En esta página, se explica cuándo debes configurar reglas de firewall para habilitar el archivo NFS el bloqueo.
Condiciones que requieren la configuración de reglas de entrada de firewall
Debes crear una regla de entrada de firewall para habilitar el tráfico de las instancias de Filestore a tus clientes en los siguientes casos:
- Está utilizando el bloqueo de archivos NFS en las aplicaciones que acceden a la instancia de Filestore.
La red de VPC que estás usando tiene reglas de firewall que bloquean el puerto TCP 111 o los puertos usados por los daemons
statd
onlockmgr
. Para determinar qué puertos usan los daemonsstatd
ynlockmgr
en el cliente, verifica la configuración de puerto actual.Si los puertos
statd
ynlockmgr
no están configurados, y crees que puedes necesitar configurar las reglas del firewall en cualquier momento, te recomendamos configurar esos puertos de manera coherente en todas las instancias de VM del cliente. Para obtener más información, consulta Configura puertos NFS.
Condiciones que requieren la configuración de reglas de entrada de firewall
Debes crear una regla de salida de firewall para permitir que el tráfico de tus clientes tus instancias de Filestore si:
- La red de VPC que estás usando tiene una regla de salida de firewall para los rangos de direcciones IP que usan tus instancias de Filestore.
- La regla de salida del firewall bloquea el tráfico a los puertos TCP 111, 2046, 2049, 2050 o 4045.
Puede obtener el rango de direcciones IP reservado de cualquier instancia de Filestore desde la página de instancias de Filestore o ejecutando gcloud filestore instances describe
. Para obtener más información, consulta Obtén información sobre una instancia específica.
Para obtener más información sobre las reglas de firewall de la red de VPC, consulta Usa reglas de firewall.
Crea una regla de firewall de entrada
Usa el siguiente procedimiento para crear una regla de firewall desde la cual habilitar el tráfico Instancias de Filestore.
Antes de comenzar, verifica lo siguiente:
Windows
Confirma que el cliente tenga permiso para comunicarse con Filestore y que el firewall local no bloquee los puertos necesarios. Para abrir todos los puertos NFS necesarios, ejecuta el siguiente comando en PowerShell:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_) }
Verifica la configuración actual de los puertos para determinar qué puertos usan los daemons
statd
ynlockmgr
en el cliente. Toma nota de ellos para usarlos más adelante.
Linux
No hay requisitos previos para completar esta tarea.
macOS
No hay requisitos previos para completar esta tarea.
Ve a la página Firewall en la consola de Google Cloud.
Ir a la página de FirewallHaz clic en Crear regla de firewall.
Ingresa un Nombre para la regla de firewall. Este nombre debe ser único para el proyecto.
Especifica la Red en la que quieres implementar la regla de firewall.
Especifica la Prioridad de la regla.
Si esta regla no entra en conflicto con ninguna otra, puedes dejar
1000
como predeterminado. Si una regla de entrada existente tiene establecida la Acción en caso de coincidencia: Denegar para el mismo rango de direcciones IP, los mismos protocolos y puertos, establece una prioridad más baja que la regla de entrada existente.Elige Ingreso para Dirección de tráfico.
Elige Permitir para Acción en caso de coincidencia.
Para Objetivos, realiza alguna de estas acciones:
- Si quieres permitir el tráfico a todos los clientes de la red desde Instancias de Filestore, elige Todas las instancias de la red.
- Si desea permitir el tráfico a clientes específicos desde instancias de Filestore, elija Etiquetas de destino especificadas. Escribe los nombres de las instancias de los clientes en Etiquetas de destino.
Deja el valor predeterminado de los rangos de IP para Filtro de fuente.
En Rangos de IP de origen, ingresa los rangos de direcciones IP de las instancias de Filestore desde las que quieres permitir el acceso en notación CIDR. Puedes ingresar los rangos de direcciones IP internas que usas con tus instancias de Filestore para habilitar todo el tráfico de Filestore. También puedes ingresar las direcciones IP de instancias de Filestore específicas.
Deja el valor predeterminado de Ninguno para Segundo filtro de fuente.
En Protocolos y puertos, elige Protocolos y puertos especificados y, luego, haz lo siguiente:
- Selecciona la casilla de verificación tcp e ingresa
111,STATDOPTS,nlm_tcpport
en el campo asociado, en el que:- STATDOPTS es el puerto que usa el daemon
statd
en el cliente. - nlm_tcpport es el puerto
tcp
que usa el daemonnlockmgr
. en el cliente.
- STATDOPTS es el puerto que usa el daemon
- Selecciona la casilla de verificación udp y, luego, ingresa el valor de
nlm_udpport
, que es el puertoudp
que usanlockmgr
. Ten en cuenta que estas especificaciones solo se aplican a los siguientes niveles de servicio:- Zonal
- Regional
- Enterprise
- Selecciona la casilla de verificación tcp e ingresa
Elige Crear.
Crea una regla de firewall de salida
Use el siguiente procedimiento para crear una regla de firewall para habilitar el tráfico a las instancias de Filestore.
Antes de comenzar, verifica lo siguiente:
Windows
Confirma que el cliente tenga permiso para comunicarse con Filestore y que el firewall local no bloquee los puertos necesarios. Para abrir todos los puertos NFS requeridos, ejecuta el siguiente comando en PowerShell:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_) }
Linux
No hay requisitos previos para completar esta tarea.
macOS
No hay requisitos previos para completar esta tarea.
Ve a la página Firewall en la consola de Google Cloud.
Ir a la página de FirewallHaz clic en Crear regla de firewall.
Ingresa un Nombre para la regla de firewall. Este nombre debe ser único para el proyecto.
Especifica la Red en la que quieres implementar la regla de firewall.
Especifica la Prioridad de la regla.
Si esta regla no entra en conflicto con ninguna otra, puedes dejar
1000
como predeterminado. Si una regla de salida existente tiene configurada la Acción en caso de coincidencia: Denegar para el mismo rango de direcciones IP, protocolos y puertos y, luego, establecer que la regla de entrada existente.Elige Salida para Dirección de tráfico.
Elige Permitir para Acción en caso de coincidencia.
Para Objetivos, realiza alguna de estas acciones:
- Si quieres permitir que el tráfico de todos los clientes de la red Instancias de Filestore, elige Todas las instancias de la red.
- Si desea permitir el tráfico de clientes específicos a instancias de Filestore, elija Etiquetas de destino especificadas. Escribe los nombres de las instancias de los clientes en Etiquetas de destino.
En Rangos de IP de destino, ingresa los rangos de direcciones IP de Filestore a las que quieres permitir el acceso en notación CIDR. Puedes ingresar Rangos de direcciones IP internas que usas con tus instancias de Filestore para habilitar tráfico a todas las instancias de Filestore. También puedes ingresar la dirección IP direcciones IP de instancias específicas de Filestore.
En Protocolos y puertos, elige Protocolos y puertos especificados. Luego, selecciona la casilla de verificación tcp e ingresa
111,2046,2049,2050,4045
en el campo asociado.Elige Crear.
Verifica los puertos NFS
Te recomendamos que verifiques si los puertos NFS se abrieron correctamente. Para Para obtener más información, consulta Configura puertos NFS en las VMs del cliente.
¿Qué sigue?
- Obtén más información sobre los requisitos de recursos de red y de IP para usar Filestore
- Configura puertos NFS en VMs de clientes.