En esta página se describe cómo solucionar problemas habituales que pueden surgir al configurar políticas de cortafuegos de nueva generación de Cloud para redes de nube privada virtual (VPC) con el perfil de red de acceso directo a memoria remoto (RDMA) a través de Ethernet convergente (RoCE).
La política predeterminada permite todas las conexiones
Este problema se produce cuando no asocias ninguna política de cortafuegos a una red de VPC con el perfil de red RoCE.
Para solucionar este problema, define una política de cortafuegos para tu red de VPC con el perfil de red RoCE. Si no defines una política, todas las instancias de máquina virtual (VM) de la misma red de VPC se conectarán entre sí de forma predeterminada. Para obtener más información, consulta Crear una red con el perfil de red RDMA.
La regla de cortafuegos implícita permite el tráfico de entrada
Este problema se produce cuando una política de cortafuegos de RoCE se adjunta a una red de VPC mediante el perfil de red de RoCE y no hay otras reglas coincidentes.
Para solucionar este problema, ten en cuenta que la regla de cortafuegos implícita de una política de cortafuegos de red RoCE es INGRESS ALLOW ALL. Esta regla se aplica si no coincide ninguna otra.
No se puede habilitar el registro en una regla de denegación implícita
Este problema se produce cuando intenta habilitar el registro en la regla DENY implícita de una política de cortafuegos RoCE.
Para solucionar este problema, crea una regla DENY independiente. Usa las marcas --src-ip-range=0.0.0.0/0 y --enable-logging con esta regla. No puedes habilitar el registro directamente en la regla implícita.
Los registros de acciones del cortafuegos incluyen la siguiente información de conexión:
- Los registros
ALLOWse publican una vez, cuando se establece la conexión, y proporcionan información de tuplas de dos elementos (dirección IP de origen y dirección IP de destino). - Los registros de
DENYproporcionan información de 5 tuplas sobre el paquete denegado. Estos registros se repiten mientras se sigan intentando enviar datos, con una frecuencia máxima de una vez cada 5 segundos.
Para obtener más información sobre los límites, consulta Por regla de cortafuegos.
Siguientes pasos
- NGFW de Cloud para el perfil de red RoCE
- Crear y gestionar reglas de cortafuegos para RoCE
- Descripción general de los perfiles de red