Las políticas de cortafuegos de red regionales de Cloud Next Generation Firewall se pueden usar en redes de nube privada virtual (VPC) que tengan un perfil de red de acceso directo a memoria remota (RDMA) a través de Ethernet convergente (RoCE) asociado. Las redes de VPC RoCE son las que se crean con un perfil de red RoCE RDMA.
Las redes de VPC de RoCE permiten cargas de trabajo zonales para la computación de alto rendimiento, incluidas las cargas de trabajo de IA en Google Cloud. En esta página se describen las principales diferencias en la compatibilidad de Cloud NGFW con las redes VPC de RoCE.
Especificaciones
Las siguientes especificaciones de firewall se aplican a las redes de VPC RoCE:
Reglas y políticas de cortafuegos admitidas: las redes de VPC de RoCE solo admiten reglas de cortafuegos en políticas de cortafuegos de red regionales. No admiten políticas de cortafuegos de red globales, políticas de cortafuegos jerárquicas ni reglas de cortafuegos de VPC.
Región y tipo de política: para usar una política de cortafuegos de red regional con una red de VPC RoCE, debes crear la política con los siguientes atributos:
La región de la política de cortafuegos debe contener la zona utilizada por el perfil de red RoCE de la red de VPC RoCE.
Debe definir el tipo de política de cortafuegos como
RDMA_ROCE_POLICY.
Por lo tanto, las políticas de cortafuegos de red regionales solo se pueden usar en redes VPC de RoCE de una región concreta. Una política de cortafuegos de red regional no puede usarse en redes de VPC RoCE y en redes de VPC normales.
La política de cortafuegos de RoCE no tiene estado: la política de cortafuegos de RoCE procesa cada paquete como una unidad independiente y no registra las conexiones en curso. Por lo tanto, para asegurarte de que dos máquinas virtuales puedan comunicarse, debes crear una regla de entrada permitida en ambas direcciones.
Reglas de cortafuegos implícitas
Las redes de VPC de RoCE usan las siguientes reglas de cortafuegos implícitas, que son diferentes de las reglas de cortafuegos implícitas que usan las redes de VPC normales:
- Permitir salida implícita
- Permitir el acceso implícito
Una red de VPC RoCE sin reglas en una política de cortafuegos de red regional asociada permite todo el tráfico de entrada y salida. Estas reglas de cortafuegos implícitas no admiten el almacenamiento de registros de reglas de cortafuegos.
Especificaciones de las reglas
Las reglas de una política de cortafuegos de red regional con el tipo de política RDMA_ROCE_POLICY deben cumplir los siguientes requisitos:
Solo dirección de entrada: la dirección de la regla debe ser de entrada. No puedes crear reglas de cortafuegos de salida en una política de cortafuegos de red regional cuyo tipo de política sea
RDMA_ROCE_POLICY.Parámetro de destino: se admiten etiquetas seguras de destino, pero no cuentas de servicio de destino.
Parámetro de origen: solo se admiten dos de los siguientes valores del parámetro de origen:
Se admiten intervalos de direcciones IP de origen (
src-ip-ranges), pero el único valor válido es0.0.0.0/0.Las etiquetas seguras de origen (
src-secure-tags) se admiten completamente. Usar etiquetas seguras es la forma recomendada de segmentar las cargas de trabajo que están en la misma red de VPC de RoCE.
Las etiquetas seguras de origen y los intervalos de direcciones IP de origen se excluyen mutuamente. Por ejemplo, si crea una regla con
src-ip-ranges=0.0.0.0/0, no puede usar etiquetas seguras de origen (src-secure-tags). No se admiten otros parámetros de origen que formen parte de Cloud NGFW Standard: grupos de direcciones de origen, nombres de dominio de origen, geolocalizaciones de origen y listas de Google Threat Intelligence de origen.Parámetro de acción: se admiten las acciones de permitir y denegar, con las siguientes restricciones:
Una regla de entrada con
src-ip-ranges=0.0.0.0/0puede usar la acciónALLOWoDENY.Una regla de entrada con una etiqueta segura de origen solo puede usar la acción
ALLOW.
Parámetros de protocolo y puerto: el único protocolo admitido es
all(--layer4-configs=all). No se permiten reglas que se apliquen a protocolos o puertos específicos.
Monitorizar y almacenar registros
El almacenamiento de registros de reglas de cortafuegos se admite con las siguientes restricciones:
Los registros de reglas de cortafuegos de entrada permitidas se publican una vez por túnel y proporcionan información de paquetes de 2 tuplas.
Los registros de las reglas de cortafuegos de denegación de entrada se publican como paquetes muestreados y proporcionan información de paquetes de 5 tuplas. Los registros se publican a una frecuencia máxima de una vez cada 5 segundos, y todos los registros de firewall están limitados a 4000 paquetes cada 5 segundos.
Funciones no compatibles
Las siguientes funciones no se admiten:
Configurar redes de VPC de RoCE
Para crear reglas de cortafuegos para una red de VPC de RoCE, sigue estas directrices y usa estos recursos:
Las reglas de una política de cortafuegos de red regional que usa una red de VPC de RoCE dependen de las etiquetas seguras de destino y de origen. Por lo tanto, asegúrate de que conoces cómo crear y gestionar etiquetas seguras y vincular etiquetas seguras a instancias de VM.
Para crear redes de VPC de RoCE y políticas de cortafuegos de red regionales para redes de VPC de RoCE, consulta Crear y gestionar reglas de cortafuegos para redes de VPC de RoCE.
Para controlar el tráfico de entrada y segmentar las cargas de trabajo al crear reglas de entrada en una política de cortafuegos de red regional, sigue estos pasos:
Crea una regla de cortafuegos de denegación de entrada que especifique
src-ip-ranges=0.0.0.0/0y se aplique a todas las VMs de la red de VPC de RoCE.Crea reglas de cortafuegos de entrada de mayor prioridad que especifiquen etiquetas seguras de destino y etiquetas seguras de origen.
Para determinar qué reglas de cortafuegos se aplican a una interfaz de red de una VM o para ver los registros de reglas de cortafuegos, consulta Obtener las reglas de cortafuegos efectivas de una interfaz de VM y Usar el almacenamiento de registros de reglas de cortafuegos.