Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

‫Cloud NGFW לרשתות VPC של RoCE

אפשר להשתמש במדיניות אזורית של חומת אש ברשת של Cloud Next Generation Firewall ברשתות של ענן וירטואלי פרטי (VPC) שיש להן פרופיל רשת משויך של Remote Direct Memory Access ‏ (RDMA) over converged ethernet ‏ (RoCE). רשתות VPC של RoCE הן רשתות שנוצרו עם פרופיל רשת RDMA RoCE.

רשתות VPC של RoCE מאפשרות עומסי עבודה אזוריים למחשוב עתיר ביצועים, כולל עומסי עבודה של AI ב- Google Cloud. בדף הזה מוסבר על ההבדלים העיקריים בתמיכה ב-Cloud NGFW ברשתות VPC של RoCE.

מפרטים

המפרטים הבאים של חומת האש חלים על רשתות RoCE VPC:

סוג רשת ה-VPC שנתמך ב-RoCE: התמיכה בתכונות של Cloud NGFW שמתוארות בדף הזה חלה רק על רשתות VPC של RoCE למכונות וירטואליות, שנוצרות באמצעות פרופיל הרשת roce. התכונות האלה של Cloud NGFW לא נתמכות ברשתות RoCE VPC למכונות Bare Metal, שנוצרות באמצעות פרופיל הרשת roce-metal.
כללי חומת אש ומדיניות נתמכים: רשתות RoCE VPC בלבד תומכות בכללי חומת אש במדיניות אזורית של חומת אש ברשת. הן לא תומכות במדיניות חומת אש בין רשתות גלובלית, במדיניות חומת אש היררכית או בכללי חומת אש של VPC.
אזור וסוג מדיניות: כדי להשתמש במדיניות אזורית של חומת אש ברשת VPC עם RoCE, צריך ליצור את המדיניות עם המאפיינים הבאים:
- האזור של מדיניות חומת האש חייב לכלול את האזור שבו נעשה שימוש בפרופיל הרשת RoCE של רשת ה-VPC RoCE.
- צריך להגדיר את סוג מדיניות חומת האש של מדיניות חומת האש ל-RDMA_ROCE_POLICY.
לכן, אפשר להשתמש במדיניות אזורית של חומת אש ברשת רק ברשתות VPC של RoCE באזור מסוים. אי אפשר להשתמש במדיניות אזורית של חומת אש ברשתות VPC של RoCE וברשתות VPC רגילות.
מדיניות חומת האש של RoCE היא בלי שמירת מצב: מדיניות חומת האש של RoCE מעבדת כל מנה כחידה עצמאית ולא עוקבת אחרי חיבורים פעילים. לכן, כדי להבטיח ששתי מכונות וירטואליות (VM) יוכלו לתקשר, צריך ליצור כלל שמאפשר תעבורת נכנסת בשני הכיוונים.

כללי חומת אש משתמעים

ברשתות VPC מסוג RoCE נעשה שימוש בכללי חומת האש המשתמעים הבאים, שהם שונים מכללי חומת האש המשתמעים שנעשה בהם שימוש ברשתות VPC רגילות:

יציאה מרומזת מותרת
הרשאה משתמעת לכניסת תנועה

רשת VPC של RoCE ללא כללים במדיניות חומת אש אזורית משויכת מאפשרת את כל תעבורת הנתונים היוצאת והנכנסת. כללי חומת האש המשתמעים האלה לא תומכים ברישום ביומן של כללי מדיניות חומת האש.

מפרטי הכלל

כללים במדיניות חומת אש אזורית ברשת עם סוג המדיניות RDMA_ROCE_POLICY צריכים לעמוד בדרישות הבאות:

כיוון כניסה בלבד: הכיוון של הכלל חייב להיות כניסה. אי אפשר ליצור כללי חומת אש ליציאה במדיניות אזורית של חומת אש ברשת, שסוג המדיניות שלה הוא RDMA_ROCE_POLICY.
פרמטר היעד: יש תמיכה בתגי target secure, אבל אין תמיכה בחשבונות שירות של target.
פרמטר מקור: המערכת תומכת רק בשניים מערכי הפרמטרים של המקור הבאים:
- יש תמיכה בטווחים של כתובות IP של המקור (src-ip-ranges), אבל הערך התקין היחיד הוא 0.0.0.0/0.
- יש תמיכה מלאה בתגי מקור מאובטחים (src-secure-tags). הדרך המומלצת לפלח עומסי עבודה שנמצאים באותה רשת VPC RoCE היא באמצעות תגים מאובטחים.
אי אפשר להשתמש בו-זמנית בתגי מקור מאובטחים ובטווחי כתובות IP של מקור. לדוגמה, אם יוצרים כלל עם src-ip-ranges=0.0.0.0/0, אי אפשר להשתמש בתגי מקור מאובטחים (src-secure-tags). פרמטרים אחרים של מקור שכלולים ב-Cloud NGFW Standard – קבוצות של כתובות מקור, שמות דומיין של מקור, מיקומים גיאוגרפיים של מקור, רשימות של Google Threat Intelligence של מקור – לא נתמכים.

הערה: תגי אבטחה של יעד ותגי אבטחה של מקור חלים על ממשקי הרשת של המכונה הווירטואלית ששולחים מנות. מידע נוסף זמין במאמר מפרטים.
פרמטר הפעולה: נתמכות פעולות של הרשאה ודחייה, עם האילוצים הבאים:
- כלל כניסה עם src-ip-ranges=0.0.0.0/0 יכול להשתמש בפעולה ALLOW או DENY.
- כלל תעבורה נכנסת עם תג מאובטח של מקור יכול להשתמש רק בפעולה ALLOW.
פרמטרים של פרוטוקול ויציאה: הפרוטוקול היחיד שנתמך הוא all (--layer4-configs=all). אסור להשתמש בכללים שחלים על פרוטוקולים או יציאות ספציפיים.

מעקב ורישום ביומן

רישום ביומן של כללי מדיניות חומת האש נתמך עם האילוצים הבאים:

יומני כניסה של כללי חומת אש מתפרסמים פעם אחת לכל מנהרה, ומספקים מידע על חבילות של 2-tuple.
יומנים של כללי חומת אש שמונעים תנועה נכנסת מתפרסמים כמנות מדגמיות ומספקים מידע על מנות של 5 טאפלים. היומנים מתפרסמים בקצב מקסימלי של פעם ב-5 שניות, וכל יומני חומת האש מוגבלים ל-4,000 מנות כל 5 שניות.

תכונות שלא נתמכות

התכונות הבאות לא נתמכות:

הגדרת רשתות VPC של RoCE

כדי ליצור כללי חומת אש לרשת VPC של RoCE, אפשר להיעזר בהנחיות ובמקורות המידע הבאים:

הכללים במדיניות חומת אש אזורית ברשת שמשתמשת ברשת RoCE VPC תלויים בתגי אבטחה של היעד והמקור. לכן, חשוב לוודא שאתם מכירים את המאמרים בנושא יצירה וניהול של תגים מאובטחים וקישור של תגים מאובטחים למופעים של מכונות וירטואליות.
כדי ליצור רשתות VPC של RoCE ומדיניות אזורית של חומת אש ברשת עבור רשתות VPC של RoCE, אפשר לעיין במאמר יצירה וניהול של כללי חומת אש לרשתות VPC של RoCE.
כדי לשלוט בתעבורת נתונים נכנסת (ingress) ולפלח את עומסי העבודה כשיוצרים כללי כניסה במדיניות חומת אש ברשת אזורית, צריך לפעול לפי השלבים הבאים:
- יוצרים כלל חומת אש לדחייה של תעבורת נתונים נכנסת (ingress) שמציין את src-ip-ranges=0.0.0.0/0 וחל על כל המכונות הווירטואליות ברשת ה-VPC של RoCE.
- יוצרים כללים לחומת האש עם עדיפות גבוהה יותר שמאפשרים תעבורה נכנסת ומציינים תגי אבטחה של יעד ותגי אבטחה של מקור.
כדי לראות אילו כללים של חומת אש חלים על ממשק רשת של מכונה וירטואלית או כדי לראות את היומנים של כללי חומת האש, אפשר לעיין במאמרים קבלת כללי חומת האש בפועל לממשק של מכונה וירטואלית ושימוש ברישום ביומן של כללי חומת אש ב-VPC.