Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
I criteri firewall di rete regionali di Cloud Next Generation Firewall
possono essere utilizzati dalle reti Virtual Private Cloud (VPC) a cui รจ associato
un profilo di rete Remote Direct Memory Access (RDMA) su Ethernet convergente (RoCE). Le reti VPC RoCE sono quelle
create con un profilo di rete RDMA RoCE.
Le reti VPC RoCE consentono carichi di lavoro zonali per
il computing ad alte prestazioni, inclusi i carichi di lavoro AI in Google Cloud.
Questa pagina descrive le principali differenze nel supporto di Cloud NGFW
per le reti VPC RoCE.
Specifiche
Le seguenti specifiche del firewall si applicano alle reti VPC RoCE:
Regole e criteri firewall supportati: le reti VPC RoCE
supportano solo le regole firewall nei criteri firewall di rete regionali. Non supportano i criteri firewall di rete globali, i criteri firewall gerarchici o le regole firewall VPC.
Regione e tipo di policy: per utilizzare una policy firewall di rete regionale con una rete VPC RoCE, devi creare la policy con i seguenti attributi:
La regione della policy del firewall deve contenere la zona utilizzata dal profilo di rete RoCE della rete VPC RoCE.
Devi impostare il tipo di policy del firewall su
RDMA_ROCE_POLICY.
Di conseguenza, un criterio firewall di rete regionale puรฒ essere utilizzato solo dalle reti VPC RoCE in una determinata regione. Un criterio firewall di rete regionale non puรฒ essere utilizzato sia dalle reti VPC RoCE sia dalle reti VPC regolari.
Il criterio firewall RoCE รจ stateless: il criterio firewall RoCE elabora ogni pacchetto come un'unitร indipendente e non tiene traccia delle connessioni in corso.
Pertanto, per garantire che due macchine virtuali (VM) possano comunicare, devi
creare una regola di ingresso consentita in entrambe le direzioni.
Regole firewall implicite
Le reti VPC RoCE utilizzano le seguenti regole firewall implicite, che
sono diverse da quelle utilizzate dalle reti VPC
regolari:
Traffico in uscita consentito implicito
Consenti traffico in entrata implicito
Una rete VPC RoCE senza regole in una policy firewall di rete regionale associata consente tutto il traffico in uscita e in entrata.
Queste regole firewall implicite non supportano
il logging delle regole firewall.
Specifiche della regola
Le regole di un criterio firewall di rete regionale con il tipo di criterio
RDMA_ROCE_POLICY devono soddisfare i seguenti requisiti:
Solo direzione in entrata: la direzione della regola deve essere in entrata.
Non puoi creare regole firewall in uscita in un criterio firewall di rete regionale
il cui tipo di criterio รจ RDMA_ROCE_POLICY.
Parametro target: i tag sicuri di destinazione sono supportati, ma gli account di servizio di destinazione no.
Gli intervalli di indirizzi IP di origine (src-ip-ranges) sono supportati, ma l'unico
valore valido รจ 0.0.0.0/0.
I tag di origine protetti (src-secure-tags) sono completamente supportati. L'utilizzo di tag sicuri รจ il modo consigliato per segmentare i carichi di lavoro che si trovano nella stessa rete VPC RoCE.
I tag di origine protetti e gli intervalli di indirizzi IP di origine si escludono a vicenda.
Ad esempio, se crei una regola con src-ip-ranges=0.0.0.0/0, non puoi utilizzare i tag sicuri dell'origine (src-secure-tags). Gli altri parametri dell'origine che fanno parte di Cloud NGFW Standard, ovvero gruppi di indirizzi di origine, nomi di dominio di origine, geolocalizzazioni di origine, elenchi di Google Threat Intelligence di origine, non sono supportati.
Parametro azione: sono supportate sia le azioni di autorizzazione che di negazione, con i seguenti vincoli:
Una regola di ingresso con src-ip-ranges=0.0.0.0/0 puรฒ utilizzare l'azione ALLOW o DENY.
Una regola di ingresso con un tag sicuro di origine puรฒ utilizzare solo l'azione ALLOW.
Parametri di protocollo e porta: l'unico protocollo supportato รจ all
(--layer4-configs=all). Non sono consentite regole che si applicano a protocolli o porte specifici.
I log per le regole firewall di autorizzazione in entrata vengono pubblicati una volta per ogni tunnel
e forniscono informazioni sui pacchetti a 2 tuple.
I log per le regole firewall di negazione in entrata vengono pubblicati come pacchetti campionati e
forniscono informazioni sui pacchetti a 5 tuple. I log vengono pubblicati a una velocitร massima
di una volta ogni 5 secondi e tutti i log del firewall sono limitati a 4000 pacchetti
ogni 5 secondi.
Per controllare il traffico in entrata e segmentare i carichi di lavoro quando crei
regole in entrata in un criterio firewall di rete regionale, segui questi passaggi:
Crea una regola firewall di negazione in entrata che specifichi
src-ip-ranges=0.0.0.0/0 e si applichi a tutte le VM nella rete VPC RoCE.
Crea regole firewall in entrata con prioritร piรน elevata che specificano tag protetti di destinazione e tag protetti di origine.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema รจ stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-01 UTC."],[],[],null,["| **Preview**\n|\n|\n| This feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n| of the [Service Specific Terms](/terms/service-terms#1).\n|\n| Pre-GA features are available \"as is\" and might have limited support.\n|\n| For more information, see the\n| [launch stage descriptions](/products#product-launch-stages).\n\nCloud Next Generation Firewall regional network firewall policies\ncan be used by Virtual Private Cloud (VPC) networks that have an associated\nRemote Direct Memory Access (RDMA) over converged ethernet (RoCE) network\nprofile. *RoCE VPC networks* are those that are\ncreated with an [RDMA RoCE network profile](/vpc/docs/rdma-network-profiles).\n\nRoCE VPC networks enable zonal workloads for\nhigh performance computing, including AI workloads in Google Cloud.\nThis page describes key differences in Cloud NGFW support\nfor RoCE VPC networks.\n\nSpecifications\n\nThe following firewall specifications apply to RoCE VPC\nnetworks:\n\n- **Supported firewall rules and policies** : RoCE VPC networks\n *only* support firewall rules in regional network firewall policies. They\n don't support global network firewall policies, hierarchical firewall\n policies, or VPC firewall rules.\n\n- **Region and policy type**: to use a regional network firewall policy\n with an RoCE VPC network, you must create the policy\n with the following attributes:\n\n - The region of the firewall policy must contain the zone used by the RoCE\n network profile of the RoCE VPC network.\n\n - You must set the firewall policy type of the firewall policy to\n `RDMA_ROCE_POLICY`.\n\n Consequently, a regional network firewall policy can *only* be used by RoCE\n VPC networks in a particular region. A regional network firewall\n policy can't be used by both RoCE VPC networks and regular\n VPC networks.\n- **RoCE firewall policy is stateless**: RoCE firewall policy processes each\n packet as an independent unit and doesn't keep track of ongoing connections.\n Therefore, to ensure two virtual machines (VMs) can communicate, you must\n create an allow ingress rule in both directions.\n\nImplied firewall rules\n\nRoCE VPC networks use the following implied firewall rules, which\nare different from the implied firewall rules used by regular VPC\nnetworks:\n\n- Implied allow egress\n- Implied allow ingress\n\nAn RoCE VPC network without any rules in an associated\nregional network firewall policy allows all egress and ingress traffic.\nThese implied firewall rules don't support\n[Firewall Rules Logging](/firewall/docs/firewall-rules-logging).\n\nRule specifications\n\nRules in a regional network firewall policy with the policy type\n`RDMA_ROCE_POLICY` must meet the following requirements:\n\n- **Ingress direction only** : the rule's direction must be ingress.\n You can't create egress firewall rules in a regional network firewall\n policy whose policy type is `RDMA_ROCE_POLICY`.\n\n- **Target parameter**: target secure tags are supported, but target\n service accounts are not.\n\n- **Source parameter** : only two of the following\n [source parameter values](/firewall/docs/firewall-policies-rule-details#sources)\n are supported:\n\n - Source IP address ranges (`src-ip-ranges`) are supported, but the only\n valid value is `0.0.0.0/0`.\n\n - Source secure tags (`src-secure-tags`) are fully supported. Using secure\n tags is the suggested way to segment workloads that are in the same RoCE\n VPC network.\n\n Source secure tags and source IP address ranges are mutually exclusive.\n For example, if you create a rule with `src-ip-ranges=0.0.0.0/0`, then you\n can't use source secure tags (`src-secure-tags`). Other source parameters that\n are part of\n [Cloud NGFW Standard](/firewall/docs/about-firewalls#firewall-standard)---source\n address groups, source domain names, source geolocations, source Google Threat Intelligence\n lists---aren't supported.\n | **Note:** Target secure tags and source secure tags apply to the VM network interfaces that send packets. For more information, see [Specifications](/firewall/docs/tags-firewalls-overview#specifications).\n- **Action parameter**: both allow and deny actions are supported, with the\n following constraints:\n\n - An ingress rule with `src-ip-ranges=0.0.0.0/0` can use either the `ALLOW`\n or `DENY` action.\n\n - An ingress rule with a source secure tag can only use the `ALLOW` action.\n\n- **Protocol and port parameters** : the only supported protocol is `all`\n (`--layer4-configs=all`). Rules that apply to specific protocols or ports\n aren't allowed.\n\nMonitoring and logging\n\n[Firewall Rules Logging](/firewall/docs/firewall-rules-logging) is\nsupported with the following constraints:\n\n- Logs for ingress allow firewall rules are published once per tunnel\n establishment and provide 2-tuple packet information.\n\n- Logs for ingress deny firewall rules are published as sampled packets and\n provide 5-tuple packet information. Logs are published at a maximum rate\n of once every 5 seconds, and all firewall logs are limited to 4,000 packets\n per 5 seconds.\n\nUnsupported features\n\nThe following features are unsupported:\n\n- [Security profiles](/firewall/docs/about-security-profiles) and\n [firewall endpoints](/firewall/docs/about-firewall-endpoints)\n\n- [Mirroring rules](/network-security-integration/docs/out-of-band/firewall-policies-overview#mirroring-rules)\n\nConfigure RoCE VPC networks\n\nTo create firewall rules for an RoCE VPC network, use these\nguidelines and resources:\n\n- The rules in a regional network firewall policy that an RoCE\n VPC network uses depend on target and source secure tags.\n Therefore, ensure that you are familiar with\n [create and manage secure tags](/firewall/docs/use-tags-for-firewalls) and\n [bind secure tags to VM instances](/firewall/docs/use-tags-for-firewalls#bind_secure_tags_to_vm_instances).\n\n- To create RoCE VPC networks and regional network\n firewall policies for RoCE VPC networks, see\n [Create and manage firewall rules for RoCE VPC networks](/firewall/docs/create-manage-roce-vpcs).\n\n- To control ingress traffic and segment your workloads when you create\n ingress rules in a regional network firewall policy, use the following steps:\n\n - Create an ingress deny firewall rule that specifies\n `src-ip-ranges=0.0.0.0/0` and applies to all VMs in the RoCE\n VPC network.\n\n - Create higher-priority ingress allow firewall rules that specify target\n secure tags and source secure tags.\n\n- To determine which firewall rules apply to a VM network interface or to view\n firewall rule logs, see\n [Get effective firewall rules for a VM interface](/firewall/docs/use-network-firewall-policies#get_effective_firewall_rules_for_a_vm_interface)\n and [Use Firewall Rules Logging](/firewall/docs/using-firewall-rules-logging).\n\nWhat's next\n\n- [RDMA RoCE network profile](/vpc/docs/rdma-network-profiles)\n- [Create and manage firewall rules for RoCE VPC networks](/firewall/docs/create-manage-roce-vpcs)"]]
