Uma rede de nuvem virtual privada (VPC) que usa o perfil de rede de acesso direto à memória (RDMA) remoto através de Ethernet convergente (RoCE) é denominada rede VPC RoCE. Esta página mostra como criar uma rede de VPC RoCE e configurar regras de firewall que se aplicam à rede. Antes de começar, reveja as seguintes informações:
Uma vez que as regras numa política de firewall de rede regional usada por uma rede VPC RoCE dependem fortemente de etiquetas seguras de destino e etiquetas seguras de origem, certifique-se de que sabe como criar e gerir etiquetas seguras e associar etiquetas seguras às instâncias de VM.
Esta secção descreve como realizar as seguintes tarefas:
- Crie uma rede de VPC RoCE
- Crie uma política de firewall de rede regional que funcione com a rede da VPC RoCE
- Crie regras na política de firewall de rede regional
- Associe a política de firewall de rede regional à rede de VPC RoCE
Antes de começar
Certifique-se de que revê as funcionalidades suportadas e não suportadas nas redes VPC com um perfil de rede RDMA. Se tentar configurar funcionalidades não suportadas, Google Cloud devolve um erro.
Crie uma rede com um perfil de rede RDMA
Para criar uma rede de VPC com um perfil de rede RDMA, faça o seguinte.
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Clique em Criar rede de VPC.
No campo Nome, introduza um nome para a rede.
No campo Unidade de transmissão máxima (MTU), selecione
8896.Selecione Configurar perfil de rede e faça o seguinte:
- No campo Zona, selecione a zona do perfil de rede que quer usar. A rede VPC que criar está restrita a esta zona, o que significa que só pode criar recursos na rede nesta zona.
- Selecione o perfil de rede RDMA para a zona que selecionou anteriormente, como
europe-west1-b-vpc-roce. - Para ver o conjunto de funcionalidades suportadas para o perfil de rede que selecionou, clique em Pré-visualizar funcionalidades do perfil de rede.
Na secção Nova sub-rede, especifique os seguintes parâmetros de configuração de uma sub-rede:
- No campo Nome, introduza um nome para a sub-rede.
- No campo Região, selecione a região na qual criar a sub-rede. Esta região tem de corresponder à zona do perfil de rede que configurou. Por exemplo, se configurou o perfil de rede para
europe-west1-b, tem de criar a sub-rede emeurope-west1. Introduza um intervalo de IPv4. Este intervalo é o intervalo IPv4 principal para a sub-rede.
Se selecionar um intervalo que não seja um endereço RFC 1918, confirme que o intervalo não entra em conflito com uma configuração existente. Para mais informações, consulte os intervalos de sub-redes IPv4.
Clique em Concluído.
Para adicionar mais sub-redes, clique em Adicionar sub-rede e repita os passos anteriores. Também pode adicionar mais sub-redes à rede depois de a ter criado.
Clique em Criar.
gcloud
Para criar a rede, use o comando
gcloud compute networks createe especifique a flag--network-profile.gcloud compute networks create NETWORK \ --subnet-mode=custom \ --network-profile=NETWORK_PROFILESubstitua o seguinte:
NETWORK: um nome para a rede VPCNETWORK_PROFILE: o nome específico da zona do perfil de rede, comoeurope-west1-b-vpc-roceOs perfis de rede RDMA não estão disponíveis em todas as zonas. Para ver as instâncias específicas da zona de um perfil de rede que estão disponíveis, siga as instruções para listar perfis de rede.
Para adicionar sub-redes, use o comando
gcloud compute networks subnets create.gcloud compute networks subnets create SUBNET \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONSubstitua o seguinte:
SUBNET: um nome para a nova sub-redeNETWORK: o nome da rede VPC que contém a nova sub-redePRIMARY_RANGE: o intervalo IPv4 principal para a nova sub-rede, na notação CIDR. Para mais informações, consulte o artigo Intervalos de sub-redes IPv4.REGION: a Google Cloud região na qual a nova sub-rede é criada. Tem de corresponder à zona do perfil de rede que configurou. Por exemplo, se configurou o perfil de rede na zonaeurope-west1-busando o perfil de rede denominadoeurope-west1-b-vpc-roce, tem de criar a sub-rede na regiãoeurope-west1.
API
Para criar a rede, faça um pedido
POSTao métodonetworks.inserte especifique a propriedadenetworkProfile.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks { "autoCreateSubnetworks": false, "name": "NETWORK", "networkProfile": "NETWORK_PROFILE" }Substitua o seguinte:
PROJECT_ID: o ID do projeto onde a rede VPC é criadaNETWORK: um nome para a rede VPCNETWORK_PROFILE: o nome específico da zona do perfil de rede, comoeurope-west1-b-vpc-roceOs perfis de rede RDMA não estão disponíveis em todas as zonas. Para ver as instâncias específicas da zona de um perfil de rede que estão disponíveis, siga as instruções para listar perfis de rede.
Para adicionar sub-redes, faça um pedido
POSTao métodosubnetworks.insert.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks { "ipCidrRange": "IP_RANGE", "network": "NETWORK_URL", "name": "SUBNET" }Substitua o seguinte:
PROJECT_ID: o ID do projeto que contém a rede VPC a modificarREGION: o nome da Google Cloud região onde a sub-rede é adicionada. Esta região tem de corresponder à zona do perfil de rede que configurou. Por exemplo, se configurou o perfil de rede na zonaeurope-west1-busando o perfil de rede denominadoeurope-west1-b-vpc-roce, tem de criar a sub-rede na regiãoeurope-west1.IP_RANGE: o intervalo de endereços IPv4 principal para a sub-rede. Para mais informações, consulte o artigo Intervalos de sub-redes IPv4.NETWORK_URL: o URL da rede VPC onde está a adicionar a sub-redeSUBNET: um nome para a sub-rede
Crie uma política de firewall de rede regional
As redes da VPC RoCE só suportam políticas de firewall de rede regionais com um tipo de política de RDMA_ROCE_POLICY.
gcloud
Para criar uma política de firewall de rede regional para uma rede de VPC RoCE, use o comando gcloud beta compute network-firewall-policies create:
gcloud beta compute network-firewall-policies create FIREWALL_POLICY \
--region REGION \
--policy-type=RDMA_ROCE_POLICY
Substitua o seguinte:
FIREWALL_POLICY: um nome para a política de firewall de redeREGION: uma região à qual quer aplicar a política. A região tem de conter a zona do perfil de rede RoCE usado pela rede VPC RoCE.
Crie regras na política de firewall de rede regional
As políticas de firewall de rede regionais que têm um tipo de política de RDMA_ROCE_POLICY
só suportam regras de entrada e têm restrições em flags de configuração de origem, ação e camada 4 válidas. Para mais informações,
consulte as Especificações.
gcloud
Para criar uma regra de entrada que use a flag --src-ip-ranges=0.0.0.0/0
e se aplique a todas as interfaces de rede na rede VPC RoCE, use o comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ACTION \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-ip-ranges=0.0.0.0/0
Para criar uma regra de entrada que use uma etiqueta segura de origem e se aplique a interfaces de rede específicas de VMs com um valor de etiqueta segura associado, use o comando gcloud compute network-firewall-policies rules create:
gcloud compute network-firewall-policies rules create PRIORITY \
--direction=ingress \
--layer4-configs=all \
--enable-logging \
--action ALLOW \
--firewall-policy FIREWALL_POLICY_NAME\
--firewall-policy-region FIREWALL_POLICY_REGION \
--src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...] \
--target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]
Substitua o seguinte:
PRIORITY: a prioridade da regraACTION: a ação na correspondência da regra- Se usar o
--src-ip-ranges=0.0.0.0/0, pode usar oALLOWou oDENY. - Se usar o
--src-secure-tag, só pode usar oALLOW.
- Se usar o
FIREWALL_POLICY_NAME: um nome da política de firewall da rede regional na qual a regra é criada.FIREWALL_POLICY_REGION: a região usada pela política de firewall de rede regional na qual a regra é criada.SRC_SECURE_TAG: define o parâmetro de origem da regra de entrada através de uma lista separada por vírgulas de valores de etiquetas seguros. Para mais informações, consulte o artigo Etiquetas seguras para firewalls.TARGET_SECURE_TAG: define o parâmetro de destino da regra usando uma lista de valores de etiquetas seguras separados por vírgulas. Para mais informações, consulte o artigo Etiquetas seguras para firewalls.
Associe a política de firewall de rede regional a uma rede VPC RoCE
Associe a política de firewall de rede regional à sua rede de VPC RoCE. Isto garante que as regras da política se aplicam às
interfaces de rede MRDMA nessa rede.
gcloud
Para associar uma política de firewall de rede regional a uma rede da VPC RoCE, use o comando gcloud compute network-firewall-policies associations create:
gcloud compute network-firewall-policies associations create \
--firewall-policy FIREWALL_POLICY \
--network NETWORK \
--firewall-policy-region FIREWALL_POLICY_REGION
Substitua o seguinte:
FIREWALL_POLICY: um nome da política de firewall de rede regionalA política de firewall de rede regional tem de ter um tipo de política de
RDMA_ROCE_POLICY.NETWORK: um nome da rede VPC RoCEFIREWALL_POLICY_REGION: a região da política de firewallA região tem de conter a zona do perfil de rede RoCE usado pela rede VPC RoCE.