Una red de nube privada virtual (VPC) que usa el perfil de red de acceso directo a memoria remoto (RDMA) a través de Ethernet convergente (RoCE) se denomina red de VPC RoCE. En esta página se muestra cómo crear una red de VPC RoCE y configurar reglas de cortafuegos que se apliquen a la red. Antes de empezar, revisa la siguiente información:
Como las reglas de una política de cortafuegos de red regional que usa una red de VPC de RoCE dependen en gran medida de las etiquetas seguras de destino y de origen, asegúrate de saber cómo crear y gestionar etiquetas seguras y vincular etiquetas seguras a las instancias de VM.
En esta sección se describe cómo realizar las siguientes tareas:
- Crear una red de VPC RoCE
- Crear una política de cortafuegos de red regional que funcione con la red de VPC RoCE
- Crear reglas en la política de cortafuegos de red regional
- Asocia la política de cortafuegos de red regional a la red de VPC de RoCE.
Antes de empezar
Asegúrate de revisar las funciones admitidas y no admitidas en las redes de VPC con el perfil de red RDMA. Si intentas configurar funciones no admitidas, Google Cloud devuelve un error.
Crear una red con el perfil de red RDMA
Para crear una red de VPC con el perfil de red RDMA, haz lo siguiente.
Consola
En la Google Cloud consola, ve a la página Redes de VPC.
Haz clic en Crear red VPC.
En el campo Nombre, introduce un nombre para la red.
En el campo Unidad máxima de transmisión (MTU), selecciona
8896.Selecciona Configurar perfil de red y haz lo siguiente:
- En el campo Zona, selecciona la zona del perfil de red que quieras usar. La red de VPC que crees estará limitada a esta zona, lo que significa que solo podrás crear recursos en la red de esta zona.
- Selecciona el perfil de red RDMA de la zona que has seleccionado anteriormente, como
europe-west1-b-vpc-roce. - Para ver el conjunto de funciones admitidas del perfil de red que ha seleccionado, haga clic en Vista previa de las funciones del perfil de red.
En la sección Nueva subred, especifica los siguientes parámetros de configuración de una subred:
- En el campo Nombre, escribe el nombre de la subred.
- En el campo Región, selecciona la región en la que quieras crear la subred. Esta región debe corresponder a la zona del perfil de red que hayas configurado. Por ejemplo, si has configurado el perfil de red para
europe-west1-b, debes crear la subred eneurope-west1. Introduce un intervalo de IPv4. Este intervalo es el intervalo IPv4 principal de la subred.
Si seleccionas un intervalo que no es una dirección RFC 1918, confirma que no entra en conflicto con ninguna configuración. Para obtener más información, consulta Intervalos de subred IPv4.
Haz clic en Listo.
Para añadir más subredes, haz clic en Añadir subred y repite los pasos anteriores. También puedes añadir más subredes a la red después de crearla.
Haz clic en Crear.
gcloud
Para crear la red, usa el comando
gcloud compute networks createy especifica la marca--network-profile.gcloud compute networks create NETWORK \ --subnet-mode=custom \ --network-profile=NETWORK_PROFILEHaz los cambios siguientes:
NETWORK: nombre de la red de VPCNETWORK_PROFILE: nombre específico de la zona del perfil de red, comoeurope-west1-b-vpc-roceEl perfil de red RDMA no está disponible en todas las zonas. Para ver las instancias específicas de la zona del perfil de red que están disponibles, sigue las instrucciones para listar perfiles de red.
Para añadir subredes, usa el comando
gcloud compute networks subnets create.gcloud compute networks subnets create SUBNET \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONHaz los cambios siguientes:
SUBNET: nombre de la nueva subredNETWORK: el nombre de la red de VPC que contiene la nueva subredPRIMARY_RANGE: el intervalo IPv4 principal de la nueva subred, en notación CIDR. Para obtener más información, consulta la sección sobre los intervalos de subredes IPv4.REGION: la región en la que se crea la nueva subred. Google Cloud Debe corresponder a la zona del perfil de red que hayas configurado. Por ejemplo, si has configurado el perfil de red en la zonaeurope-west1-bcon el nombreeurope-west1-b-vpc-roce, debes crear la subred en la regióneurope-west1.
API
Para crear la red, haz una solicitud
POSTal métodonetworks.inserty especifica la propiedadnetworkProfile.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks { "autoCreateSubnetworks": false, "name": "NETWORK", "networkProfile": "NETWORK_PROFILE" }Haz los cambios siguientes:
PROJECT_ID: el ID del proyecto en el que se crea la red VPCNETWORK: nombre de la red de VPCNETWORK_PROFILE: nombre específico de la zona del perfil de red, comoeurope-west1-b-vpc-roceEl perfil de red RDMA no está disponible en todas las zonas. Para ver las instancias específicas de la zona del perfil de red que están disponibles, sigue las instrucciones para listar perfiles de red.
Para añadir subredes, haz una solicitud
POSTal métodosubnetworks.insert.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks { "ipCidrRange": "IP_RANGE", "network": "NETWORK_URL", "name": "SUBNET" }Haz los cambios siguientes:
PROJECT_ID: el ID del proyecto que contiene la red VPC que se va a modificarREGION: el nombre de la región Google Cloud donde se añade la subred. Esta región debe corresponder a la zona del perfil de red que hayas configurado. Por ejemplo, si has configurado el perfil de red en la zonaeurope-west1-bcon el nombreeurope-west1-b-vpc-roce, debes crear la subred en la regióneurope-west1.IP_RANGE: el intervalo de direcciones IPv4 principal de la subred. Para obtener más información, consulta la sección sobre los intervalos de subredes IPv4.NETWORK_URL: la URL de la red VPC en la que vas a añadir la subredSUBNET: nombre de la subred
Crear una política de cortafuegos de red regional
Las redes de VPC de RoCE solo admiten políticas de cortafuegos de red regionales que tengan el tipo de política RDMA_ROCE_POLICY.
gcloud
Para crear una política de cortafuegos de red regional para una red de VPC de RoCE, usa el comando gcloud beta compute network-firewall-policies create:
gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
--region REGION \
--policy-type=RDMA_ROCE_POLICY
Haz los cambios siguientes:
FIREWALL_POLICY: nombre de la política de cortafuegos de redREGION: una región a la que quieras aplicar la política. La región debe contener la zona del perfil de red RoCE que usa la red de VPC RoCE.
Crear reglas en la política de cortafuegos de red regional
Las políticas de cortafuegos de red regionales que tienen el tipo de política RDMA_ROCE_POLICY
solo admiten reglas de entrada y tienen restricciones en las marcas de configuración de origen, acción y capa 4 válidas. Para obtener más información, consulta las especificaciones.
gcloud
Para crear una regla de entrada que use la marca --src-ip-ranges=0.0.0.0/0
y se aplique a todas las interfaces de red de la red de VPC de RoCE, usa el comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ACTION \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-ip-ranges=0.0.0.0/0
Para crear una regla de entrada que use una etiqueta segura de origen y se aplique a interfaces de red específicas de máquinas virtuales con un valor de etiqueta segura asociado, usa el comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ALLOW \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
--target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]
Haz los cambios siguientes:
PRIORITY: la prioridad de la reglaACTION: la acción en la coincidencia de la regla- Si usas
--src-ip-ranges=0.0.0.0/0, puedes usarALLOWoDENY. - Si usas
--src-secure-tag, solo puedes usarALLOW.
- Si usas
FIREWALL_POLICY_NAME: nombre de la política de cortafuegos de red regional en la que se crea la regla.FIREWALL_POLICY_REGION: la región que usa la política de cortafuegos de red regional en la que se crea la regla.SRC_SECURE_TAG: define el parámetro de origen de la regla de entrada mediante una lista de valores de etiquetas seguras separados por comas. Para obtener más información, consulta Etiquetas seguras para firewalls.TARGET_SECURE_TAG: define el parámetro de destino de la regla mediante una lista de valores de etiquetas seguras separados por comas. Para obtener más información, consulta Etiquetas seguras para firewalls.
Asociar la política de cortafuegos de red regional a una red de VPC RoCE
Asocia la política de cortafuegos de red regional a tu red de VPC de RoCE. De esta forma, las reglas de la política se aplican a las interfaces de red MRDMA de esa red.
gcloud
Para asociar una política de cortafuegos de red regional a una red de VPC RoCE, usa el comando gcloud compute network-firewall-policies associations create:
gcloud compute network-firewall-policies associations create \
--firewall-policy FIREWALL_POLICY \
--network NETWORK \
--firewall-policy-region FIREWALL_POLICY_REGION
Haz los cambios siguientes:
FIREWALL_POLICY: nombre de la política de cortafuegos de red regionalLa política de cortafuegos de red regional debe tener el tipo de política
RDMA_ROCE_POLICY.NETWORK: nombre de la red de VPC de RoCEFIREWALL_POLICY_REGION: la región de la política de cortafuegosLa región debe contener la zona del perfil de red RoCE que usa la red de VPC RoCE.