Cloud NGFW für RoCE-VPC-Netzwerke

Regionale Netzwerk-Firewallrichtlinien für Cloud Next Generation Firewall können von VPC-Netzwerken (Virtual Private Cloud) verwendet werden, die ein zugehöriges Netzwerkprofil für Remote Direct Memory Access (RDMA) over Converged Ethernet (RoCE) haben. RoCE-VPC-Netzwerke werden mit einem RDMA-RoCE-Netzwerkprofil erstellt.

RoCE-VPC-Netzwerke ermöglichen zonale Arbeitslasten für Hochleistungs-Computing, einschließlich KI-Arbeitslasten in Google Cloud. Auf dieser Seite werden die wichtigsten Unterschiede bei der Cloud NGFW-Unterstützung für RoCE-VPC-Netzwerke beschrieben.

Spezifikationen

Für RoCE-VPC-Netzwerke gelten die folgenden Firewallspezifikationen:

• Unterstützte Firewallregeln und ‑richtlinien: RoCE-VPC-Netzwerke unterstützen nur Firewallregeln in regionalen Netzwerk-Firewallrichtlinien. Sie unterstützen keine globalen Netzwerk-Firewallrichtlinien, hierarchischen Firewallrichtlinien oder VPC-Firewallregeln.

• Region und Richtlinientyp: Wenn Sie eine regionale Netzwerk-Firewallrichtlinie mit einem RoCE-VPC-Netzwerk verwenden möchten, müssen Sie die Richtlinie mit den folgenden Attributen erstellen:

  • Die Region der Firewallrichtlinie muss die Zone enthalten, die vom RoCE-Netzwerkprofil des RoCE-VPC-Netzwerk verwendet wird.

  • Sie müssen den Firewallrichtlinientyp der Firewallrichtlinie auf RDMA_ROCE_POLICY festlegen.

  Daher kann eine regionale Netzwerk-Firewallrichtlinie nur von RoCE-VPC-Netzwerken in einer bestimmten Region verwendet werden. Eine regionale Netzwerk-Firewallrichtlinie kann nicht sowohl von RoCE-VPC-Netzwerken als auch von regulären VPC-Netzwerken verwendet werden.

• RoCE-Firewallrichtlinie ist zustandslos: Bei der Verarbeitung von RoCE-Firewallrichtlinien wird jedes Paket als unabhängige Einheit behandelt. Es werden keine laufenden Verbindungen verfolgt. Damit zwei virtuelle Maschinen (VMs) miteinander kommunizieren können, müssen Sie daher eine Regel zum Zulassen von eingehendem Traffic in beide Richtungen erstellen.

Implizite Firewallregeln

Für RoCE-VPC-Netzwerke werden die folgenden impliziten Firewallregeln verwendet, die sich von den impliziten Firewallregeln für reguläre VPC-Netzwerke unterscheiden:

• Implizites Zulassen von ausgehendem Traffic
• Implizites Zulassen von eingehendem Traffic

Ein RoCE-VPC-Netzwerk ohne Regeln in einer zugehörigen regionalen Netzwerk-Firewallrichtlinie lässt den gesamten ausgehenden und eingehenden Traffic zu. Diese impliziten Firewallregeln unterstützen kein Logging von Firewallregeln.

Regelspezifikationen

Regeln in einer regionalen Netzwerk-Firewallrichtlinie mit dem Richtlinientyp RDMA_ROCE_POLICY müssen die folgenden Anforderungen erfüllen:

• Nur Eingangsrichtung: Die Richtung der Regel muss „Eingang“ sein. Sie können keine Firewallregeln für ausgehenden Traffic in einer regionalen Netzwerk-Firewallrichtlinie erstellen, deren Richtlinientyp RDMA_ROCE_POLICY ist.

• Zielparameter: Ziel-Tags für sichere Inhalte werden unterstützt, Ziel-Dienstkonten jedoch nicht.

• Quellparameter: Nur zwei der folgenden Quellparameterwerte werden unterstützt:

  • Quell-IP-Adressbereiche (src-ip-ranges) werden unterstützt, aber der einzige gültige Wert ist 0.0.0.0/0.

  • Sichere Quell-Tags (src-secure-tags) werden vollständig unterstützt. Die Verwendung sicherer Tags ist die empfohlene Methode zum Segmentieren von Arbeitslasten, die sich im selben RoCE-VPC-Netzwerk befinden.

  Sichere Quell-Tags und Quell-IP-Adressbereiche schließen sich gegenseitig aus. Wenn Sie beispielsweise eine Regel mit src-ip-ranges=0.0.0.0/0 erstellen, können Sie keine sicheren Quell-Tags (src-secure-tags) verwenden. Andere Quellparameter, die Teil von Cloud NGFW Standard sind, z. B. Quelladressengruppen, Quelldomainnamen, Quellgeolokalisierungen und Google Threat Intelligence-Listen, werden nicht unterstützt.

• Aktionsparameter: Sowohl das Zulassen als auch das Verweigern von Aktionen werden unterstützt, mit den folgenden Einschränkungen:

  • Für eine Ingress-Regel mit src-ip-ranges=0.0.0.0/0 kann entweder die Aktion ALLOW oder DENY verwendet werden.

  • Für eine Regel für eingehenden Traffic mit einem sicheren Quell-Tag kann nur die Aktion ALLOW verwendet werden.

• Protokoll- und Portparameter: Das einzige unterstützte Protokoll ist all (--layer4-configs=all). Regeln, die für bestimmte Protokolle oder Ports gelten, sind nicht zulässig.

Monitoring und Logging

Das Logging von Firewallregeln wird mit den folgenden Einschränkungen unterstützt:

• Logs für Firewallregeln für eingehenden Traffic werden einmal pro Tunnelverbindung veröffentlicht und enthalten Informationen zu 2-Tupel-Paketen.

• Logs für Firewallregeln zum Ablehnen von eingehendem Traffic werden als Stichprobenpakete veröffentlicht und enthalten 5-Tupel-Paketinformationen. Logs werden maximal alle 5 Sekunden veröffentlicht. Alle Firewall-Logs sind auf 4.000 Pakete pro 5 Sekunden begrenzt.

Nicht unterstützte Funktionen

Folgende Funktionen werden nicht unterstützt:

• Sicherheitsprofile und Firewall-Endpunkte

• Spiegelungsregeln

RoCE-VPC-Netzwerke konfigurieren

Verwenden Sie die folgenden Richtlinien und Ressourcen, um Firewallregeln für ein RoCE-VPC-Netzwerk zu erstellen:

• Die Regeln in einer regionalen Netzwerk-Firewallrichtlinie, die ein RoCE-VPC-Netzwerk verwendet, hängen von den sicheren Tags für Ziel und Quelle ab. Machen Sie sich daher mit dem Erstellen und Verwalten von sicheren Tags und dem Binden von sicheren Tags an VM-Instanzen vertraut.

• Informationen zum Erstellen von RoCE-VPC-Netzwerken und regionalen Netzwerk-Firewallrichtlinien für RoCE-VPC-Netzwerke finden Sie unter Firewallregeln für RoCE-VPC-Netzwerke erstellen und verwalten.

• So steuern Sie eingehenden Traffic und segmentieren Ihre Arbeitslasten, wenn Sie Regeln für eingehenden Traffic in einer regionalen Netzwerk-Firewallrichtlinie erstellen:

  • Erstellen Sie eine „ingress deny“-Firewallregel, in der src-ip-ranges=0.0.0.0/0 angegeben ist und die für alle VMs im RoCE-VPC-Netzwerk gilt.

  • Erstellen Sie Firewallregeln mit höherer Priorität für eingehenden Traffic, die sichere Ziel- und Quell-Tags angeben.

• Informationen dazu, welche Firewallregeln für eine VM-Netzwerkschnittstelle gelten oder wie Sie Protokolle für Firewallregeln aufrufen, finden Sie unter Für eine VM-Schnittstelle geltende Firewallregeln abrufen und Logging von Firewallregeln verwenden.

Nächste Schritte

• RDMA-RoCE-Netzwerkprofil
• Firewallregeln für RoCE-VPC-Netzwerke erstellen und verwalten