RoCE VPC ネットワークのファイアウォール ルールを作成して管理する (original) (raw)

Remote Direct Memory Access(RDMA)over Converged Ethernet(RoCE)ネットワーク プロファイルを使用する Virtual Private Cloud(VPC)ネットワークは、RoCE VPC ネットワークと呼ばれます。このページでは、RoCE VPC ネットワークを作成し、ネットワークに適用されるファイアウォール ルールを構成する方法について説明します。始める前に、次の情報を確認してください。

RoCE VPC ネットワークで使用されるリージョン ネットワーク ファイアウォール ポリシーのルールは、ターゲット セキュアタグと送信元セキュアタグに大きく依存しているため、セキュアタグを作成して管理する方法と、VM インスタンスにセキュアタグをバインドする方法をよく理解しておいてください。

このセクションでは、次のタスクを行う方法について説明します。

始める前に

RDMA ネットワーク プロファイルを使用する VPC ネットワークで、サポートされている機能とサポートされていない機能を確認してください。サポートされていない機能を構成しようとすると、 Google Cloud はエラーを返します。

RDMA ネットワーク プロファイルを使用してネットワークを作成する

RDMA ネットワーク プロファイルを使用して VPC ネットワークを作成する手順は次のとおりです。

コンソール

  1. Google Cloud コンソールで、[VPC ネットワーク] ページに移動します。
    [VPC ネットワーク] に移動
  2. [VPC ネットワークを作成] をクリックします。
  3. [名前] フィールドに、新しいネットワークの名前を入力します。
  4. [MTU を自動的に設定する] チェックボックスをオンのままにします。このチェックボックスをオンにすると、 Google Cloud は、作成する VPC ネットワークのタイプのデフォルト値に MTU を自動的に設定します。RDMA ネットワーク プロファイルを持つ VPC ネットワークの場合、デフォルトの MTU 値は 8896 です。
  5. [ネットワーク プロファイルを構成する] を選択し、次の操作を行います。
    1. [ゾーン] フィールドで、使用するネットワーク プロファイルのゾーンを選択します。作成する VPC ネットワークはこのゾーンに制限されます。つまり、このゾーンのネットワークにのみリソースを作成できます。
    2. 前に選択したゾーンの RDMA ネットワーク プロファイルを選択します(us-central1-b-vpc-falconus-central1-b-vpc-roceus-central1-b-vpc-roce-metal など)。
    3. 選択したネットワーク プロファイルでサポートされている一連の機能を表示するには、[ネットワーク プロファイル機能をプレビュー] をクリックします。
  6. [新しいサブネット] セクションで、サブネットに次の構成パラメータを指定します。
    1. [名前] フィールドに、サブネットの名前を入力します。
    2. [リージョン] フィールドで、サブネットを作成するリージョンを選択します。このリージョンは、構成したネットワーク プロファイルのゾーンに対応している必要があります。たとえば、us-central1-b ゾーン(us-central1-b-vpc-roce など)にネットワーク プロファイルを構成した場合は、us-central1 リージョンにサブネットを作成する必要があります。
    3. IPv4 範囲を入力します。これはサブネットのプライマリ IPv4 範囲です。
      RFC 1918 アドレス以外の範囲を選択した場合は、その範囲が既存の構成と競合していないことを確認します。詳細については、IPv4 サブネットの範囲をご覧ください。
    4. [完了] をクリックします。
  7. さらにサブネットを追加するには、[サブネットを追加] をクリックして前の手順を繰り返します。ネットワークを作成した後で、ネットワークにさらにサブネットを追加することもできます。
  8. [作成] をクリックします。

gcloud

  1. ネットワークを作成するには、gcloud compute networks create コマンドを使用して --network-profile フラグを指定します。
    gcloud compute networks create NETWORK \
    --subnet-mode=custom \
    --network-profile=NETWORK_PROFILE
    次のように置き換えます。
    • NETWORK: VPC ネットワークの名前
    • NETWORK_PROFILE: ネットワーク プロファイルのゾーン固有の名前(us-central1-b-vpc-falconus-central1-b-vpc-roceus-central1-b-vpc-roce-metal など)。
      RDMA ネットワーク プロファイルは、すべてのゾーンで使用できるわけではありません。使用可能なネットワーク プロファイルのゾーン固有のインスタンスを表示するには、ネットワーク プロファイルの一覧を取得する手順に沿って操作します。
  2. サブネットを追加するには、gcloud compute networks subnets create コマンドを使用します。
    gcloud compute networks subnets create SUBNET \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION
    次のように置き換えます。
    • SUBNET: 新しいサブネットの名前
    • NETWORK: 新しいサブネットを含む VPC ネットワークの名前
    • PRIMARY_RANGE: 新しいサブネットのプライマリ IPv4 範囲(CIDR 表記)。詳細については、IPv4 サブネットの範囲をご覧ください。
    • REGION: 新しいサブネットが作成される Google Cloud リージョン。構成したネットワーク プロファイルのゾーンに対応している必要があります。たとえば、us-central1-b ゾーン(us-central1-b-vpc-roce など)にネットワーク プロファイルを構成した場合は、us-central1 リージョンにサブネットを作成する必要があります。

API

  1. ネットワークを作成するには、networks.insert メソッドPOST リクエストを送信し、networkProfile プロパティを指定します。
    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks
    {
    "autoCreateSubnetworks": false,
    "name": "NETWORK",
    "networkProfile": "NETWORK_PROFILE"
    }
    次のように置き換えます。
    • PROJECT_ID: VPC ネットワークが作成されているプロジェクトの ID
    • NETWORK: VPC ネットワークの名前
    • NETWORK_PROFILE: ネットワーク プロファイルのゾーン固有の名前(us-central1-b-vpc-falconus-central1-b-vpc-roceus-central1-b-vpc-roce-metal など)。
      RDMA ネットワーク プロファイルは、すべてのゾーンで使用できるわけではありません。使用可能なネットワーク プロファイルのゾーン固有のインスタンスを表示するには、ネットワーク プロファイルの一覧を取得する手順に沿って操作します。
  2. サブネットを追加するには、subnetworks.insert メソッドPOST リクエストを送信します。
    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
    {
    "ipCidrRange": "IP_RANGE",
    "network": "NETWORK_URL",
    "name": "SUBNET"
    }
    次のように置き換えます。
    • PROJECT_ID: 変更する VPC ネットワークを含むプロジェクトの ID
    • REGION: サブネットが追加される Google Cloud リージョンの名前。このリージョンは、構成したネットワーク プロファイルのゾーンに対応している必要があります。たとえば、us-central1-b ゾーン(us-central1-b-vpc-roce など)にネットワーク プロファイルを構成した場合は、us-central1 リージョンにサブネットを作成する必要があります。
    • IP_RANGE: サブネットのプライマリ IPv4 アドレス範囲。詳細については、IPv4 サブネットの範囲をご覧ください。
    • NETWORK_URL: サブネットを追加する VPC ネットワークの URL
    • SUBNET: サブネットの名前

リージョン ネットワーク ファイアウォール ポリシーを作成する

RoCE VPC ネットワークは、ポリシー タイプが RDMA_ROCE_POLICY のリージョン ネットワーク ファイアウォール ポリシーのみをサポートします。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
    [ファイアウォール ポリシー] に移動
  2. プロジェクト セレクタのメニューで、組織内のプロジェクトを選択します。
  3. [ファイアウォール ポリシーを作成] をクリックします。
  4. [Name] フィールドに、ポリシー名を入力します。
  5. [ポリシータイプ] で、[RDMA RoCE ポリシー] を選択します。
  6. [作成] をクリックします。

gcloud

RoCE VPC ネットワークのリージョン ネットワーク ファイアウォール ポリシーを作成するには、gcloud compute network-firewall-policies create コマンドを使用します。

gcloud compute network-firewall-policies create FIREWALL_POLICY
--region REGION
--policy-type=RDMA_ROCE_POLICY

次のように置き換えます。

リージョン ネットワーク ファイアウォール ポリシーでルールを作成する

ポリシー タイプが RDMA_ROCE_POLICY のリージョン ネットワーク ファイアウォール ポリシーは、上り(内向き)ルールのみをサポートし、有効な送信元、アクション、レイヤ 4 構成フラグに制約があります。詳細については、仕様をご覧ください。

コンソール

ソース IP 範囲 0.0.0.0/0 を使用し、RoCE VPC ネットワーク内のすべてのネットワーク インターフェースに適用される上り(内向き)ルールを作成するには、次の操作を行います。

  1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
    [ファイアウォール ポリシー] に移動
  2. プロジェクト セレクタのリストで、プロジェクトまたはポリシーを含むフォルダを選択します。
  3. ポリシーの名前をクリックし、[ファイアウォール ルールを作成] をクリックします。
  4. ルールの優先度を入力します。
  5. [ターゲット] で、[すべてに適用] を選択します。
  6. [送信元] で [すべての IP アドレス(0.0.0.0/0)] を選択します。
  7. [一致したときのアクション] で、ルールに一致する接続を許可する(許可)か、拒否する(拒否)かを指定します。
  8. [ログ] で、[オン] または [オフ] を選択します。
  9. [作成] をクリックします。

ソース セキュアタグを使用し、関連付けられたセキュアタグ値を持つ VM の特定のネットワーク インターフェースに適用される上り(内向き)ルールを作成するには、次の操作を行います。

  1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
    [ファイアウォール ポリシー] に移動
  2. プロジェクト セレクタのリストで、プロジェクトまたはポリシーを含むフォルダを選択します。
  3. ポリシーの名前をクリックし、[ファイアウォール ルールを作成] をクリックします。
  4. ルールの優先度を入力します。
  5. [ターゲット] で、[すべてに適用] を選択します。
  6. [ソース] で [安全なタグ] を選択し、次の操作を行います。
    1. [タグのスコープを選択] をクリックします。
    2. [リソースを選択] ページで、セキュアタグを作成する組織またはプロジェクトを選択します。
    3. ルールを適用する Key-Value ペアを選択します。
    4. Key-Value ペアをさらに追加するには、[タグを追加] をクリックします。
  7. [ログ] で、[オン] または [オフ] を選択します。
  8. [作成] をクリックします。

gcloud

--src-ip-ranges=0.0.0.0/0 フラグを使用し、RoCE VPC ネットワーク内のすべてのネットワーク インターフェースに適用される上り(内向き)ルールを作成するには、gcloud compute network-firewall-policies rules create コマンドを使用します。

gcloud compute network-firewall-policies rules create PRIORITY
--direction=ingress
--layer4-configs=all
--enable-logging
--action ACTION
--firewall-policy FIREWALL_POLICY_NAME
--firewall-policy-region FIREWALL_POLICY_REGION
--src-ip-ranges=0.0.0.0/0

ソース セキュアタグを使用し、関連付けられたセキュアタグ値を持つ VM の特定のネットワーク インターフェースに適用される上り(内向き)ルールを作成するには、gcloud compute network-firewall-policies rules create コマンドを使用します。

gcloud compute network-firewall-policies rules create PRIORITY
--direction=ingress
--layer4-configs=all
--enable-logging
--action ALLOW
--firewall-policy FIREWALL_POLICY_NAME
--firewall-policy-region FIREWALL_POLICY_REGION
--src-secure-tag SRC_SECURE_TAG[,SRC_SECURE_TAG,...]
--target-secure-tag TARGET_SECURE_TAG[,TARGET_SECURE_TAG,...]

次のように置き換えます。

リージョン ネットワーク ファイアウォール ポリシーを RoCE VPC ネットワークに関連付ける

リージョン ネットワーク ファイアウォール ポリシーを RoCE VPC ネットワークに関連付けます。これにより、ポリシーのルールがそのネットワーク内の MRDMA ネットワーク インターフェースに適用されます。

コンソール

  1. Google Cloud コンソールで、[ファイアウォール ポリシー] ページに移動します。
    [ファイアウォール ポリシー] に移動
  2. プロジェクト セレクタ メニューで、RoCE VPC ネットワークを含むポリシーを含むプロジェクトを選択します。
  3. ポリシーをクリックします。
  4. [関連付け] タブをクリックします。
  5. [関連付けを追加] をクリックします。
  6. プロジェクト内の RDMA RoCE ネットワークを選択します。
  7. [関連付け] をクリックします。

gcloud

リージョン ネットワーク ファイアウォール ポリシーを RoCE VPC ネットワークに関連付けるには、gcloud compute network-firewall-policies associations create コマンドを使用します。

gcloud compute network-firewall-policies associations create
--firewall-policy FIREWALL_POLICY
--network NETWORK
--firewall-policy-region FIREWALL_POLICY_REGION

次のように置き換えます。

次のステップ