En esta página, se explica cuándo debes configurar reglas de firewall para habilitar el bloqueo de archivos NFS.
Condiciones que requieren la configuración de reglas de entrada de firewall
Debes crear una regla de entrada de firewall para habilitar el tráfico de las instancias de Filestore a tus clientes en los siguientes casos:
- Está utilizando el bloqueo de archivos NFS en las aplicaciones que acceden a la instancia de Filestore.
La red de VPC que estás usando tiene reglas de firewall que bloquean el puerto TCP 111 o los puertos usados por los daemons
statd
onlockmgr
. Para determinar qué puertos usan los daemonsstatd
ynlockmgr
en el cliente, verifica la configuración de puerto actual.Si los puertos
statd
ynlockmgr
no están configurados, y crees que puedes necesitar configurar las reglas del firewall en cualquier momento, te recomendamos configurar esos puertos de manera coherente en todas las instancias de VM del cliente. Para obtener más información, consulta Configura puertos NFS.
Condiciones que requieren la configuración de reglas de entrada de firewall
Debes crear una regla de salida de firewall para habilitar el tráfico de tus clientes a tus instancias de Filestore en los siguientes casos:
- La red de VPC que estás usando tiene una regla de salida de firewall para los rangos de direcciones IP que usan tus instancias de Filestore.
- La regla de salida del firewall bloquea el tráfico a los puertos TCP 111, 2046, 2049, 2050 o 4045.
Puede obtener el rango de direcciones IP reservado de cualquier instancia de Filestore desde la página de instancias de Filestore o ejecutando gcloud filestore instances describe
. Para obtener más información, consulta Obtén información sobre una instancia específica.
Para obtener más información sobre las reglas de firewall de la red de VPC, consulta Usa reglas de firewall.
Crea una regla de firewall de entrada
Usa el siguiente procedimiento para crear una regla de firewall para habilitar el tráfico de las instancias de Filestore.
Antes de comenzar, verifica lo siguiente:
Windows
Confirma que el cliente pueda comunicarse con la instancia de Filestore y que el firewall local no bloquee los puertos necesarios. Para abrir todos los puertos NFS necesarios, ejecuta el siguiente comando en PowerShell:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_) }
Verifica la configuración de puerto actual para determinar qué puertos utilizan los daemons
statd
ynlockmgr
en el cliente. Toma nota de ellos para usarlos más adelante.
Linux
No hay requisitos previos para completar esta tarea.
macOS
No hay requisitos previos para completar esta tarea.
Ve a la página Firewall en la consola de Google Cloud.
Ir a la página de FirewallHaz clic en Crear regla de firewall.
Ingresa un Nombre para la regla de firewall. Este nombre debe ser único para el proyecto.
Especifica la Red en la que quieres implementar la regla de firewall.
Especifica la Prioridad de la regla.
Si esta regla no entra en conflicto con ninguna otra, puedes dejar
1000
como predeterminado. Si una regla de entrada existente tiene establecida la Acción en caso de coincidencia: Denegar para el mismo rango de direcciones IP, los mismos protocolos y puertos, establece una prioridad más baja que la regla de entrada existente.Elige Ingreso para Dirección de tráfico.
Elige Permitir para Acción en caso de coincidencia.
Para Objetivos, realiza alguna de estas acciones:
- Si quieres permitir el tráfico a todos los clientes en la red desde las instancias de Filestore, elige Todas las instancias en la red.
- Si desea permitir el tráfico a clientes específicos desde instancias de Filestore, elija Etiquetas de destino especificadas. Escribe los nombres de las instancias de los clientes en Etiquetas de destino.
Deja el valor predeterminado de los rangos de IP para Filtro de fuente.
En Rangos de IP de origen, ingresa los rangos de direcciones IP de las instancias de Filestore desde las que quieres permitir el acceso en notación CIDR. Puedes ingresar los rangos de direcciones IP internas que usas con tus instancias de Filestore para habilitar todo el tráfico de Filestore. También puedes ingresar las direcciones IP de instancias de Filestore específicas.
Deja el valor predeterminado de Ninguno para Segundo filtro de fuente.
En Protocolos y puertos, elige Protocolos y puertos especificados y, luego, haz lo siguiente:
- Selecciona la casilla de verificación tcp e ingresa
111,STATDOPTS,nlm_tcpport
en el campo asociado, en el que:- STATDOPTS es el puerto que usa el daemon
statd
en el cliente. - nlm_tcpport es el puerto
tcp
que usa el daemonnlockmgr
en el cliente.
- STATDOPTS es el puerto que usa el daemon
- Selecciona la casilla de verificación udp y, luego, ingresa el valor de
nlm_udpport
, que es el puertoudp
que usanlockmgr
. Ten en cuenta que estas especificaciones solo se aplican a los siguientes niveles de servicio:- Zonal
- Regional
- Enterprise
- Selecciona la casilla de verificación tcp e ingresa
Elige Crear.
Crea una regla de firewall de salida
Use el siguiente procedimiento para crear una regla de firewall para habilitar el tráfico a las instancias de Filestore.
Antes de comenzar, verifica lo siguiente:
Windows
Confirma que el cliente pueda comunicarse con la instancia de Filestore y que el firewall local no bloquee los puertos necesarios. Para abrir todos los puertos NFS necesarios, ejecuta el siguiente comando en PowerShell:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_) }
Linux
No hay requisitos previos para completar esta tarea.
macOS
No hay requisitos previos para completar esta tarea.
Ve a la página Firewall en la consola de Google Cloud.
Ir a la página de FirewallHaz clic en Crear regla de firewall.
Ingresa un Nombre para la regla de firewall. Este nombre debe ser único para el proyecto.
Especifica la Red en la que quieres implementar la regla de firewall.
Especifica la Prioridad de la regla.
Si esta regla no entra en conflicto con ninguna otra, puedes dejar
1000
como predeterminado. Si una regla de salida existente tiene establecida la acción en caso de coincidencia: Denegar para el mismo rango de direcciones IP, protocolos y puertos, establece una prioridad más baja que la regla de entrada existente.Elige Salida para Dirección de tráfico.
Elige Permitir para Acción en caso de coincidencia.
Para Objetivos, realiza alguna de estas acciones:
- Si quieres permitir el tráfico de todos los clientes en la red a las instancias de Filestore, elige Todas las instancias en la red.
- Si desea permitir el tráfico de clientes específicos a instancias de Filestore, elija Etiquetas de destino especificadas. Escribe los nombres de las instancias de los clientes en Etiquetas de destino.
Para Rangos de IP de destino, ingresa los rangos de direcciones IP de las instancias de Filestore a las que quieres permitir el acceso en notación CIDR. Puedes ingresar los rangos de direcciones IP internas que usas con tus instancias de Filestore para habilitar el tráfico a todas las instancias de Filestore. También puedes ingresar las direcciones IP de instancias específicas de Filestore.
En Protocolos y puertos, elige Protocolos y puertos especificados. Luego, selecciona la casilla de verificación tcp e ingresa
111,2046,2049,2050,4045
en el campo asociado.Elige Crear.
Verifica los puertos NFS
Te recomendamos que verifiques si los puertos NFS se abrieron correctamente. Para obtener más información, consulta Configura puertos NFS en VMs de clientes.
¿Qué sigue?
- Obtén más información sobre los requisitos de recursos de red y de IP para usar Filestore.
- Configura puertos NFS en VMs de clientes.