Le policy firewall di rete regionali di Cloud Next Generation Firewall possono essere utilizzate dalle reti Virtual Private Cloud (VPC) che hanno un profilo di rete Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE) associato. Le reti VPC RoCE sono quelle che sono create con un profilo di rete RDMA RoCE.
Le reti VPC RoCE consentono di utilizzare i workload zonali per il calcolo ad alte prestazioni, inclusi i workload di AI in Google Cloud. Questa pagina descrive le principali differenze nel supporto di Cloud NGFW per le reti VPC RoCE.
Specifiche
Le seguenti specifiche del firewall si applicano alle reti VPC RoCE:
Tipo di rete VPC RoCE supportato: il supporto per le funzionalità di Cloud NGFW descritte in questa pagina si applica solo alle reti VPC RoCE per le istanze VM, create utilizzando il
roceprofilo di rete. Queste funzionalità di Cloud NGFW non sono supportate nelle reti VPC RoCE per le istanze bare metal, create utilizzando il profilo di reteroce-metal.Regole e policy firewall supportate: le reti VPC RoCE solo supportano le regole firewall nelle policy firewall di rete regionali. Non supportano le policy firewall di rete globali, le policy firewall gerarchiche o le regole firewall VPC.
Regione e tipo di policy: per utilizzare una policy firewall di rete regionale con una rete VPC RoCE, devi creare la policy con i seguenti attributi:
La regione della policy del firewall deve contenere la zona utilizzata dal profilo di rete RoCE della rete VPC RoCE.
Devi impostare il tipo di policy del firewall su
RDMA_ROCE_POLICY.
Di conseguenza, una policy del firewall di rete regionale può essere utilizzata solo dalle reti VPC RoCE in una determinata regione. Una policy firewall di rete regionale non può essere utilizzata sia dalle reti VPC RoCE sia dalle reti VPC normali.
La policy del firewall RoCE è stateless: la policy del firewall RoCE elabora ogni pacchetto come un'unità indipendente e non tiene traccia delle connessioni in corso. Pertanto, per garantire che due macchine virtuali (VM) possano comunicare, devi creare una regola di traffico in entrata consentito in entrambe le direzioni.
Regole firewall implicite
Le reti VPC RoCE utilizzano le seguenti regole firewall implicite, che sono diverse dalle regole firewall implicite utilizzate dalle reti VPC normali:
- Traffico in uscita consentito implicito
- Traffico in entrata consentito implicito
Una rete VPC RoCE senza regole in una policy del firewall di rete regionale associata consente tutto il traffico in uscita e in entrata. Queste regole firewall implicite non supportano il logging delle regole delle policy del firewall.
Specifiche delle regole
Le regole in una policy del firewall di rete regionale con il tipo di policy RDMA_ROCE_POLICY devono soddisfare i seguenti requisiti:
Solo direzione in entrata: la direzione della regola deve essere in entrata. Non puoi creare regole firewall in uscita in una policy firewall di rete regionale il cui tipo di policy è
RDMA_ROCE_POLICY.Parametro target: i tag sicuri di destinazione sono supportati, ma gli account di servizio di destinazione no.
Parametro di origine: sono supportati solo due dei seguenti valori del parametro di origine sono supportati:
Gli intervalli di indirizzi IP di origine (
src-ip-ranges) sono supportati, ma l'unico valore valido è0.0.0.0/0.I tag sicuri di origine (
src-secure-tags) sono completamente supportati. L'utilizzo di tag sicuri è il modo consigliato per segmentare i workload che si trovano nella stessa rete VPC RoCE.
I tag sicuri di origine e gli intervalli di indirizzi IP di origine si escludono a vicenda. Ad esempio, se crei una regola con
src-ip-ranges=0.0.0.0/0, non puoi utilizzare i tag sicuri di origine (src-secure-tags). Gli altri parametri di origine che fanno parte di Cloud NGFW Standard (gruppi di indirizzi di origine, nomi di dominio di origine, geolocalizzazioni di origine, elenchi di Google Threat Intelligence di origine) non sono supportati.Parametro action: sono supportate sia le azioni di autorizzazione sia quelle di negazione, con i seguenti vincoli:
Una regola in entrata con
src-ip-ranges=0.0.0.0/0può utilizzare l'azioneALLOWoDENY.Una regola in entrata con un tag sicuro di origine può utilizzare solo l'azione
ALLOW.
Parametri protocollo e porta: l'unico protocollo supportato è
all(--layer4-configs=all). Le regole che si applicano a protocolli o porte specifici non sono consentite.
Monitoraggio e logging
Il logging delle regole delle policy del firewall è supportato con i seguenti vincoli:
I log per le regole firewall di traffico in entrata consentito vengono pubblicati una volta per ogni stabilimento del tunnel e forniscono informazioni sui pacchetti a 2 tuple.
I log per le regole firewall di traffico in entrata negato vengono pubblicati come pacchetti campionati e forniscono informazioni sui pacchetti a 5 tuple. I log vengono pubblicati a una frequenza massima di una volta ogni 5 secondi e tutti i log firewall sono limitati a 4000 pacchetti ogni 5 secondi.
Funzionalità non supportate
Le seguenti funzionalità non sono supportate:
Configurare le reti VPC RoCE
Per creare regole firewall per una rete VPC RoCE, utilizza queste linee guida e risorse:
Le regole in una policy del firewall di rete regionale utilizzata da una rete VPC RoCE dipendono dai tag sicuri di destinazione e di origine. Assicurati quindi di conoscere la procedura per creare e gestire i tag sicuri e associarli alle istanze VM.
Per creare reti VPC RoCE e policy firewall di rete regionali per le reti VPC RoCE, vedi Creare e gestire regole firewall per le reti VPC RoCE.
Per controllare il traffico in entrata e segmentare i workload quando crei regole in entrata in una policy del firewall di rete regionale, segui questi passaggi:
Crea una regola firewall di traffico in entrata negato che specifichi
src-ip-ranges=0.0.0.0/0e si applichi a tutte le VM nella rete VPC RoCE.Crea regole firewall di traffico in entrata consentito con priorità più alta che specifichino i tag sicuri di destinazione e i tag sicuri di origine.
Per determinare quali regole firewall si applicano a un'interfaccia di rete VM o per visualizzare i log delle regole firewall, vedi Ottenere le regole firewall effettive per un'interfaccia VM e Utilizzare il logging delle regole firewall VPC.