Risolvere i problemi relativi alle policy Cloud NGFW per i profili di rete RoCE

Questa pagina descrive come risolvere i problemi comuni che potresti riscontrare quando configuri i criteri del firewall di nuova generazione Cloud per le reti Virtual Private Cloud (VPC) con il profilo di rete RDMA (Remote Direct Memory Access) su Ethernet convergente (RoCE).

Il criterio predefinito consente tutte le connessioni

Questo problema si verifica quando non associ alcuna policy firewall per una rete VPC al profilo di rete RoCE.

Per risolvere il problema, definisci una policy firewall per la tua rete VPC con il profilo di rete RoCE. Se non definisci una policy, tutte le istanze di macchine virtuali (VM) nella stessa rete VPC si connettono tra loro per impostazione predefinita. Per saperne di più, consulta Creare una rete con il profilo di rete RDMA.

La regola firewall implicita consente il traffico in entrata

Questo problema si verifica quando una policy del firewall RoCE viene collegata a una rete VPC utilizzando il profilo di rete RoCE e nessun'altra regola corrispondente.

Per risolvere questo problema, tieni presente che la regola firewall implicita per un criterio firewall di rete RoCE è INGRESS ALLOW ALL. Questa regola viene applicata se non corrispondono altre regole.

Impossibile abilitare la registrazione nella regola di negazione implicita

Questo problema si verifica quando tenti di attivare la registrazione nella regola DENY implicita per un criterio firewall RoCE.

Per risolvere il problema, crea una regola DENY separata. Utilizza i flag --src-ip-range=0.0.0.0/0 e --enable-logging con questa regola. Non puoi abilitare la registrazione direttamente nella regola implicita. I log delle azioni del firewall includono le seguenti informazioni sulla connessione:

• I log ALLOW vengono pubblicati una sola volta, al momento della creazione della connessione, e forniscono informazioni a due tuple (indirizzo IP di origine, indirizzo IP di destinazione).
• I log DENY forniscono informazioni a 5 tuple per il pacchetto rifiutato. Questi log vengono ripetuti finché continuano i tentativi di traffico, con una frequenza massima di una volta ogni 5 secondi.

Per ulteriori informazioni sui limiti, vedi Per regola firewall.

Passaggi successivi

• Cloud NGFW per il profilo di rete RoCE
• Crea e gestisci le regole firewall per RoCE
• Panoramica dei profili di rete