Esta página descreve como resolver problemas comuns que pode encontrar ao configurar políticas de firewall de nova geração na nuvem para redes da nuvem virtual privada (VPC) com o perfil de rede de acesso direto à memória (RDMA) remoto através de Ethernet convergente (RoCE).
A política predefinida permite todas as ligações
Este problema ocorre quando não associa nenhuma política de firewall para uma rede da VPC ao perfil de rede RoCE.
Para resolver este problema, defina uma política de firewall para a sua rede da VPC com o perfil de rede RoCE. Se não definir uma política, todas as instâncias de máquinas virtuais (VMs) na mesma rede VPC ligam-se umas às outras por predefinição. Para mais informações, consulte o artigo Crie uma rede com o perfil de rede RDMA.
A regra de firewall implícita permite o tráfego de entrada
Este problema ocorre quando uma política de firewall RoCE é anexada a uma rede da VPC através do perfil de rede RoCE e não existem outras regras correspondentes.
Para resolver este problema, compreenda que a regra de firewall implícita para uma política de firewall de rede RoCE é INGRESS ALLOW ALL. Esta regra
aplica-se se nenhuma outra regra corresponder.
Não é possível ativar o registo na regra implícita
Este problema ocorre quando tenta ativar o registo na regra de firewall implícita para uma política de firewall RoCE. Não pode ativar o registo na regra implícita. Para mais informações, consulte o artigo Regras de firewall implícitas.
Para resolver este problema, crie uma regra de ALLOW ou DENY separada. Use as flags --src-ip-range=0.0.0.0/0 e --enable-logging com esta regra.
Os registos de ações da firewall incluem as seguintes informações de ligação:
- Os registos
ALLOWsão publicados uma vez, no estabelecimento da ligação, e fornecem informações de 2 tuplos (endereço IP de origem, endereço IP de destino). - Os registos
DENYfornecem informações de 5 tuplos para o pacote recusado. Estes registos são repetidos enquanto as tentativas de tráfego continuarem, com uma taxa máxima de uma vez a cada 5 segundos.
Para mais informações sobre os limites, consulte o artigo Por regra de firewall.
O que se segue?
- Cloud NGFW para o perfil de rede RoCE
- Crie e faça a gestão de regras de firewall para RoCE
- Vista geral dos perfis de rede