Questa pagina descrive come risolvere i problemi comuni che potresti riscontrare quando configuri le policy Cloud Next Generation Firewall per le reti Virtual Private Cloud (VPC) con il profilo di rete RDMA (Remote Direct Memory Access) su Ethernet convergente (RoCE).
Il criterio predefinito consente tutte le connessioni
Questo problema si verifica quando non associ alcuna policy firewall per una rete VPC al profilo di rete RoCE.
Per risolvere il problema, definisci una policy firewall per la tua rete VPC con il profilo di rete RoCE. Se non definisci una policy, tutte le istanze di macchine virtuali (VM) nella stessa rete VPC si connettono tra loro per impostazione predefinita. Per saperne di più, consulta Creare una rete con il profilo di rete RDMA.
La regola firewall implicita consente il traffico in entrata
Questo problema si verifica quando una policy firewall RoCE viene collegata a una rete VPC utilizzando il profilo di rete RoCE e nessun'altra regola corrispondente.
Per risolvere il problema, tieni presente che la regola firewall implicita per una
policy del firewall di rete RoCE è INGRESS ALLOW ALL. Questa regola
viene applicata se non corrispondono altre regole.
Impossibile abilitare la registrazione nella regola implicita
Questo problema si verifica quando tenti di attivare la registrazione nella regola firewall implicita per un criterio firewall RoCE. Non puoi attivare la registrazione sulla regola implicita. Per saperne di più, consulta Regole firewall implicite.
Per risolvere il problema, crea una regola ALLOW o DENY separata. Utilizza i flag --src-ip-range=0.0.0.0/0 e --enable-logging con questa regola.
I log delle azioni del firewall includono le seguenti informazioni sulla connessione:
- I log
ALLOWvengono pubblicati una sola volta, al momento della creazione della connessione, e forniscono informazioni a due tuple (indirizzo IP di origine, indirizzo IP di destinazione). - I log
DENYforniscono informazioni a 5 tuple per il pacchetto rifiutato. Questi log vengono ripetuti finché i tentativi di traffico continuano, con una frequenza massima di una volta ogni 5 secondi.
Per saperne di più sui limiti, consulta Per regola firewall.
Passaggi successivi
- Cloud NGFW per il profilo di rete RoCE
- Creare e gestire le regole firewall per RoCE
- Panoramica dei profili di rete