisez la commande gcloud compute network-firewall-policies rules create :

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

Remplacez les éléments suivants :

  • PRIORITY : priorité de la règle
  • ACTION : action en cas de correspondance de la règle
    • Si vous utilisez --src-ip-ranges=0.0.0.0/0, vous pouvez utiliser ALLOW ou DENY.
    • Si vous utilisez --src-secure-tag, vous ne pouvez utiliser que ALLOW.
  • FIREWALL_POLICY_NAME : nom de la stratégie de pare-feu de réseau régionale dans laquelle la règle est créée.
  • FIREWALL_POLICY_REGION : région utilisée par la stratégie de pare-feu réseau régionale dans laquelle la règle est créée.
  • SRC_SECURE_TAG : définit le paramètre source de la règle d'entrée à l'aide d'une liste de valeurs de tags sécurisés séparées par une virgule. Pour en savoir plus, consultez Tags sécurisés pour les pare-feu.
  • TARGET_SECURE_TAG : définit le paramètre target de la règle à l'aide d'une liste de valeurs de tags sécurisés séparées par une virgule. Pour en savoir plus, consultez Tags sécurisés pour les pare-feu.

Associer la stratégie de pare-feu réseau régionale à un réseau VPC RoCE

Associez la stratégie de pare-feu réseau régionale à votre réseau VPC RoCE. Cela garantit que les règles de la stratégie s'appliquent aux interfaces réseau MRDMA de ce réseau.

Console

  1. Dans la console Google Cloud , accédez à la page Règles de pare-feu.

    Accéder à la page Règles de pare-feu

  2. Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie avec votre réseau VPC RoCE.

  3. Cliquez sur la stratégie.

  4. Cliquez sur l'onglet Associations.

  5. Cliquez sur Ajouter des associations.

  6. Sélectionnez les réseaux RDMA RoCE dans le projet.

  7. Cliquez sur Associer.

gcloud

Pour associer une stratégie de pare-feu réseau régionale à un réseau VPC RoCE, utilisez la commande gcloud compute network-firewall-policies associations create :

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION

Remplacez les éléments suivants :

  • FIREWALL_POLICY : nom de la stratégie de pare-feu réseau régional

    La stratégie de pare-feu réseau régionale doit avoir un type de stratégie RDMA_ROCE_POLICY.

  • NETWORK : nom du réseau VPC RoCE.

  • FIREWALL_POLICY_REGION : région de la stratégie de pare-feu

    La région doit contenir la zone du profil réseau RoCE utilisé par le réseau VPC RoCE.

Étapes suivantes