Cloud NGFW für RoCE-VPC-Netzwerke

Regionale Netzwerk-Firewallrichtlinien der Cloud Next Generation Firewall können von VPC-Netzwerken (Virtual Private Cloud) verwendet werden, die ein zugehöriges RDMA-Netzwerkprofil (Remote Direct Memory Access) über Converged Ethernet (RoCE) haben. RoCE-VPC-Netzwerke werden mit einem RDMA-RoCE-Netzwerkprofil erstellt.

RoCE-VPC-Netzwerke ermöglichen zonale Arbeitslasten für High Performance Computing, einschließlich KI-Arbeitslasten in der Google Cloud. Auf dieser Seite werden die wichtigsten Unterschiede bei der Unterstützung von RoCE-VPC-Netzwerken durch die Cloud NGFW beschrieben.

Spezifikationen

Für RoCE-VPC-Netzwerke gelten die folgenden Firewallspezifikationen:

• Unterstützter RoCE-VPC-Netzwerk-Netzwerktyp: Die Unterstützung für die Cloud NGFW-Funktionen, die auf dieser Seite beschrieben werden, gilt nur für RoCE-VPC-Netzwerke für VM-Instanzen, die mit dem roce Netzwerkprofil erstellt wurden. Diese Cloud NGFW-Funktionen werden in RoCE-VPC-Netzwerken für Bare-Metal-Instanzen, die mit dem Netzwerkprofil roce-metal erstellt wurden, nicht unterstützt.

• Unterstützte Firewallregeln und ‑richtlinien: RoCE-VPC-Netzwerke unterstützen nur Firewallregeln in regionalen Netzwerk-Firewallrichtlinien. Globale Netzwerk-Firewallrichtlinien, hierarchische Firewallrichtlinien oder VPC-Firewallregeln werden nicht unterstützt.

• Region und Richtlinientyp: Wenn Sie eine regionale Netzwerk-Firewallrichtlinie mit einem RoCE-VPC-Netzwerk verwenden möchten, müssen Sie die Richtlinie mit den folgenden Attributen erstellen:

  • Die Region der Firewallrichtlinie muss die Zone enthalten, die vom RoCE-Netzwerkprofil des RoCE-VPC-Netzwerk verwendet wird.

  • Sie müssen den Firewallrichtlinientyp der Firewallrichtlinie auf RDMA_ROCE_POLICY festlegen.

  Folglich kann eine regionale Netzwerk-Firewallrichtlinie nur von RoCE-VPC-Netzwerken in einer bestimmten Region verwendet werden. Eine regionale Netzwerk-Firewallrichtlinie kann nicht sowohl von RoCE-VPC-Netzwerken als auch von regulären VPC-Netzwerken verwendet werden.

• RoCE-Firewallrichtlinie ist zustandslos: Die RoCE-Firewallrichtlinie verarbeitet jedes Paket als unabhängige Einheit und verfolgt keine laufenden Verbindungen. Damit zwei virtuelle Maschinen (VMs) kommunizieren können, müssen Sie daher eine Zulassungsregel für eingehenden Traffic in beide Richtungen erstellen.

Implizierte Firewallregeln

RoCE-VPC-Netzwerke verwenden die folgenden implizierten Firewallregeln, die sich von den implizierten Firewallregeln unterscheiden, die von regulären VPC-Netzwerken verwendet werden:

• Implizierte Zulassung für ausgehenden Traffic
• Implizierte Zulassung für eingehenden Traffic

Ein RoCE-VPC-Netzwerk ohne Regeln in einer zugehörigen regionalen Netzwerk-Firewallrichtlinie lässt den gesamten ausgehenden und eingehenden Traffic zu. Diese implizierten Firewallregeln unterstützen kein Logging von Firewallrichtlinienregeln.

Regelspezifikationen

Regeln in einer regionalen Netzwerk-Firewallrichtlinie mit dem Richtlinientyp RDMA_ROCE_POLICY müssen die folgenden Anforderungen erfüllen:

• Nur Richtung „Eingehend“: Die Richtung der Regel muss „Eingehend“ sein. Sie können in einer regionalen Netzwerk-Firewallrichtlinie, deren Richtlinientyp RDMA_ROCE_POLICY ist, keine Firewallregeln für ausgehenden Traffic erstellen.

• Parameter „Ziel“: Sichere Ziel-Tags werden unterstützt, Dienstkonten für das Ziel jedoch nicht.

• Parameter „Quelle“: Nur zwei der folgenden Werte für den Quellparameter werden unterstützt:

  • Quell-IP-Adressbereiche (src-ip-ranges) werden unterstützt, aber der einzige gültige Wert ist 0.0.0.0/0.

  • Sichere Quell-Tags (src-secure-tags) werden vollständig unterstützt. Die Verwendung sicherer Tags ist die empfohlene Methode zum Segmentieren von Arbeitslasten, die sich im selben RoCE-VPC-Netzwerk befinden.

  Sichere Quell-Tags und Quell-IP-Adressbereiche schließen sich gegenseitig aus. Wenn Sie beispielsweise eine Regel mit src-ip-ranges=0.0.0.0/0 erstellen, können Sie keine sicheren Quell-Tags (src-secure-tags) verwenden. Andere Quellparameter, die Teil der Cloud NGFW Standard sind, z. B. Quelladressgruppen, Quelldomainnamen, Quellstandorte und Google Threat Intelligence-Listen für Quellen, werden nicht unterstützt.

• Parameter „Aktion“: Sowohl Zulassungs- als auch Ablehnungsaktionen werden unterstützt, mit den folgenden Einschränkungen:

  • Eine Regel für eingehenden Traffic mit src-ip-ranges=0.0.0.0/0 kann entweder die Aktion ALLOW oder DENY verwenden.

  • Eine Regel für eingehenden Traffic mit einem sicheren Quell-Tag kann nur die Aktion ALLOW verwenden.

• Parameter „Protokoll“ und „Port“: Das einzige unterstützte Protokoll ist all (--layer4-configs=all). Regeln, die für bestimmte Protokolle oder Ports nicht zulässig sind.

Monitoring und Logging

Das Logging von Firewallrichtlinienregeln wird mit den folgenden Einschränkungen unterstützt:

• Logs für Firewallregeln für eingehenden Traffic werden einmal pro Tunnelaufbau veröffentlicht und enthalten Informationen zu 2-Tupel-Paketen.

• Logs für Firewallregeln für eingehenden Traffic werden als Stichprobenpakete veröffentlicht und enthalten Informationen zu 5-Tupel-Paketen. Logs werden maximal einmal alle 5 Sekunden veröffentlicht und alle Firewalllogs sind auf 4.000 Pakete pro 5 Sekunden begrenzt.

Nicht unterstützte Funktionen

Die folgenden Funktionen werden nicht unterstützt:

• Sicherheitsprofile und Firewall-Endpunkte

• Spiegelungsregeln

RoCE-VPC-Netzwerke konfigurieren

Verwenden Sie diese Richtlinien und Ressourcen, um Firewallregeln für ein RoCE-VPC-Netzwerk zu erstellen:

• Die Regeln in einer regionalen Netzwerk-Firewallrichtlinie, die von einem RoCE-VPC-Netzwerk verwendet wird, hängen von den sicheren Ziel- und Quell-Tags ab. Sie sollten daher mit dem Erstellen und Verwalten sicherer Tags und dem Binden sicherer Tags an VM-Instanzen vertraut sein.

• Informationen zum Erstellen von RoCE-VPC-Netzwerken und regionalen Netzwerk Firewallrichtlinien für RoCE-VPC-Netzwerke finden Sie unter Firewallregeln für RoCE-VPC-Netzwerke erstellen und verwalten.

• So steuern Sie eingehenden Traffic und segmentieren Ihre Arbeitslasten, wenn Sie Regeln für eingehenden Traffic in einer regionalen Netzwerk-Firewallrichtlinie erstellen:

  • Erstellen Sie eine Firewallregel für eingehenden Traffic, die src-ip-ranges=0.0.0.0/0 angibt und für alle VMs im RoCE-VPC-Netzwerk gilt.

  • Erstellen Sie Firewallregeln für eingehenden Traffic mit höherer Priorität, die sichere Ziel-Tags und sichere Quell-Tags angeben.

• Informationen dazu, welche Firewallregeln auf eine Netzwerkschnittstelle einer VM angewendet werden, oder zum Aufrufen von Firewallregellogs finden Sie unter Gültige Firewallregeln für eine VM-Schnittstelle abrufen und Logging von VPC-Firewallregeln verwenden.

Nächste Schritte

• RDMA-RoCE-Netzwerkprofil
• Firewallregeln für RoCE-VPC-Netzwerke erstellen und verwalten