Esta página descreve como resolver problemas comuns que pode encontrar ao configurar políticas da firewall de nova geração na nuvem para redes da nuvem virtual privada (VPC) com o perfil de rede de acesso direto à memória (RDMA) remoto através de Ethernet convergente (RoCE).
A política predefinida permite todas as ligações
Este problema ocorre quando não associa nenhuma política de firewall a uma rede da VPC com o perfil de rede RoCE.
Para resolver este problema, defina uma política de firewall para a sua rede da VPC com o perfil de rede RoCE. Se não definir uma política, todas as instâncias de máquinas virtuais (VMs) na mesma rede VPC ligam-se umas às outras por predefinição. Para mais informações, consulte o artigo Crie uma rede com o perfil de rede RDMA.
A regra de firewall implícita permite o tráfego de entrada
Este problema ocorre quando uma política de firewall RoCE é anexada a uma rede da VPC através do perfil de rede RoCE e não existem outras regras correspondentes.
Para resolver este problema, compreenda que a regra de firewall implícita para uma política de firewall de rede RoCE é INGRESS ALLOW ALL. Esta regra
aplica-se se nenhuma outra regra corresponder.
Não é possível ativar o registo na regra de recusa implícita
Este problema ocorre quando tenta ativar o registo na regra DENYimplícita para uma política de firewall RoCE.
Para resolver este problema, crie uma regra de DENY separada. Use as flags --src-ip-range=0.0.0.0/0 e --enable-logging com esta regra. Não pode ativar o registo diretamente na regra implícita.
Os registos de ações da firewall incluem as seguintes informações de ligação:
- Os registos
ALLOWsão publicados uma vez, no estabelecimento da ligação, e fornecem informações de 2 tuplos (endereço IP de origem, endereço IP de destino). - Os registos
DENYfornecem informações de 5 tuplos para o pacote recusado. Estes registos são repetidos enquanto as tentativas de tráfego continuarem, com uma taxa máxima de uma vez a cada 5 segundos.
Para mais informações sobre os limites, consulte o artigo Por regra de firewall.
O que se segue?
- NGFW na nuvem para o perfil de rede RoCE
- Crie e faça a gestão de regras de firewall para RoCE
- Vista geral dos perfis de rede