RoCE VPC ネットワークのファイアウォール ルールを作成して管理する

コンソール

1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。

   [VPC ネットワーク] に移動

2. [VPC ネットワークを作成] をクリックします。

3. [名前] フィールドに、新しいネットワークの名前を入力します。

4. [最大伝送単位（MTU）] フィールドで、8896 を選択します。

5. [ネットワーク プロファイルを構成する] を選択し、次の操作を行います。

   1. [ゾーン] フィールドで、使用するネットワーク プロファイルのゾーンを選択します。作成する VPC ネットワークはこのゾーンに制限されます。つまり、このゾーンのネットワークにのみリソースを作成できます。
   2. 前に選択したゾーンの RDMA ネットワーク プロファイル（europe-west4-b-vpc-falcon や europe-west4-b-vpc-roce など）を選択します。
   3. 選択したネットワーク プロファイルでサポートされている一連の機能を表示するには、[ネットワーク プロファイル機能をプレビュー] をクリックします。

6. [新しいサブネット] セクションで、サブネットに次の構成パラメータを指定します。

   1. [名前] フィールドに、サブネットの名前を入力します。
   2. [リージョン] フィールドで、サブネットを作成するリージョンを選択します。このリージョンは、構成したネットワーク プロファイルのゾーンに対応している必要があります。たとえば、europe-west4-b ゾーン（europe-west4-b-vpc-roce など）にネットワーク プロファイルを構成した場合は、europe-west4 リージョンにサブネットを作成する必要があります。

   3. IPv4 範囲を入力します。これはサブネットのプライマリ IPv4 範囲です。

      RFC 1918 アドレス以外の範囲を選択した場合は、その範囲が既存の構成と競合していないことを確認します。詳細については、IPv4 サブネットの範囲をご覧ください。

   4. [完了] をクリックします。

7. さらにサブネットを追加するには、[サブネットを追加] をクリックして前の手順を繰り返します。ネットワークを作成した後で、ネットワークにさらにサブネットを追加することもできます。

8. [作成] をクリックします。

gcloud

1. ネットワークを作成するには、gcloud compute networks create コマンドを使用して --network-profile フラグを指定します。

     gcloud compute networks create NETWORK \
         --subnet-mode=custom \
         --network-profile=NETWORK_PROFILE
   

   次のように置き換えます。

   • NETWORK: VPC ネットワークの名前

   • NETWORK_PROFILE: ネットワーク プロファイルのゾーン固有の名前（europe-west4-b-vpc-falcon、europe-west4-b-vpc-roce など）。

     RDMA ネットワーク プロファイルは、すべてのゾーンで使用できるわけではありません。使用可能なネットワーク プロファイルのゾーン固有のインスタンスを表示するには、ネットワーク プロファイルの一覧を取得する手順に沿って操作します。

2. サブネットを追加するには、gcloud compute networks subnets create コマンドを使用します。

     gcloud compute networks subnets create SUBNET \
         --network=NETWORK \
         --range=PRIMARY_RANGE \
         --region=REGION
   

   次のように置き換えます。

   • SUBNET: 新しいサブネットの名前
   • NETWORK: 新しいサブネットを含む VPC ネットワークの名前
   • PRIMARY_RANGE: 新しいサブネットのプライマリ IPv4 範囲（CIDR 表記）。詳細については、IPv4 サブネットの範囲をご覧ください。
   • REGION: 新しいサブネットが作成される Google Cloud リージョン。構成したネットワーク プロファイルのゾーンに対応している必要があります。たとえば、europe-west4-b ゾーン（europe-west4-b-vpc-roce など）にネットワーク プロファイルを構成した場合は、europe-west4 リージョンにサブネットを作成する必要があります。

API

1. ネットワークを作成するには、networks.insert メソッドに POST リクエストを送信し、networkProfile プロパティを指定します。

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
   {
   "autoCreateSubnetworks": false,
   "name": "NETWORK",
   "networkProfile": "NETWORK_PROFILE"
   }
   

   次のように置き換えます。

   • PROJECT_ID: VPC ネットワークが作成されているプロジェクトの ID
   • NETWORK: VPC ネットワークの名前

   • NETWORK_PROFILE: ネットワーク プロファイルのゾーン固有の名前（europe-west4-b-vpc-falcon や europe-west4-b-vpc-roce など）。

     RDMA ネットワーク プロファイルは、すべてのゾーンで使用できるわけではありません。使用可能なネットワーク プロファイルのゾーン固有のインスタンスを表示するには、ネットワーク プロファイルの一覧を取得する手順に沿って操作します。

2. サブネットを追加するには、subnetworks.insert メソッドに POST リクエストを送信します。

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
   {
   "ipCidrRange": "IP_RANGE",
   "network": "NETWORK_URL",
   "name": "SUBNET"
   }
   

   次のように置き換えます。

   • PROJECT_ID: 変更する VPC ネットワークを含むプロジェクトの ID
   • REGION: サブネットが追加される Google Cloud リージョンの名前。このリージョンは、構成したネットワーク プロファイルのゾーンに対応している必要があります。たとえば、europe-west4-b ゾーン（europe-west4-b-vpc-roce など）にネットワーク プロファイルを構成した場合は、europe-west4 リージョンにサブネットを作成する必要があります。
   • IP_RANGE: サブネットのプライマリ IPv4 アドレス範囲。詳細については、IPv4 サブネットの範囲をご覧ください。
   • NETWORK_URL: サブネットを追加する VPC ネットワークの URL
   • SUBNET: サブネットの名前

gcloud

RoCE VPC ネットワークのリージョン ネットワーク ファイアウォール ポリシーを作成するには、gcloud beta compute network-firewall-policies create コマンドを使用します。

  gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
      --region REGION \
      --policy-type=RDMA_ROCE_POLICY

次のように置き換えます。

• FIREWALL_POLICY: ネットワーク ファイアウォール ポリシーの名前
• REGION: ポリシーに適用するリージョン。リージョンには、RoCE VPC ネットワークで使用される RoCE ネットワーク プロファイルのゾーンが含まれている必要があります。

gcloud

--src-ip-ranges=0.0.0.0/0 フラグを使用し、RoCE VPC ネットワーク内のすべてのネットワーク インターフェースに適用される上り（内向き）ルールを作成するには、gcloud compute network-firewall-policies rules create コマンドを使用します。

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ACTION \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-ip-ranges=0.0.0.0/0

ソース セキュアタグを使用し、関連付けられたセキュアタグ値を持つ VM の特定のネットワーク インターフェースに適用される上り（内向き）ルールを作成するには、gcloud compute network-firewall-policies rules create コマンドを使用します。

  gcloud compute network-firewall-policies rules create PRIORITY \
      --direction=ingress \
      --layer4-configs=all \
      --enable-logging \
      --action ALLOW \
      --firewall-policy FIREWALL_POLICY_NAME\
      --firewall-policy-region FIREWALL_POLICY_REGION \
      --src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
      --target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

次のように置き換えます。

• PRIORITY: ルールの優先度
• ACTION: ルールの一致したときのアクション
  • --src-ip-ranges=0.0.0.0/0 を使用する場合は、ALLOW または DENY のいずれかを使用できます。
  • --src-secure-tag を使用する場合は、ALLOW のみを使用できます。
• FIREWALL_POLICY_NAME: ルールが作成されるリージョン ネットワーク ファイアウォール ポリシーの名前。
• FIREWALL_POLICY_REGION: ルールが作成されるリージョン ネットワーク ファイアウォール ポリシーで使用されるリージョン。
• SRC_SECURE_TAG: セキュアタグ値のカンマ区切りリストを使用して、上り（内向き）ルールのソース パラメータを定義します。詳細については、ファイアウォールのセキュアタグをご覧ください。
• TARGET_SECURE_TAG: セキュアタグ値のカンマ区切りリストを使用して、ルールのターゲット パラメータを定義します。詳細については、ファイアウォールのセキュアタグをご覧ください。

gcloud

リージョン ネットワーク ファイアウォール ポリシーを RoCE VPC ネットワークに関連付けるには、gcloud compute network-firewall-policies associations create コマンドを使用します。

  gcloud compute network-firewall-policies associations create \
      --firewall-policy FIREWALL_POLICY \
      --network NETWORK \
      --firewall-policy-region FIREWALL_POLICY_REGION
  

次のように置き換えます。

• FIREWALL_POLICY: リージョン ネットワーク ファイアウォール ポリシーの名前

  リージョン ネットワーク ファイアウォール ポリシーのポリシー タイプは RDMA_ROCE_POLICY である必要があります。

• NETWORK: RoCE VPC ネットワークの名前

• FIREWALL_POLICY_REGION: ファイアウォール ポリシーのリージョン

  リージョンには、RoCE VPC ネットワークで使用される RoCE ネットワーク プロファイルのゾーンが含まれている必要があります。