En esta página, se describe cómo solucionar problemas comunes que puedes encontrar cuando configuras políticas del Firewall de nueva generación de Cloud para redes de nube privada virtual (VPC) con el perfil de red de acceso directo a memoria remota (RDMA) a través de Ethernet convergente (RoCE).
La política predeterminada permite todas las conexiones
Este problema ocurre cuando no asocias ninguna política de firewall para una red de VPC con el perfil de red de RoCE.
Para resolver este problema, define una política de firewall para tu red de VPC con el perfil de red RoCE. Si no defines una política, todas las instancias de máquina virtual (VM) en la misma red de VPC se conectarán entre sí de forma predeterminada. Para obtener más información, consulta Crea una red con el perfil de red de RDMA.
La regla de firewall implícita permite el tráfico de entrada
Este problema se produce cuando una política de firewall de RoCE se adjunta a una red de VPC con el perfil de red de RoCE y ninguna otra regla coincidente.
Para resolver este problema, ten en cuenta que la regla de firewall implícita para una política de firewall de red de RoCE es INGRESS ALLOW ALL. Esta regla se aplica si no coincide ninguna otra.
No se puede habilitar el registro en la regla implícita
Este problema se produce cuando intentas habilitar el registro en la regla de firewall implícita para una política de firewall de RoCE. No puedes habilitar el registro en la regla implícita. Para obtener más información, consulta Reglas de firewall implícitas.
Para resolver este problema, crea una regla ALLOW o DENY independiente. Usa las marcas --src-ip-range=0.0.0.0/0 y --enable-logging con esta regla.
Los registros de acciones del firewall incluyen la siguiente información de conexión:
- Los registros de
ALLOWse publican una vez, cuando se establece la conexión, y proporcionan información de 2 tuplas (dirección IP de origen y dirección IP de destino). - Los registros de
DENYproporcionan información de 5 tuplas para el paquete rechazado. Estos registros se repiten mientras continúen los intentos de tráfico, con una frecuencia máxima de una vez cada 5 segundos.
Para obtener más información sobre los límites, consulta Por regla de firewall.
¿Qué sigue?
- Cloud NGFW para el perfil de red RoCE
- Crea y administra reglas de firewall para RoCE
- Descripción general de los perfiles de red