As políticas de firewall de rede regionais da firewall de nova geração do Google Cloud podem ser usadas por redes da nuvem virtual privada (VPC) que tenham um perfil de rede de acesso direto à memória (RDMA) remoto sobre Ethernet convergente (RoCE) associado. As redes VPC RoCE são as que são criadas com um perfil de rede RDMA RoCE.
As redes VPC RoCE permitem cargas de trabalho zonais para computação de alto desempenho, incluindo cargas de trabalho de IA no Google Cloud. Esta página descreve as principais diferenças no suporte do NGFW da nuvem para redes VPC RoCE.
Especificações
As seguintes especificações de firewall aplicam-se às redes VPC RoCE:
Regras e políticas de firewall suportadas: as redes VPC RoCE apenas suportam regras de firewall em políticas de firewall de rede regionais. Não suportam políticas de firewall de rede global, políticas de firewall hierárquicas nem regras de firewall de VPC.
Região e tipo de política: para usar uma política de firewall de rede regional com uma rede VPC RoCE, tem de criar a política com os seguintes atributos:
A região da política de firewall tem de conter a zona usada pelo perfil de rede RoCE da rede VPC RoCE.
Tem de definir o tipo de política de firewall da política de firewall como
RDMA_ROCE_POLICY.
Consequentemente, uma política de firewall de rede regional só pode ser usada por redes VPC RoCE numa região específica. Não é possível usar uma política de firewall de rede regional em redes VPC RoCE e redes VPC normais.
A política de firewall RoCE não tem estado: a política de firewall RoCE processa cada pacote como uma unidade independente e não monitoriza as ligações em curso. Por conseguinte, para garantir que duas máquinas virtuais (VMs) podem comunicar, tem de criar uma regra de entrada permitida em ambas as direções.
Regras de firewall implícitas
As redes VPC RoCE usam as seguintes regras de firewall implícitas, que são diferentes das regras de firewall implícitas usadas pelas redes VPC normais:
- Permissão de saída implícita
- Permissão implícita de entrada
Uma rede VPC RoCE sem regras numa política de firewall de rede regional associada permite todo o tráfego de saída e entrada. Estas regras de firewall implícitas não suportam o registo de regras de firewall.
Especificações da regra
As regras numa política de firewall de rede regional com o tipo de política RDMA_ROCE_POLICY têm de cumprir os seguintes requisitos:
Apenas direção de entrada: a direção da regra tem de ser de entrada. Não pode criar regras de firewall de saída numa política de firewall de rede regional cujo tipo de política seja
RDMA_ROCE_POLICY.Parâmetro de destino: as etiquetas seguras de destino são suportadas, mas as contas de serviço de destino não são.
Parâmetro de origem: apenas dois dos seguintes valores de parâmetros de origem são suportados:
Os intervalos de endereços IP de origem (
src-ip-ranges) são suportados, mas o único valor válido é0.0.0.0/0.As etiquetas seguras de origem (
src-secure-tags) são totalmente suportadas. A utilização de etiquetas seguras é a forma sugerida de segmentar cargas de trabalho que estão na mesma rede VPC RoCE.
As etiquetas seguras de origem e os intervalos de endereços IP de origem são mutuamente exclusivos. Por exemplo, se criar uma regra com
src-ip-ranges=0.0.0.0/0, não pode usar etiquetas seguras de origem (src-secure-tags). Outros parâmetros de origem que fazem parte do Cloud NGFW Standard, como grupos de endereços de origem, nomes de domínios de origem, geolocalizações de origem e listas de inteligência contra ameaças da Google de origem, não são suportados.Parâmetro de ação: as ações de permissão e negação são suportadas, com as seguintes restrições:
Uma regra de entrada com
src-ip-ranges=0.0.0.0/0pode usar a açãoALLOWouDENY.Uma regra de entrada com uma etiqueta segura de origem só pode usar a ação
ALLOW.
Parâmetros de protocolo e porta: o único protocolo suportado é
all(--layer4-configs=all). Não são permitidas regras que se apliquem a protocolos ou portas específicos.
Monitorização e registo
O registo de regras de firewall é suportado com as seguintes restrições:
Os registos de entrada permitem que as regras de firewall sejam publicadas uma vez por estabelecimento de túnel e fornecem informações de pacotes de 2 tuplos.
Os registos das regras de firewall de negação de entrada são publicados como pacotes de amostra e fornecem informações de pacotes de 5 tuplos. Os registos são publicados a uma taxa máxima de uma vez a cada 5 segundos, e todos os registos da firewall estão limitados a 4000 pacotes por 5 segundos.
Funcionalidades não suportadas
As seguintes funcionalidades não são suportadas:
Configure redes VPC RoCE
Para criar regras de firewall para uma rede VPC RoCE, use estas diretrizes e recursos:
As regras numa política de firewall de rede regional que uma rede da VPC RoCE usa dependem das etiquetas seguras de destino e de origem. Por isso, certifique-se de que conhece os procedimentos para criar e gerir etiquetas seguras e associar etiquetas seguras a instâncias de VM.
Para criar redes VPC RoCE e políticas de firewall de rede regionais para redes VPC RoCE, consulte o artigo Crie e faça a gestão de regras de firewall para redes VPC RoCE.
Para controlar o tráfego de entrada e segmentar as cargas de trabalho quando cria regras de entrada numa política de firewall de rede regional, siga estes passos:
Crie uma regra de firewall de recusa de entrada que especifique
src-ip-ranges=0.0.0.0/0e se aplique a todas as VMs na rede de VPC RoCE.Crie regras de firewall de autorização de entrada de prioridade mais elevada que especifiquem etiquetas seguras de origem e etiquetas seguras de destino.
Para determinar que regras de firewall se aplicam a uma interface de rede de VM ou para ver os registos de regras de firewall, consulte os artigos Obtenha regras de firewall eficazes para uma interface de VM e Use o registo de regras de firewall.