In questa pagina viene spiegato quando è necessario configurare le regole del firewall per abilitare il blocco dei file NFS.
Condizioni che richiedono la configurazione di una regola firewall in entrata
Devi creare una regola firewall in entrata per abilitare il traffico dalle istanze Filestore ai client se:
- Stai utilizzando il blocco dei file NFS nelle applicazioni che accedono all'istanza Filestore.
La rete VPC che stai utilizzando ha regole firewall che bloccano la porta TCP 111 o le porte utilizzate dai daemon
statd
onlockmgr
. Per determinare quali porte vengono utilizzate sul client dai daemonstatd
enlockmgr
, controlla le impostazioni delle porte attuali.Se le porte
statd
enlockmgr
non sono impostate e pensi che potresti dover configurare le regole del firewall in qualsiasi momento, ti consigliamo vivamente di impostare queste porte in modo coerente su tutte le istanze VM del client. Per ulteriori informazioni, consulta la sezione Impostazione delle porte NFS.
Condizioni che richiedono la configurazione di regole di traffico in uscita dal firewall
Devi creare una regola di traffico in uscita del firewall per abilitare il traffico dai client alle istanze Filestore se:
- La rete VPC che stai utilizzando ha una regola firewall in uscita per gli intervalli di indirizzi IP utilizzati dalle istanze Filestore.
- La regola di traffico in uscita del firewall blocca il traffico verso le porte TCP 111, 2046, 2049, 2050 o 4045.
Puoi ottenere l'intervallo di indirizzi IP riservati per qualsiasi istanza Filestore dalla pagina delle istanze Filestore o eseguendo gcloud filestore instances describe
. Per ulteriori informazioni, consulta Ottenere informazioni su un'istanza specifica.
Per ulteriori informazioni sulle regole firewall di rete VPC, consulta Utilizzo delle regole firewall.
Crea una regola firewall in entrata
Utilizza la seguente procedura per creare una regola firewall al fine di abilitare il traffico proveniente dalle istanze Filestore.
Prima di iniziare, verifica quanto segue:
Windows
Verifica che il client sia autorizzato a comunicare con l'istanza Filestore e che il firewall locale non stia bloccando le porte richieste. Per aprire tutte le porte NFS richieste, esegui questo comando in PowerShell:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_) }
Controlla le impostazioni delle porte attuali per determinare quali porte vengono utilizzate sul client dai daemon
statd
enlockmgr
. Annotale per utilizzarle in seguito.
Linux
Nessun prerequisito per il completamento di questa attività.
MacOS
Nessun prerequisito per il completamento di questa attività.
Vai alla pagina Firewall nella console Google Cloud.
Vai alla pagina FirewallFai clic su Crea regola firewall.
Inserisci un Nome per la regola firewall. Questo nome deve essere univoco per il progetto.
Specifica la rete in cui implementare la regola firewall.
Specifica la Priorità della regola.
Se questa regola non è in conflitto con altre, puoi lasciare il valore predefinito
1000
. Se per una regola in entrata esistente è impostata l'opzione Azione in caso di corrispondenza: Nega per lo stesso intervallo di indirizzi IP, gli stessi protocolli e le stesse porte, imposta una priorità più bassa rispetto alla regola in entrata esistente.Scegli In entrata per Direzione del traffico.
Scegli Consenti per Azione in caso di corrispondenza.
Per Target, esegui una delle seguenti azioni:
- Se vuoi consentire il traffico verso tutti i client nella rete da istanze Filestore, scegli Tutte le istanze nella rete.
- Se vuoi consentire il traffico verso client specifici da istanze Filestore, scegli Tag di destinazione specificati. Digita i nomi delle istanze dei client in Tag di destinazione.
Lascia il valore predefinito Intervalli IP per Filtro di origine.
In Intervalli IP di origine, inserisci gli intervalli di indirizzi IP delle istanze Filestore da cui vuoi consentire l'accesso in notazione CIDR. Puoi inserire gli intervalli di indirizzi IP interni che utilizzi con le tue istanze Filestore per abilitare tutto il traffico di Filestore. Puoi anche inserire gli indirizzi IP di istanze Filestore specifiche.
Lascia il valore predefinito None in Secondo filtro di origine.
Per Protocolli e porte, scegli Protocolli e porte specificati e quindi:
- Seleziona la casella di controllo tcp e inserisci
111,STATDOPTS,nlm_tcpport
nel campo associato, dove:- STATDOPTS è la porta utilizzata dal daemon
statd
sul client. - nlm_tcpport è la porta
tcp
utilizzata dal daemonnlockmgr
sul client.
- STATDOPTS è la porta utilizzata dal daemon
- Seleziona la casella di controllo udp e inserisci il valore di
nlm_udpport
, ovvero la portaudp
utilizzata danlockmgr
. Tieni presente che queste specifiche si applicano solo ai seguenti livelli di servizio :- Zonale
- Regionale
- Grandi aziende
- Seleziona la casella di controllo tcp e inserisci
Scegli Crea.
Crea una regola di traffico in uscita del firewall
Usa la seguente procedura per creare una regola firewall al fine di abilitare il traffico verso le istanze Filestore.
Prima di iniziare, verifica quanto segue:
Windows
Verifica che il client sia autorizzato a comunicare con l'istanza Filestore e che il firewall locale non stia bloccando le porte richieste. Per aprire tutte le porte NFS richieste, esegui questo comando in PowerShell:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_) }
Linux
Nessun prerequisito per il completamento di questa attività.
MacOS
Nessun prerequisito per il completamento di questa attività.
Vai alla pagina Firewall nella console Google Cloud.
Vai alla pagina FirewallFai clic su Crea regola firewall.
Inserisci un Nome per la regola firewall. Questo nome deve essere univoco per il progetto.
Specifica la rete in cui implementare la regola firewall.
Specifica la Priorità della regola.
Se questa regola non è in conflitto con altre, puoi lasciare il valore predefinito
1000
. Se per una regola in uscita esistente è impostata l'opzione Azione in caso di corrispondenza: Nega per lo stesso intervallo di indirizzi IP, gli stessi protocolli e le stesse porte, imposta una priorità più bassa rispetto alla regola in entrata esistente.Scegli In uscita per Direzione del traffico.
Scegli Consenti per Azione in caso di corrispondenza.
Per Target, esegui una delle seguenti azioni:
- Se vuoi consentire il traffico da tutti i client nella rete alle istanze Filestore, scegli Tutte le istanze nella rete.
- Se vuoi consentire il traffico da client specifici alle istanze Filestore, scegli Tag di destinazione specificati. Digita i nomi delle istanze dei client in Tag di destinazione.
In Intervalli IP di destinazione, inserisci gli intervalli di indirizzi IP delle istanze Filestore a cui vuoi consentire l'accesso in notazione CIDR. Puoi inserire gli intervalli di indirizzi IP interni che utilizzi con le tue istanze Filestore per abilitare il traffico verso tutte le istanze Filestore. Puoi anche inserire gli indirizzi IP di istanze Filestore specifiche.
Per Protocolli e porte, scegli Protocolli e porte specificati. Seleziona quindi la casella di controllo tcp e inserisci
111,2046,2049,2050,4045
nel campo associato.Scegli Crea.
Verifica le porte NFS
Ti consigliamo di verificare che le porte NFS siano state aperte correttamente. Per ulteriori informazioni, consulta Configurare le porte NFS sulle VM client.
Passaggi successivi
- Scopri di più sui requisiti delle risorse di rete e IP per l'utilizzo di Filestore.
- Configura le porte NFS sulle VM client.