排查 RoCE 网络配置文件的 Cloud NGFW 政策问题

本页面介绍了如何排查在为具有远程直接内存访问 (RDMA) over Converged Ethernet (RoCE) 网络配置文件的 Virtual Private Cloud (VPC) 网络设置 Cloud 下一代防火墙政策时可能遇到的常见问题。

默认政策允许所有连接

如果您未将任何 VPC 网络的防火墙政策与 RoCE 网络配置文件相关联,则会发生此问题。

如需解决此问题,请为您的 VPC 网络定义使用 RoCE 网络配置的防火墙政策。如果您未定义政策,则同一 VPC 网络中的所有虚拟机 (VM) 实例默认会相互连接。如需了解详情,请参阅使用 RDMA 网络配置文件创建网络

隐式防火墙规则允许入站流量

当 RoCE 防火墙政策使用 RoCE 网络配置文件附加到 VPC 网络时,如果不存在其他匹配规则,则会发生此问题。

如需解决此问题,请了解 RoCE 网络防火墙政策的隐含防火墙规则为 INGRESS ALLOW ALL。如果没有其他规则匹配,则应用此规则。

无法为隐式拒绝规则启用日志记录

当您尝试为 RoCE 防火墙政策启用隐式 DENY 规则的日志记录时,会发生此问题。

如需解决此问题,请单独创建 DENY 规则。将 --src-ip-range=0.0.0.0/0--enable-logging 标志与此规则搭配使用。您无法直接在隐式规则上启用日志记录。 防火墙操作日志包含以下连接信息:

  • ALLOW 日志在连接建立时发布一次,并提供 2 元组(来源 IP 地址、目标 IP 地址)信息。
  • DENY 日志提供被拒绝的数据包的 5 元组信息。只要流量尝试继续,这些日志就会重复记录,但最快每 5 秒记录一次。

如需详细了解限制,请参阅每条防火墙规则的限制

后续步骤