יצירה וניהול של כללים לחומת האש ברשתות RoCE VPC

המסוף

1. נכנסים לדף VPC networks במסוף Google Cloud .

   מעבר לרשתות VPC

2. לוחצים על יצירת רשת VPC.

3. בשדה Name, מזינים שם לרשת.

4. משאירים את תיבת הסימון הגדרת MTU באופן אוטומטי מסומנת. כשמסמנים את תיבת הסימון הזו, Google Cloud מגדיר אוטומטית את ה-MTU לערך ברירת המחדל של סוג רשת ה-VPC שאתם יוצרים. ברשתות VPC עם פרופיל רשת RDMA, ערך ברירת המחדל של MTU הוא 8896.

5. בוחרים באפשרות הגדרת פרופיל רשת ומבצעים את הפעולות הבאות:

   1. בשדה תחום, בוחרים את התחום של פרופיל הרשת שבו רוצים להשתמש. רשת ה-VPC שאתם יוצרים מוגבלת לאזור הזה, כלומר אתם יכולים ליצור משאבים ברשת רק באזור הזה.
   2. בוחרים את פרופיל רשת ה-RDMA לאזור שבחרתם קודם, למשל us-central1-b-vpc-falcon,‏ us-central1-b-vpc-roce או us-central1-b-vpc-roce-metal.
   3. כדי לראות את קבוצת התכונות הנתמכות בפרופיל הרשת שבחרתם, לוחצים על תצוגה מקדימה של תכונות פרופיל הרשת.

6. בקטע New subnet (רשת משנה חדשה), מציינים את פרמטרי ההגדרה הבאים של רשת משנה:

   1. בשדה Name, מזינים שם לרשת המשנה.
   2. בשדה Region, בוחרים את האזור שבו רוצים ליצור את רשת המשנה. האזור הזה צריך להתאים לאזור של פרופיל הרשת שהגדרתם. לדוגמה, אם הגדרתם פרופיל רשת באזור us-central1-b (כמו us-central1-b-vpc-roce), אתם צריכים ליצור את רשת המשנה באזור us-central1.

   3. מזינים טווח IPv4. הטווח הזה הוא טווח ה-IPv4 הראשי של רשת המשנה.

      אם בוחרים טווח שהוא לא כתובת RFC 1918, צריך לוודא שהטווח לא מתנגש עם הגדרה קיימת. מידע נוסף זמין במאמר בנושא טווחים של רשתות משנה IPv4.

   4. לוחצים על סיום.

7. כדי להוסיף עוד רשתות משנה, לוחצים על הוספת רשת משנה וחוזרים על השלבים הקודמים. אפשר גם להוסיף עוד רשתות משנה לרשת אחרי שיוצרים אותה.

8. לוחצים על יצירה.

gcloud

1. כדי ליצור את הרשת, משתמשים בפקודה gcloud compute networks create ומציינים את הדגל --network-profile.

     gcloud compute networks create NETWORK \
         --subnet-mode=custom \
         --network-profile=NETWORK_PROFILE
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫NETWORK: שם לרשת ה-VPC

   • ‫NETWORK_PROFILE: השם הספציפי לאזור של פרופיל הרשת, כמו us-central1-b-vpc-falcon,‏ us-central1-b-vpc-roce או us-central1-b-vpc-roce-metal.

     פרופילי רשת RDMA לא זמינים בכל האזורים. כדי לראות את המקרים הספציפיים לאזור של פרופיל רשת שזמינים, פועלים לפי ההוראות להצגת רשימה של פרופילי רשת.

2. כדי להוסיף רשתות משנה, משתמשים בפקודה gcloud compute networks subnets create.

     gcloud compute networks subnets create SUBNET \
         --network=NETWORK \
         --range=PRIMARY_RANGE \
         --region=REGION
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫SUBNET: שם לתת-הרשת החדשה
   • ‫NETWORK: השם של רשת ה-VPC שמכילה את תת-הרשת החדשה
   • ‫PRIMARY_RANGE: טווח ה-IPv4 הראשי של תת-הרשת החדשה, בסימון CIDR. מידע נוסף זמין במאמר בנושא טווחים של רשתות משנה של IPv4.
   • ‫REGION: האזור שבו נוצרת תת-הרשת החדשה. Google Cloud הכתובת הזו צריכה להתאים לאזור בפרופיל הרשת שהגדרתם. לדוגמה, אם הגדרתם פרופיל רשת באזור us-central1-b (כמו us-central1-b-vpc-roce), אתם צריכים ליצור את רשת המשנה באזור us-central1.

API

1. כדי ליצור את הרשת, שולחים בקשת POST אל ה-method‏ networks.insert ומציינים את המאפיין networkProfile.

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
   {
   "autoCreateSubnetworks": false,
   "name": "NETWORK",
   "networkProfile": "NETWORK_PROFILE"
   }
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫PROJECT_ID: מזהה הפרויקט שבו נוצרה רשת ה-VPC
   • ‫NETWORK: שם לרשת ה-VPC

   • ‫NETWORK_PROFILE: השם הספציפי לאזור של פרופיל הרשת, כמו us-central1-b-vpc-falcon,‏ us-central1-b-vpc-roce או us-central1-b-vpc-roce-metal.

     פרופילי רשת RDMA לא זמינים בכל האזורים. כדי לראות את המקרים הספציפיים לאזור של פרופיל רשת שזמינים, פועלים לפי ההוראות להצגת רשימה של פרופילי רשת.

2. כדי להוסיף תת-רשתות, צריך לשלוח בקשת POST ל-method‏ subnetworks.insert.

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
   {
   "ipCidrRange": "IP_RANGE",
   "network": "NETWORK_URL",
   "name": "SUBNET"
   }
   

   מחליפים את מה שכתוב בשדות הבאים:

   • ‫PROJECT_ID: מזהה הפרויקט שמכיל את רשת ה-VPC שרוצים לשנות
   • ‫REGION: השם של האזור Google Cloud שבו נוספה תת-הרשת. האזור הזה צריך להתאים לאזור של פרופיל הרשת שהגדרתם. לדוגמה, אם הגדרתם פרופיל רשת באזור us-central1-b (כמו us-central1-b-vpc-roce), אתם צריכים ליצור את רשת המשנה באזור us-central1.
   • ‫IP_RANGE: טווח כתובות ה-IPv4 הראשי של רשת המשנה. מידע נוסף זמין במאמר בנושא טווחים של רשתות משנה של IPv4.
   • ‫NETWORK_URL: כתובת ה-URL של רשת ה-VPC שבה מוסיפים את רשת המשנה
   • ‫SUBNET: שם לתת-הרשת

המסוף

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט בארגון.

3. לוחצים על יצירת מדיניות חומת אש.

4. בשדה Name, מזינים שם למדיניות.

5. בקטע סוג המדיניות, בוחרים באפשרות מדיניות RDMA RoCE.

6. לוחצים על יצירה.

gcloud

כדי ליצור מדיניות חומת אש אזורית עבור רשת VPC של RoCE, השתמשו בפקודה gcloud compute network-firewall-policies create:

  gcloud compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

מחליפים את מה שכתוב בשדות הבאים:

• FIREWALL_POLICY: שם למדיניות חומת האש של הרשת
• ‫REGION: אזור שרוצים להחיל על המדיניות. האזור חייב לכלול את התחום (zone) של פרופיל רשת RoCE שבו נעשה שימוש ברשת VPC של RoCE.

המסוף

כדי ליצור כלל תעבורת נתונים נכנסת שמשתמש בטווח כתובות ה-IP של המקור 0.0.0.0/0 וחָל על כל ממשקי הרשת ברשת ה-VPC של RoCE, צריך לבצע את הפעולות הבאות:

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. ברשימת הפרויקטים, בוחרים את הפרויקט או את התיקייה שמכילים את המדיניות.

3. לוחצים על שם המדיניות ואז על יצירת כלל חומת אש.

4. מזינים את העדיפות של הכלל.

5. בקטע טירגוט, בוחרים באפשרות החלה על הכול.

6. בקטע מקור, בוחרים באפשרות כל כתובות ה-IP‏ (0.0.0.0/0).

7. בקטע פעולה בהתאמה, מציינים אם חיבורים שתואמים לכלל מורשים (אישור) או נדחים (דחייה).

8. בקטע יומנים, בוחרים באפשרות מופעל או מושבת.

9. לוחצים על יצירה.

כדי ליצור כלל תנועה נכנסת שמשתמש בתג מאובטח של מקור ומיועד לממשקי רשת ספציפיים של מכונות וירטואליות עם ערך תג מאובטח משויך, צריך לבצע את הפעולות הבאות:

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. ברשימת הפרויקטים, בוחרים את הפרויקט או את התיקייה שמכילים את המדיניות.

3. לוחצים על שם המדיניות ואז על יצירת כלל חומת אש.

4. מזינים את העדיפות של הכלל.

5. בקטע טירגוט, בוחרים באפשרות החלה על הכול.

6. בשדה מקור, בוחרים באפשרות תגים מאובטחים ומבצעים את הפעולות הבאות:

   1. לוחצים על בחירת היקף לתגים.
   2. בדף Select a resource (בחירת משאב), בוחרים את הארגון או הפרויקט שבהם רוצים ליצור תגים מאובטחים.
   3. בוחרים את צמדי המפתח/ערך שעליהם רוצים להחיל את הכלל.
   4. כדי להוסיף עוד צמדי מפתח/ערך, לוחצים על הוספת תג.

7. בקטע יומנים, בוחרים באפשרות מופעל או מושבת.

8. לוחצים על יצירה.

gcloud

כדי ליצור כלל תעבורה נכנסת שמשתמש בדגל --src-ip-ranges=0.0.0.0/0 וחל על כל ממשקי הרשת ברשת ה-VPC של RoCE, משתמשים בפקודה gcloud compute network-firewall-policies rules create:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

כדי ליצור כלל תנועה נכנסת שמשתמש בתג מאובטח של מקור וחל על ממשקי רשת ספציפיים של מכונות וירטואליות עם ערך תג מאובטח משויך, משתמשים בפקודה gcloud compute network-firewall-policies rules create:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

מחליפים את מה שכתוב בשדות הבאים:

• ‫PRIORITY: העדיפות של הכלל
• ‫ACTION: הפעולה במקרה של התאמה של הכלל
  • אם משתמשים ב---src-ip-ranges=0.0.0.0/0, אפשר להשתמש ב-ALLOW או ב-DENY.
  • אם אתם משתמשים ב---src-secure-tag, אתם יכולים להשתמש רק ב-ALLOW.
• ‫FIREWALL_POLICY_NAME: השם של מדיניות חומת האש האזורית שבה נוצר הכלל.
• ‫FIREWALL_POLICY_REGION: האזור שבו נעשה שימוש במדיניות האזורית של חומת האש ברשת, שבה נוצר הכלל.
• ‫SRC_SECURE_TAG: מגדיר את פרמטר המקור של כלל הכניסה באמצעות רשימה מופרדת בפסיקים של ערכי תגים מאובטחים. מידע נוסף זמין במאמר בנושא תגים מאובטחים לחומות אש.
• ‫TARGET_SECURE_TAG: מגדיר את פרמטר היעד של הכלל באמצעות רשימה מופרדת בפסיקים של ערכי תגים מאובטחים. מידע נוסף זמין במאמר בנושא תגים מאובטחים לחומות אש.

המסוף

1. נכנסים לדף Firewall policies במסוף Google Cloud .

   לדף Firewall policies

2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות עם רשת ה-VPC של RoCE.

3. לוחצים על המדיניות הרלוונטית.

4. לוחצים על הכרטיסייה שיוכים.

5. לוחצים על הוספת שיוכים.

6. בוחרים את רשתות ה-RDMA RoCE בפרויקט.

7. לוחצים על קישור.

gcloud

כדי לשייך מדיניות אזורית של חומת אש ברשת לרשת RoCE VPC, משתמשים בפקודה gcloud compute network-firewall-policies associations create:

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION
  

מחליפים את מה שכתוב בשדות הבאים:

• FIREWALL_POLICY: שם של מדיניות אזורית של חומת אש ברשת

  סוג המדיניות של מדיניות חומת האש האזורית חייב להיות RDMA_ROCE_POLICY.

• ‫NETWORK: שם של רשת VPC מסוג RoCE

• ‫FIREWALL_POLICY_REGION: האזור של מדיניות חומת האש

  האזור צריך לכלול את האזור של פרופיל רשת RoCE שמשמש את רשת ה-VPC של RoCE.