Firewallregeln für RoCE-VPC-Netzwerke erstellen und verwalten

Ein VPC-Netzwerk (Virtual Private Cloud), das das Netzwerkprofil „Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE)“ verwendet, wird als RoCE-VPC-Netzwerk bezeichnet. Auf dieser Seite wird beschrieben, wie Sie ein RoCE-VPC-Netzwerk erstellen und Firewallregeln konfigurieren, die für das Netzwerk gelten. Lesen Sie zuerst die folgenden Informationen:

Da die Regeln in einer regionalen Netzwerk-Firewallrichtlinie, die von einem RoCE-VPC-Netzwerk verwendet wird, stark von sicheren Ziel-Tags und sicheren Quell-Tags abhängen, sollten Sie sich damit vertraut machen, wie Sie sichere Tags erstellen und verwalten und sichere Tags an die VM-Instanzen binden.

In diesem Abschnitt wird beschrieben, wie Sie die folgenden Aufgaben ausführen:

  • RoCE-VPC-Netzwerk erstellen
  • Regionale Netzwerk-Firewallrichtlinie erstellen, die mit dem RoCE-VPC-Netzwerk funktioniert
  • Regeln in der regionalen Netzwerk-Firewallrichtlinie erstellen
  • Regionale Netzwerk-Firewallrichtlinie mit dem RoCE-VPC-Netzwerk verknüpfen

Hinweise

Sehen Sie sich die unterstützten und nicht unterstützten Funktionen in VPC-Netzwerken mit dem RDMA-Netzwerkprofil an. Wenn Sie versuchen, nicht unterstützte Funktionen zu konfigurieren, gibt Google Cloud einen Fehler zurück.

Netzwerk mit dem RDMA-Netzwerkprofil erstellen

So erstellen Sie ein VPC-Netzwerk mit dem RDMA-Netzwerkprofil:

Console

  1. Rufen Sie in der Google Cloud -Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf VPC-Netzwerk erstellen.

  3. Geben Sie im Feld Name einen Namen für das VPC-Netzwerk ein.

  4. Wählen Sie im Feld Maximale Übertragungseinheit (MTU) die Option 8896 aus.

  5. Wählen Sie Netzwerkprofil konfigurieren aus und gehen Sie so vor:

    1. Wählen Sie im Feld Zone die Zone des Netzwerkprofils aus, das Sie verwenden möchten. Das von Ihnen erstellte VPC-Netzwerk ist auf diese Zone beschränkt. Das bedeutet, dass Sie Ressourcen im Netzwerk nur in dieser Zone erstellen können.
    2. Wählen Sie das RDMA-Netzwerkprofil für die zuvor ausgewählte Zone aus, z. B. europe-west1-b-vpc-roce.
    3. Wenn Sie sich die unterstützten Funktionen für das ausgewählte Netzwerkprofil ansehen möchten, klicken Sie auf Vorschau der Netzwerkprofilfunktionen anzeigen.

  6. Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:

    1. Geben Sie im Feld Name einen Namen für das Subnetz ein.
    2. Wählen Sie im Feld Region die Region aus, in der das Subnetz erstellt werden soll. Diese Region muss der Zone des von Ihnen konfigurierten Netzwerkprofils entsprechen. Wenn Sie das Netzwerkprofil beispielsweise für europe-west1-b konfiguriert haben, müssen Sie das Subnetz in europe-west1 erstellen.

    3. Geben Sie einen IPv4-Bereich ein. Dieser Bereich ist der primäre IPv4-Bereich für das Subnetz.

      Wenn Sie einen Bereich auswählen, der keine RFC 1918-Adresse ist, prüfen Sie, ob der Bereich mit einer vorhandenen Konfiguration in Konflikt steht. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.

    4. Klicken Sie auf Fertig.

  7. Klicken Sie auf Subnetz hinzufügen, um weitere Subnetze zu erstellen. Wiederholen Sie dazu die vorherigen Schritte. Sie können dem Netzwerk auch weitere Subnetze hinzufügen, nachdem Sie es erstellt haben.

  8. Klicken Sie auf Erstellen.

gcloud

  1. Verwenden Sie zum Erstellen des Netzwerks den Befehl gcloud compute networks create und geben Sie das Flag --network-profile an.

      gcloud compute networks create NETWORK \
      --subnet-mode=custom \
      --network-profile=NETWORK_PROFILE

    Ersetzen Sie Folgendes:

    • NETWORK: der Name des VPC-Netzwerks

    • NETWORK_PROFILE: Der zonenspezifische Name des Netzwerkprofils, z. B. europe-west1-b-vpc-roce

      Das RDMA-Netzwerkprofil ist nicht in allen Zonen verfügbar. Wenn Sie die zonenbezogenen Instanzen des verfügbaren Netzwerkprofils aufrufen möchten, folgen Sie der Anleitung zum Auflisten von Netzwerkprofilen.

  2. Verwenden Sie den gcloud compute networks subnets create-Befehl, um Subnetze hinzuzufügen.

      gcloud compute networks subnets create SUBNET \
      --network=NETWORK \
      --range=PRIMARY_RANGE \
      --region=REGION

    Ersetzen Sie Folgendes:

    • SUBNET: ein Name für das neue Subnetz
    • NETWORK: der Name des VPC-Netzwerk, das das neue Subnetz enthält
    • PRIMARY_RANGE: der primäre IPv4-Bereich für das neue Subnetz in CIDR-Notation. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.
    • REGION: die Google Cloud Region, in der das neue Subnetz erstellt wird. Sie muss mit der Zone des konfigurierten Netzwerkprofils übereinstimmen. Wenn Sie beispielsweise das Netzwerkprofil in der Zone europe-west1-b mit dem Netzwerkprofil namens europe-west1-b-vpc-roce konfiguriert haben, müssen Sie das Subnetz in der Region europe-west1 erstellen.

API

  1. Senden Sie zum Erstellen des Netzwerks eine POST-Anfrage an die Methode networks.insert und geben Sie die Eigenschaft networkProfile an.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
{
"autoCreateSubnetworks": false,
"name": "NETWORK",
"networkProfile": "NETWORK_PROFILE"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, in dem das VPC-Netzwerk erstellt wird
    • NETWORK: der Name des VPC-Netzwerks

    • NETWORK_PROFILE: Der zonenspezifische Name des Netzwerkprofils, z. B. europe-west1-b-vpc-roce

      Das RDMA-Netzwerkprofil ist nicht in allen Zonen verfügbar. Wenn Sie die zonenbezogenen Instanzen des verfügbaren Netzwerkprofils aufrufen möchten, folgen Sie der Anleitung zum Auflisten von Netzwerkprofilen.

  2. Wenn Sie Subnetze hinzufügen möchten, stellen Sie eine POST-Anfrage an die Methode subnetworks.insert.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
"ipCidrRange": "IP_RANGE",
"network": "NETWORK_URL",
"name": "SUBNET"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Die ID des Projekts, das das zu ändernde VPC-Netzwerk enthält
    • REGION: der Name der Google Cloud Region, in der das Subnetz hinzugefügt wird. Diese Region muss der Zone des von Ihnen konfigurierten Netzwerkprofils entsprechen. Wenn Sie beispielsweise das Netzwerkprofil in der Zone europe-west1-b mit dem Netzwerkprofil namens europe-west1-b-vpc-roce konfiguriert haben, müssen Sie das Subnetz in der Region europe-west1 erstellen.
    • IP_RANGE: der primäre IPv4-Adressbereich für das Subnetz. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.
    • NETWORK_URL: die URL des VPC-Netzwerk, dem Sie das Subnetz hinzufügen.
    • SUBNET: ein Name für das Subnetz

Regionale Netzwerk-Firewallrichtlinie erstellen

RoCE-VPC-Netzwerke unterstützen nur regionale Netzwerk-Firewallrichtlinien mit dem Richtlinientyp RDMA_ROCE_POLICY.

gcloud

Verwenden Sie den Befehl gcloud beta compute network-firewall-policies create, um eine regionale Netzwerk-Firewallrichtlinie für ein RoCE-VPC-Netzwerk zu erstellen:

  gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

Ersetzen Sie Folgendes:

  • FIREWALL_POLICY: ein Name für die Richtlinie für Netzwerkfirewalls
  • REGION: Eine Region, die Sie auf die Richtlinie anwenden möchten. Die Region muss die Zone des RoCE-Netzwerkprofils enthalten, das vom RoCE-VPC-Netzwerk verwendet wird.

Regeln in der regionalen Netzwerk-Firewallrichtlinie erstellen

Regionale Netzwerk-Firewallrichtlinien mit dem Richtlinientyp RDMA_ROCE_POLICY unterstützen nur Regeln für eingehenden Traffic und haben Einschränkungen für gültige Quell-, Aktions- und Layer 4-Konfigurationsflags. Weitere Informationen finden Sie unter Spezifikationen.

gcloud

Verwenden Sie den gcloud compute network-firewall-policies rules create-Befehl, um eine Regel für eingehenden Traffic zu erstellen, die das Flag --src-ip-ranges=0.0.0.0/0 verwendet und für alle Netzwerkschnittstellen im RoCE-VPC-Netzwerk gilt:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

Verwenden Sie den Befehl gcloud compute network-firewall-policies rules create, um eine Ingress-Regel zu erstellen, die ein sicheres Quell-Tag verwendet und für bestimmte Netzwerkschnittstellen von VMs mit einem zugehörigen sicheren Tag-Wert gilt:

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

Ersetzen Sie Folgendes:

  • PRIORITY: die Priorität der Regel
  • ACTION: die Aktion bei Übereinstimmung der Regel
    • Wenn Sie --src-ip-ranges=0.0.0.0/0 verwenden, können Sie entweder ALLOW oder DENY verwenden.
    • Wenn Sie --src-secure-tag verwenden, können Sie nur ALLOW verwenden.
  • FIREWALL_POLICY_NAME: der Name der regionalen Netzwerk-Firewallrichtlinie, in der die Regel erstellt wird.
  • FIREWALL_POLICY_REGION: die Region, die von der regionalen Netzwerk-Firewallrichtlinie verwendet wird, in der die Regel erstellt wird.
  • SRC_SECURE_TAG: Definiert den Quellparameter der Ingress-Regel mit einer durch Kommas getrennten Liste von sicheren Tag-Werten. Weitere Informationen finden Sie unter Sichere Tags für Firewalls.
  • TARGET_SECURE_TAG: Definiert den Zielparameter der Regel mit einer durch Kommas getrennten Liste von sicheren Tag-Werten. Weitere Informationen finden Sie unter Sichere Tags für Firewalls.

Regionale Netzwerk-Firewallrichtlinie mit einem RoCE-VPC-Netzwerk verknüpfen

Verknüpfen Sie die regionale Netzwerk-Firewallrichtlinie mit Ihrem RoCE-VPC-Netzwerk. So wird dafür gesorgt, dass die Regeln der Richtlinie auf die MRDMA-Netzwerkschnittstellen in diesem Netzwerk angewendet werden.

gcloud

Verwenden Sie den gcloud compute network-firewall-policies associations create-Befehl, um eine regionale Netzwerk-Firewallrichtlinie mit einem RoCE-VPC-Netzwerk zu verknüpfen:

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION

Ersetzen Sie Folgendes:

  • FIREWALL_POLICY: Name der regionalen Richtlinie für Netzwerkfirewalls

    Die regionale Netzwerk-Firewallrichtlinie muss den Richtlinientyp RDMA_ROCE_POLICY haben.

  • NETWORK: Name des RoCE-VPC-Netzwerk

  • FIREWALL_POLICY_REGION: die Region der Firewallrichtlinie

    Die Region muss die Zone des RoCE-Netzwerkprofils enthalten, das vom RoCE-VPC-Netzwerk verwendet wird.

Nächste Schritte