Nesta página, explicamos quando você precisa configurar regras de firewall para ativar o bloqueio de arquivos do NFS.
Condições que exigem configuração de regra de entrada de firewall
Você precisa criar uma regra de entrada de firewall para ativar o tráfego das instâncias do Filestore para os clientes se:
- Você está usando o bloqueio de arquivos NFS nos aplicativos que acessam a instância do Filestore.
A rede VPC que você está usando tem regras de firewall que bloqueiam a porta TCP 111 ou as portas usadas pelos daemons
statd
ounlockmgr
. Para determinar quais portas os daemonsstatd
enlockmgr
usam no cliente, verifique as configurações atuais da porta.Se as portas
statd
enlockmgr
não estiverem definidas e você achar que pode precisar configurar regras de firewall a qualquer momento, recomendamos definir as portas consistentemente em todas as instâncias de VM do cliente. Para mais informações, consulte Como definir portas de NFS.
Condições que exigem configuração de regra de saída de firewall
É necessário criar uma regra de saída de firewall para permitir o tráfego dos clientes para as instâncias do Filestore se:
- a rede VPC que você usa tem uma regra de saída de firewall para os intervalos de endereços IP usados pelas instâncias do Filestore;
- a regra de saída de firewall bloqueia o tráfego para as portas TCP 111, 2046, 2049, 2050 ou 4045.
Você pode obter o intervalo de endereços IP reservados para qualquer instância do Filestore da página de instâncias do Filestore ou executando gcloud filestore instances describe
. Para mais informações, consulte como Receber informações sobre uma instância específica.
Para mais informações sobre regras de firewall da rede VPC, consulte Como usar regras de firewall.
Criar uma regra de entrada de firewall
Use o procedimento a seguir para criar uma regra de firewall e ativar o tráfego de instâncias do Filestore.
Antes de começar, faça as seguintes verificações:
Windows
Confirme se o cliente tem permissão para se comunicar com a instância do Filestore e se o firewall local não está bloqueando as portas necessárias. Para abrir todas as portas NFS necessárias, execute o seguinte comando no PowerShell:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_) }
Verifique as configurações de porta atuais para determinar quais portas os daemons
statd
enlockmgr
usam no cliente. Anote-as para usar mais tarde.
Linux
Não há pré-requisitos para concluir esta tarefa.
MacOS
Não há pré-requisitos para concluir esta tarefa.
Acesse a página Firewall no Console do Google Cloud.
Acesse a página "Firewall"Clique em Criar regra de firewall.
Digite um Nome para a regra do firewall. Este nome precisa ser exclusivo para o projeto.
Especifique a Rede onde você quer implementar a regra de firewall.
Especifique a Prioridade da regra.
Caso essa regra não entre em conflito com outras, mantenha o padrão de
1000
. Se uma regra de entrada atual tiver Ação na correspondência: Negar definida para o mesmo intervalo de endereços IP, protocolos e portas, defina uma prioridade mais baixa do que a regra de entrada atual.Escolha Entrada para Direção do tráfego.
Escolha a opção Permitir para Ação se houver correspondência.
Para Destinos, escolha uma destas opções:
- Se você quiser permitir o tráfego para todos os clientes na rede a partir de instâncias do Filestore, escolha Todas as instâncias na rede.
- Se você quiser permitir o tráfego para clientes específicos das instâncias do Filestore, escolha Tags de destino especificado. Digite os nomes das instâncias dos clientes nas Tags de destino.
Mantenha o valor padrão de Intervalos de IP para Filtro de origem.
Em Intervalos de IPs de origem, insira os intervalos de endereços IP das instâncias do Filestore que você quer permitir o acesso na notação CIDR. Insira os intervalos de endereços IP internos que você usa com suas instâncias do Filestore para ativar todo o tráfego do Filestore. Também é possível inserir os endereços IP das instâncias específicas do Filestore.
Deixe o valor padrão Nenhum em Segundo filtro de origem.
Em Protocolos e portas, escolha Protocolos e portas especificados e, em seguida:
- Marque a caixa de seleção tcp e insira
111,STATDOPTS,nlm_tcpport
no campo associado, em que:- STATDOPTS é a porta usada pelo daemon
statd
no cliente. - nlm_tcpport é a porta
tcp
usada pelo daemonnlockmgr
no cliente.
- STATDOPTS é a porta usada pelo daemon
- Marque a caixa de seleção udp e insira o valor de
nlm_udpport
, que é a portaudp
usada pornlockmgr
. Essas especificações se aplicam apenas aos seguintes níveis de serviço:- Zonal
- Regional
- Enterprise
- Marque a caixa de seleção tcp e insira
Escolha Criar.
Criar uma regra de saída de firewall
Use o procedimento a seguir para criar uma regra de firewall para ativar o tráfego para instâncias do Filestore.
Antes de começar, faça as seguintes verificações:
Windows
Confirme se o cliente tem permissão para se comunicar com a instância do Filestore e se o firewall local não está bloqueando as portas necessárias. Para abrir todas as portas NFS necessárias, execute o seguinte comando no PowerShell:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_) }
Linux
Não há pré-requisitos para concluir esta tarefa.
MacOS
Não há pré-requisitos para concluir esta tarefa.
Acesse a página Firewall no Console do Google Cloud.
Acesse a página "Firewall"Clique em Criar regra de firewall.
Digite um Nome para a regra do firewall. Este nome precisa ser exclusivo para o projeto.
Especifique a Rede onde você quer implementar a regra de firewall.
Especifique a Prioridade da regra.
Caso essa regra não entre em conflito com outras, mantenha o padrão de
1000
. Se uma regra de saída atual tiver Ação na correspondência: Negar definida para o mesmo intervalo de endereços IP, protocolos e portas, defina uma prioridade mais baixa do que a regra de entrada atual.Escolha Saída para Direção do tráfego.
Escolha a opção Permitir para Ação se houver correspondência.
Para Destinos, escolha uma destas opções:
- Se você quiser permitir o tráfego de todos os clientes na rede para instâncias do Filestore, escolha Todas as instâncias na rede.
- Se você quiser permitir o tráfego de clientes específicos para instâncias do Filestore, escolha Tags de destino especificadas. Digite os nomes das instâncias dos clientes nas Tags de destino.
Em Intervalos de IPs de destino, insira os intervalos de endereços IP das instâncias do Filestore que você quer permitir o acesso na notação CIDR. Insira os intervalos de endereços IP internos que você usa com suas instâncias do Filestore para ativar o tráfego para todas as instâncias do Filestore. Também é possível inserir os endereços IP das instâncias específicas do Filestore.
Em Protocolos e portas, escolha Protocolos e portas especificados. Em seguida, marque a caixa de seleção tcp e digite
111,2046,2049,2050,4045
no campo associado.Escolha Criar.
Verificar as portas do NFS
Recomendamos verificar se as portas NFS foram abertas corretamente. Para mais informações, consulte Configurar portas NFS em VMs cliente.
A seguir
- Saiba mais sobre os requisitos de recursos de rede e IP para usar o Filestore.
- Configure as portas NFS em VMs cliente.