Cloud NGFW untuk jaringan VPC RoCE (original) (raw)
Kebijakan firewall jaringan regional Cloud Next Generation Firewall dapat digunakan oleh jaringan Virtual Private Cloud (VPC) yang memiliki profil jaringan Remote Direct Memory Access (RDMA) over converged ethernet (RoCE) terkait. Jaringan VPC RoCE adalah jaringan yang dibuat dengan profil jaringan RDMA RoCE.
Jaringan VPC RoCE memungkinkan workload zonal untuk komputasi berperforma tinggi, termasuk workload AI di Google Cloud. Halaman ini menjelaskan perbedaan utama dalam dukungan Cloud NGFW untuk jaringan VPC RoCE.
Spesifikasi
Spesifikasi firewall berikut berlaku untuk jaringan VPC RoCE:
- Jenis jaringan VPC RoCE yang didukung: Dukungan untuk fitur Cloud NGFW yang dijelaskan di halaman ini hanya berlaku untuk jaringan VPC RoCE untuk instance VM, yang dibuat menggunakan profil jaringan
roce. Fitur Cloud NGFW ini tidak didukung di jaringan VPC RoCE untuk instance bare metal, yang dibuat menggunakan profil jaringanroce-metal. - Aturan dan kebijakan firewall yang didukung: Jaringan VPC RoCE hanya mendukung aturan firewall dalam kebijakan firewall jaringan regional. Load balancer ini tidak mendukung kebijakan firewall jaringan global, kebijakan firewall hierarkis, atau aturan firewall VPC.
- Jenis kebijakan dan region: untuk menggunakan kebijakan firewall jaringan regional dengan jaringan VPC RoCE, Anda harus membuat kebijakan dengan atribut berikut:
- Region kebijakan firewall harus berisi zona yang digunakan oleh profil jaringan RoCE dari jaringan VPC RoCE.
- Anda harus menetapkan jenis kebijakan firewall dari kebijakan firewall ke
RDMA_ROCE_POLICY.
Oleh karena itu, kebijakan firewall jaringan regional hanya dapat digunakan oleh jaringan VPC RoCE di region tertentu. Kebijakan firewall jaringan regional tidak dapat digunakan oleh jaringan VPC RoCE dan jaringan VPC reguler.
- Kebijakan firewall RoCE bersifat stateless: Kebijakan firewall RoCE memproses setiap paket sebagai unit independen dan tidak melacak koneksi yang sedang berlangsung. Oleh karena itu, untuk memastikan dua virtual machine (VM) dapat berkomunikasi, Anda harus membuat aturan masuk yang diizinkan di kedua arah.
Aturan firewall tersirat
Jaringan VPC RoCE menggunakan aturan firewall tersirat berikut, yang berbeda dengan aturan firewall tersirat yang digunakan oleh jaringan VPC reguler:
- Izinkan traffic keluar secara implisit
- Implied allow ingress
Jaringan VPC RoCE tanpa aturan apa pun dalam kebijakan firewall jaringan regional terkait mengizinkan semua traffic keluar dan masuk. Aturan firewall implisit ini tidak mendukunglogging aturan kebijakan firewall.
Spesifikasi aturan
Aturan dalam kebijakan firewall jaringan regional dengan jenis kebijakanRDMA_ROCE_POLICY harus memenuhi persyaratan berikut:
- Arah ingress saja: arah aturan harus berupa ingress. Anda tidak dapat membuat aturan firewall egress dalam kebijakan firewall jaringan regional yang jenis kebijakannya adalah
RDMA_ROCE_POLICY. - Parameter target: tag aman target didukung, tetapi akun layanan target tidak didukung.
- Parameter sumber: hanya dua darinilai parameter sumberberikut yang didukung:
- Rentang alamat IP sumber (
src-ip-ranges) didukung, tetapi satu-satunya nilai yang valid adalah0.0.0.0/0. - Tag aman sumber (
src-secure-tags) didukung sepenuhnya. Penggunaan tag yang aman adalah cara yang disarankan untuk menyegmentasikan workload yang berada di jaringan VPC RoCE yang sama.
Tag aman sumber dan rentang alamat IP sumber tidak dapat terjadi bersamaan. Misalnya, jika Anda membuat aturan dengansrc-ip-ranges=0.0.0.0/0, Anda tidak dapat menggunakan tag aman sumber (src-secure-tags). Parameter sumber lain yang merupakan bagian dari Cloud NGFW Standard—grup alamat sumber, nama domain sumber, geolokasi sumber, daftar Google Threat Intelligence sumber—tidak didukung.
- Rentang alamat IP sumber (
- Parameter tindakan: tindakan izinkan dan tolak didukung, dengan batasan berikut:
- Aturan ingress dengan
src-ip-ranges=0.0.0.0/0dapat menggunakan tindakanALLOWatauDENY. - Aturan masuk dengan tag aman sumber hanya dapat menggunakan tindakan
ALLOW.
- Aturan ingress dengan
- Parameter protokol dan port: satu-satunya protokol yang didukung adalah
all(--layer4-configs=all). Aturan yang berlaku untuk protokol atau port tertentu tidak diizinkan.
Monitoring dan logging
Logging aturan kebijakan firewalldidukung dengan batasan berikut:
- Log untuk aturan firewall yang mengizinkan masuk dipublikasikan sekali per pembuatan tunnel dan memberikan informasi paket 2-tuple.
- Log untuk aturan firewall masuk deny dipublikasikan sebagai paket yang diambil sampelnya dan memberikan informasi paket 5-tuple. Log dipublikasikan dengan kecepatan maksimum sekali setiap 5 detik, dan semua log firewall dibatasi hingga 4.000 paket per 5 detik.
Fitur yang tidak didukung
Fitur berikut tidak didukung:
Mengonfigurasi jaringan VPC RoCE
Untuk membuat aturan firewall untuk jaringan VPC RoCE, gunakan panduan dan resource berikut:
- Aturan dalam kebijakan firewall jaringan regional yang digunakan oleh jaringan VPC RoCE bergantung pada tag aman sumber dan target. Oleh karena itu, pastikan Anda memahami cara membuat dan mengelola tag aman serta mengikat tag aman ke instance VM.
- Untuk membuat jaringan VPC RoCE dan kebijakan firewall jaringan regional untuk jaringan VPC RoCE, lihat Membuat dan mengelola aturan firewall untuk jaringan VPC RoCE.
- Untuk mengontrol traffic ingress dan menyegmentasikan workload saat Anda membuat aturan ingress dalam kebijakan firewall jaringan regional, ikuti langkah-langkah berikut:
- Buat aturan firewall penolakan ingress yang menentukan
src-ip-ranges=0.0.0.0/0dan berlaku untuk semua VM di jaringan VPC RoCE. - Buat aturan firewall izinkan masuk dengan prioritas yang lebih tinggi yang menentukan tag aman target dan tag aman sumber.
- Buat aturan firewall penolakan ingress yang menentukan
- Untuk menentukan aturan firewall yang berlaku untuk antarmuka jaringan VM atau untuk melihat log aturan firewall, lihat Mendapatkan aturan firewall efektif untuk antarmuka VM dan Menggunakan logging aturan firewall VPC.