Criar e gerenciar regras de firewall para redes VPC RoCE

Uma rede de nuvem privada virtual (VPC) que usa o perfil de rede RDMA (Remote Direct Memory Access) over Converged Ethernet (RoCE) é chamada de rede VPC RoCE. Nesta página, mostramos como criar uma rede VPC RoCE e configurar regras de firewall que se aplicam à rede. Antes de começar, leia as seguintes informações:

Como as regras em uma política de firewall de rede regional usada por uma rede VPC RoCE dependem muito de tags seguras de destino e de origem, verifique se você sabe como criar e gerenciar tags seguras e vinculá-las às instâncias de VM.

Esta seção descreve como realizar as seguintes tarefas:

  • Criar uma rede VPC RoCE
  • Criar uma política de firewall de rede regional que funcione com a rede VPC RoCE
  • Criar regras na política de firewall de rede regional
  • Associar a política de firewall de rede regional à rede VPC RoCE

Antes de começar

Confira os recursos com suporte e sem suporte em redes VPC com um perfil de rede RDMA. Se você tentar configurar recursos sem suporte, Google Cloud retornará um erro.

Criar uma rede com um perfil de rede RDMA

Para criar uma rede VPC com um perfil de rede RDMA, faça o seguinte.

Console

  1. No console do Google Cloud , acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique em Criar rede VPC.

  3. No campo Nome, insira um nome para a rede.

  4. Mantenha a caixa de seleção Definir MTU automaticamente marcada. Quando essa caixa de seleção está marcada, Google Cloud define automaticamente a MTU para o valor padrão do tipo de rede VPC que você está criando. Para redes VPC com um perfil de rede RDMA, o valor padrão de MTU é 8896.

  5. Selecione Configurar perfil de rede e faça o seguinte:

    1. No campo Zona, selecione a zona do perfil de rede que você quer usar. A rede VPC criada é restrita a essa zona, o que significa que você só pode criar recursos na rede nessa zona.
    2. Selecione o perfil de rede RDMA para a zona selecionada anteriormente, como us-central1-b-vpc-falcon, us-central1-b-vpc-roce ou us-central1-b-vpc-roce-metal.
    3. Para conferir o conjunto de recursos com suporte para o perfil de rede selecionado, clique em Visualizar recursos do perfil de rede.

  6. Na seção Nova sub-rede, especifique os parâmetros de configuração a seguir para uma sub-rede:

    1. No campo Nome, insira um nome para a sub-rede.
    2. No campo Região, selecione a região em que a sub-rede será criada. Essa região precisa corresponder à zona do perfil de rede configurado. Por exemplo, se você configurou um perfil de rede na zona us-central1-b (como us-central1-b-vpc-roce), é necessário criar a sub-rede na região us-central1.

    3. Digite um intervalo de IPv4. Esse intervalo é o intervalo IPv4 principal da sub-rede.

      Se você selecionar um intervalo que não seja um endereço RFC 1918, confirme se não há incompatibilidade entre o intervalo e uma configuração existente. Para mais informações, consulte Intervalos de sub-rede IPv4.

    4. Clique em Concluído.

  7. Para adicionar mais sub-redes, clique em Adicionar sub-rede e repita as etapas anteriores. Depois de criar a rede, também é possível adicionar mais sub-redes à ela.

  8. Clique em Criar.

gcloud

  1. Para criar a rede, use o gcloud compute networks create comando e especifique a --network-profile flag.

      gcloud compute networks create NETWORK \
      --subnet-mode=custom \
      --network-profile=NETWORK_PROFILE

    Substitua:

    • NETWORK: um nome para a rede VPC

    • NETWORK_PROFILE: o nome específico da zona do perfil de rede, como us-central1-b-vpc-falcon, us-central1-b-vpc-roce ou us-central1-b-vpc-roce-metal.

      Os perfis de rede RDMA não estão disponíveis em todas as zonas. Para conferir as instâncias específicas da zona de um perfil de rede que estão disponíveis, siga as instruções para listar perfis de rede.

  2. Para adicionar sub-redes, use o gcloud compute networks subnets create comando.

      gcloud compute networks subnets create SUBNET \
      --network=NETWORK \
      --range=PRIMARY_RANGE \
      --region=REGION

    Substitua:

    • SUBNET: um nome para a nova sub-rede
    • NETWORK: o nome da rede VPC que contém a nova sub-rede
    • PRIMARY_RANGE: o intervalo IPv4 principal da nova sub-rede, em notação CIDR. Para mais informações, consulte Intervalos de sub-rede IPv4.
    • REGION: a Google Cloud região do em que a nova sub-rede é criada. Ela precisa corresponder à zona do perfil de rede configurado. Por exemplo, se você configurou um perfil de rede na zona us-central1-b (como us-central1-b-vpc-roce), é necessário criar a sub-rede na região us-central1.

API

  1. Para criar a rede, faça uma POST solicitação para o networks.insert método e especifique a networkProfile propriedade.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
{
"autoCreateSubnetworks": false,
"name": "NETWORK",
"networkProfile": "NETWORK_PROFILE"
}

    Substitua:

    • PROJECT_ID: o ID do projeto em que a rede VPC é criada
    • NETWORK: um nome para a rede VPC

    • NETWORK_PROFILE: o nome específico da zona do perfil de rede, como us-central1-b-vpc-falcon, us-central1-b-vpc-roce ou us-central1-b-vpc-roce-metal.

      Os perfis de rede RDMA não estão disponíveis em todas as zonas. Para conferir as instâncias específicas da zona de um perfil de rede que estão disponíveis, siga as instruções para listar perfis de rede.

  2. Para adicionar sub-redes, faça uma solicitação POST para o subnetworks.insert método.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"ipCidrRange": "IP_RANGE",
"network": "NETWORK_URL",
"name": "SUBNET"
}

    Substitua:

    • PROJECT_ID: o ID do projeto que contém a rede VPC a ser modificada
    • REGION: o nome da Google Cloud região em que a sub-rede foi adicionada. Essa região precisa corresponder à zona do perfil de rede configurado. Por exemplo, se você configurou um perfil de rede na zona us-central1-b (como us-central1-b-vpc-roce), é necessário criar a sub-rede na região us-central1.
    • IP_RANGE: o intervalo de endereços IPv4 principais da sub-rede. Para mais informações, consulte Intervalos de sub-rede IPv4.
    • NETWORK_URL: o URL da rede VPC em que você está adicionando a sub-rede
    • SUBNET: um nome para a sub-rede

Criar uma política de firewall de rede regional

As redes VPC RoCE só oferecem suporte a políticas de firewall de rede regionais que têm um tipo de política RDMA_ROCE_POLICY.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione seu projeto na organização.

  3. Clique em Criar política de firewall.

  4. No campo Nome, digite um nome de política.

  5. Em Tipo de política, selecione Política de RDMA RoCE.

  6. Clique em Criar.

gcloud

Para criar uma política de firewall de rede regional para uma rede VPC RoCE network, use o gcloud compute network-firewall-policies create comando:

  gcloud compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

Substitua:

  • FIREWALL_POLICY: um nome para a política de firewall de rede
  • REGION: uma região que você quer aplicar à política. A região precisa conter a zona do perfil de rede RoCE usado pela rede VPC RoCE.

Criar regras na política de firewall de rede regional

As políticas de firewall de rede regionais que têm um tipo de política RDMA_ROCE_POLICY só oferecem suporte a regras de entrada e têm restrições nas flags de configuração de origem, ação e camada 4 válidas. Para mais informações, consulte Especificações.

Console

Para criar uma regra de entrada que usa o intervalo de IP de origem 0.0.0.0/0 e se aplica a todas as interfaces de rede na rede VPC RoCE, faça o seguinte:

  1. No Google Cloud console do, acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. Na lista do seletor de projetos, selecione seu projeto ou a pasta que contém a política.

  3. Clique no nome da política e em Criar regra de firewall.

  4. Insira a prioridade da regra.

  5. Em Destino, selecione Aplicar a todos.

  6. Em Origem, selecione Todos os endereços IP (0.0.0.0/0).

  7. Em Ação se houver correspondência, especifique se as conexões que correspondem à regra são permitidas (Permitir) ou negadas (Negar).

  8. Em Registros, escolha Ativado ou Desativado.

  9. Clique em Criar.

Para criar uma regra de entrada que usa uma tag segura de origem e se aplica a interfaces de rede específicas de VMs com um valor de tag segura associado, faça o seguinte:

  1. No Google Cloud console do, acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. Na lista do seletor de projetos, selecione seu projeto ou a pasta que contém a política.

  3. Clique no nome da política e em Criar regra de firewall.

  4. Insira a prioridade da regra.

  5. Em Destino, selecione Aplicar a todos.

  6. Em Origem, selecione Tags seguras e faça o seguinte:

    1. Clique em Selecionar escopo das tags.
    2. Na página Selecionar um recurso, selecione a organização ou o projeto em que você quer criar tags seguras.
    3. Selecione os pares de chave-valor aos quais a regra será aplicada.
    4. Para adicionar mais pares de chave-valor, clique em Adicionar tag.

  7. Em Registros, escolha Ativado ou Desativado.

  8. Clique em Criar.

gcloud

Para criar uma regra de entrada que usa a --src-ip-ranges=0.0.0.0/0 flag e se aplica a todas as interfaces de rede na rede VPC RoCE, use o gcloud compute network-firewall-policies rules create comando:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

Para criar uma regra de entrada que usa uma tag segura de origem e se aplica a interfaces de rede específicas de VMs com um valor de tag segura associado, use o gcloud compute network-firewall-policies rules create comando:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

Substitua:

Associar a política de firewall de rede regional a uma rede VPC RoCE

Associe a política de firewall de rede regional à sua rede VPC RoCE. Isso garante que as regras da política se apliquem às interfaces de rede MRDMA nessa rede.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política com sua rede VPC RoCE.

  3. Clique na sua política.

  4. Clique na guia Associações.

  5. Clique em Adicionar associações.

  6. Selecione as redes RDMA RoCE no projeto.

  7. Clique em Associar.

gcloud

Para associar uma política de firewall de rede regional a uma rede VPC RoCE, use o gcloud compute network-firewall-policies associations create comando:

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION

Substitua:

  • FIREWALL_POLICY: um nome da política de firewall de rede regional

    A política de firewall de rede regional precisa ter um tipo de política RDMA_ROCE_POLICY.

  • NETWORK: um nome da rede VPC RoCE

  • FIREWALL_POLICY_REGION: a região da política de firewall

    A região precisa conter a zona do perfil de rede RoCE usado pela rede VPC RoCE.

A seguir