Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Les stratégies de pare-feu réseau régionales Cloud Next Generation Firewall peuvent être utilisées par les réseaux de cloud privé virtuel (VPC) associés à un profil réseau RDMA (Remote Direct Memory Access) over converged ethernet (RoCE). Les réseaux VPC RoCE sont ceux qui sont créés avec un profil de réseau RDMA RoCE.
Les réseaux VPC RoCE permettent les charges de travail zonales pour le calcul hautes performances, y compris les charges de travail d'IA dans Google Cloud.
Cette page décrit les principales différences de compatibilité de Cloud NGFW pour les réseaux VPC RoCE.
Spécifications
Les spécifications de pare-feu suivantes s'appliquent aux réseaux VPC RoCE :
Règles et stratégies de pare-feu compatibles : les réseaux VPC RoCE uniquement sont compatibles avec les règles de pare-feu dans les stratégies de pare-feu réseau régionales. Elles ne sont pas compatibles avec les stratégies de pare-feu réseau mondiales, les stratégies de pare-feu hiérarchiques ni les règles de pare-feu VPC.
Région et type de stratégie : pour utiliser une stratégie de pare-feu de réseau régionale avec un réseau VPC RoCE, vous devez créer la stratégie avec les attributs suivants :
La région de la stratégie de pare-feu doit contenir la zone utilisée par le profil réseau RoCE du réseau VPC RoCE.
Vous devez définir le type de stratégie de pare-feu sur RDMA_ROCE_POLICY.
Par conséquent, une stratégie de pare-feu réseau régionale ne peut être utilisée que par les réseaux VPC RoCE d'une région spécifique. Une stratégie de pare-feu de réseau régionale ne peut pas être utilisée à la fois par les réseaux VPC RoCE et les réseaux VPC standards.
La stratégie de pare-feu RoCE est sans état : elle traite chaque paquet comme une unité indépendante et ne suit pas les connexions en cours.
Par conséquent, pour vous assurer que deux machines virtuelles (VM) peuvent communiquer, vous devez créer une règle d'autorisation d'entrée dans les deux sens.
Règles de pare-feu implicites
Les réseaux VPC RoCE utilisent les règles de pare-feu implicites suivantes, qui sont différentes de celles utilisées par les réseaux VPC standards :
Sortie autorisée implicite
Autorisation d'entrée implicite
Un réseau VPC RoCE sans aucune règle dans une stratégie de pare-feu réseau régionale associée autorise tout le trafic de sortie et d'entrée.
Ces règles de pare-feu implicites ne sont pas compatibles avec la journalisation des règles de pare-feu.
Spécifications des règles
Les règles d'une stratégie de pare-feu réseau régionale dont le type de stratégie est RDMA_ROCE_POLICY doivent répondre aux exigences suivantes :
Direction d'entrée uniquement : la direction de la règle doit être "entrée".
Vous ne pouvez pas créer de règles de pare-feu de sortie dans une stratégie de pare-feu réseau régionale dont le type de stratégie est RDMA_ROCE_POLICY.
Paramètre target : les tags sécurisés cibles sont acceptés, mais pas les comptes de service cibles.
Les plages d'adresses IP sources (src-ip-ranges) sont acceptées, mais la seule valeur valide est 0.0.0.0/0.
Les tags sécurisés sources (src-secure-tags) sont entièrement compatibles. L'utilisation de tags sécurisés est la méthode recommandée pour segmenter les charges de travail qui se trouvent dans le même réseau VPC RoCE.
Les tags sécurisés sources et les plages d'adresses IP sources s'excluent mutuellement.
Par exemple, si vous créez une règle avec src-ip-ranges=0.0.0.0/0, vous ne pouvez pas utiliser les tags sécurisés de source (src-secure-tags). Les autres paramètres de source qui font partie de Cloud NGFW Standard (groupes d'adresses sources, noms de domaine sources, géolocalisations sources, listes Google Threat Intelligence sources) ne sont pas acceptés.
Paramètre d'action : les actions d'autorisation et de refus sont acceptées, avec les contraintes suivantes :
Une règle d'entrée avec src-ip-ranges=0.0.0.0/0 peut utiliser l'action ALLOW ou DENY.
Une règle d'entrée avec un tag sécurisé source ne peut utiliser que l'action ALLOW.
Paramètres de protocole et de port : le seul protocole compatible est all (--layer4-configs=all). Les règles qui s'appliquent à des protocoles ou des ports spécifiques ne sont pas autorisées.
Les journaux des règles de pare-feu autorisant les entrées sont publiés une fois par établissement de tunnel et fournissent des informations sur les paquets sous forme de tuples à deux éléments.
Les journaux des règles de pare-feu d'entrée refusée sont publiés sous forme de paquets échantillonnés et fournissent des informations sur les paquets à cinq tuples. Les journaux sont publiés à une fréquence maximale d'une fois toutes les cinq secondes, et tous les journaux de pare-feu sont limités à 4 000 paquets par période de cinq secondes.
Fonctionnalités non compatibles
Les fonctionnalités suivantes ne sont pas compatibles :
Pour contrôler le trafic entrant et segmenter vos charges de travail lorsque vous créez des règles d'entrée dans une stratégie de pare-feu réseau régionale, procédez comme suit :
Créez une règle de pare-feu d'entrée qui spécifie src-ip-ranges=0.0.0.0/0 et s'applique à toutes les VM du réseau VPC RoCE.
Créez des règles de pare-feu d'entrée autorisant de priorité supérieure qui spécifient des tags sécurisés cibles et des tags sécurisés sources.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/01 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/01 (UTC)."],[],[],null,["| **Preview**\n|\n|\n| This feature is subject to the \"Pre-GA Offerings Terms\" in the General Service Terms section\n| of the [Service Specific Terms](/terms/service-terms#1).\n|\n| Pre-GA features are available \"as is\" and might have limited support.\n|\n| For more information, see the\n| [launch stage descriptions](/products#product-launch-stages).\n\nCloud Next Generation Firewall regional network firewall policies\ncan be used by Virtual Private Cloud (VPC) networks that have an associated\nRemote Direct Memory Access (RDMA) over converged ethernet (RoCE) network\nprofile. *RoCE VPC networks* are those that are\ncreated with an [RDMA RoCE network profile](/vpc/docs/rdma-network-profiles).\n\nRoCE VPC networks enable zonal workloads for\nhigh performance computing, including AI workloads in Google Cloud.\nThis page describes key differences in Cloud NGFW support\nfor RoCE VPC networks.\n\nSpecifications\n\nThe following firewall specifications apply to RoCE VPC\nnetworks:\n\n- **Supported firewall rules and policies** : RoCE VPC networks\n *only* support firewall rules in regional network firewall policies. They\n don't support global network firewall policies, hierarchical firewall\n policies, or VPC firewall rules.\n\n- **Region and policy type**: to use a regional network firewall policy\n with an RoCE VPC network, you must create the policy\n with the following attributes:\n\n - The region of the firewall policy must contain the zone used by the RoCE\n network profile of the RoCE VPC network.\n\n - You must set the firewall policy type of the firewall policy to\n `RDMA_ROCE_POLICY`.\n\n Consequently, a regional network firewall policy can *only* be used by RoCE\n VPC networks in a particular region. A regional network firewall\n policy can't be used by both RoCE VPC networks and regular\n VPC networks.\n- **RoCE firewall policy is stateless**: RoCE firewall policy processes each\n packet as an independent unit and doesn't keep track of ongoing connections.\n Therefore, to ensure two virtual machines (VMs) can communicate, you must\n create an allow ingress rule in both directions.\n\nImplied firewall rules\n\nRoCE VPC networks use the following implied firewall rules, which\nare different from the implied firewall rules used by regular VPC\nnetworks:\n\n- Implied allow egress\n- Implied allow ingress\n\nAn RoCE VPC network without any rules in an associated\nregional network firewall policy allows all egress and ingress traffic.\nThese implied firewall rules don't support\n[Firewall Rules Logging](/firewall/docs/firewall-rules-logging).\n\nRule specifications\n\nRules in a regional network firewall policy with the policy type\n`RDMA_ROCE_POLICY` must meet the following requirements:\n\n- **Ingress direction only** : the rule's direction must be ingress.\n You can't create egress firewall rules in a regional network firewall\n policy whose policy type is `RDMA_ROCE_POLICY`.\n\n- **Target parameter**: target secure tags are supported, but target\n service accounts are not.\n\n- **Source parameter** : only two of the following\n [source parameter values](/firewall/docs/firewall-policies-rule-details#sources)\n are supported:\n\n - Source IP address ranges (`src-ip-ranges`) are supported, but the only\n valid value is `0.0.0.0/0`.\n\n - Source secure tags (`src-secure-tags`) are fully supported. Using secure\n tags is the suggested way to segment workloads that are in the same RoCE\n VPC network.\n\n Source secure tags and source IP address ranges are mutually exclusive.\n For example, if you create a rule with `src-ip-ranges=0.0.0.0/0`, then you\n can't use source secure tags (`src-secure-tags`). Other source parameters that\n are part of\n [Cloud NGFW Standard](/firewall/docs/about-firewalls#firewall-standard)---source\n address groups, source domain names, source geolocations, source Google Threat Intelligence\n lists---aren't supported.\n | **Note:** Target secure tags and source secure tags apply to the VM network interfaces that send packets. For more information, see [Specifications](/firewall/docs/tags-firewalls-overview#specifications).\n- **Action parameter**: both allow and deny actions are supported, with the\n following constraints:\n\n - An ingress rule with `src-ip-ranges=0.0.0.0/0` can use either the `ALLOW`\n or `DENY` action.\n\n - An ingress rule with a source secure tag can only use the `ALLOW` action.\n\n- **Protocol and port parameters** : the only supported protocol is `all`\n (`--layer4-configs=all`). Rules that apply to specific protocols or ports\n aren't allowed.\n\nMonitoring and logging\n\n[Firewall Rules Logging](/firewall/docs/firewall-rules-logging) is\nsupported with the following constraints:\n\n- Logs for ingress allow firewall rules are published once per tunnel\n establishment and provide 2-tuple packet information.\n\n- Logs for ingress deny firewall rules are published as sampled packets and\n provide 5-tuple packet information. Logs are published at a maximum rate\n of once every 5 seconds, and all firewall logs are limited to 4,000 packets\n per 5 seconds.\n\nUnsupported features\n\nThe following features are unsupported:\n\n- [Security profiles](/firewall/docs/about-security-profiles) and\n [firewall endpoints](/firewall/docs/about-firewall-endpoints)\n\n- [Mirroring rules](/network-security-integration/docs/out-of-band/firewall-policies-overview#mirroring-rules)\n\nConfigure RoCE VPC networks\n\nTo create firewall rules for an RoCE VPC network, use these\nguidelines and resources:\n\n- The rules in a regional network firewall policy that an RoCE\n VPC network uses depend on target and source secure tags.\n Therefore, ensure that you are familiar with\n [create and manage secure tags](/firewall/docs/use-tags-for-firewalls) and\n [bind secure tags to VM instances](/firewall/docs/use-tags-for-firewalls#bind_secure_tags_to_vm_instances).\n\n- To create RoCE VPC networks and regional network\n firewall policies for RoCE VPC networks, see\n [Create and manage firewall rules for RoCE VPC networks](/firewall/docs/create-manage-roce-vpcs).\n\n- To control ingress traffic and segment your workloads when you create\n ingress rules in a regional network firewall policy, use the following steps:\n\n - Create an ingress deny firewall rule that specifies\n `src-ip-ranges=0.0.0.0/0` and applies to all VMs in the RoCE\n VPC network.\n\n - Create higher-priority ingress allow firewall rules that specify target\n secure tags and source secure tags.\n\n- To determine which firewall rules apply to a VM network interface or to view\n firewall rule logs, see\n [Get effective firewall rules for a VM interface](/firewall/docs/use-network-firewall-policies#get_effective_firewall_rules_for_a_vm_interface)\n and [Use Firewall Rules Logging](/firewall/docs/using-firewall-rules-logging).\n\nWhat's next\n\n- [RDMA RoCE network profile](/vpc/docs/rdma-network-profiles)\n- [Create and manage firewall rules for RoCE VPC networks](/firewall/docs/create-manage-roce-vpcs)"]]
