Configurar reglas de cortafuegos

En esta página se explica cuándo debe configurar reglas de cortafuegos para habilitar el bloqueo de archivos NFS.

Condiciones que requieren la configuración de una regla de entrada de cortafuegos

Debes crear una regla de cortafuegos de entrada para habilitar el tráfico de las instancias de Filestore a tus clientes si se da alguna de las siguientes circunstancias:

  • Estás usando el bloqueo de archivos NFS en las aplicaciones que acceden a la instancia de Filestore.

  • La red de VPC que estás usando tiene reglas de cortafuegos que bloquean el puerto TCP 111 o los puertos que usan los daemons statd o nlockmgr. Para determinar qué puertos usan los daemons statd y nlockmgr en el cliente, consulta la configuración de puertos actual.

    Si los puertos statd y nlockmgr no están definidos y crees que podrías necesitar configurar reglas de cortafuegos en algún momento, te recomendamos que definas esos puertos de forma coherente en todas las instancias de VM cliente. Para obtener más información, consulta Configurar puertos de NFS.

Condiciones que requieren la configuración de reglas de salida del cortafuegos

Debes crear una regla de salida de cortafuegos para habilitar el tráfico de tus clientes a tus instancias de Filestore si se da alguna de las siguientes circunstancias:

  • La red de VPC que estás usando tiene una regla de salida de cortafuegos para los intervalos de direcciones IP que usan tus instancias de Filestore.
  • La regla de salida del cortafuegos bloquea el tráfico a los puertos TCP 111, 2046, 2049, 2050 o 4045.

Puedes obtener el intervalo de direcciones IP reservadas de cualquier instancia de Filestore en la página de instancias de Filestore o ejecutando gcloud filestore instances describe. Para obtener más información, consulta Obtener información sobre una instancia específica.

Para obtener más información sobre las reglas de cortafuegos de redes de VPC, consulta el artículo Usar reglas de cortafuegos.

Crear una regla de cortafuegos de entrada

Sigue este procedimiento para crear una regla de cortafuegos que habilite el tráfico de las instancias de Filestore.

  1. Antes de empezar, comprueba lo siguiente:

    Windows

    1. Comprueba que el cliente tenga permiso para comunicarse con la instancia de Filestore y que el cortafuegos local no esté bloqueando los puertos necesarios. Para abrir todos los puertos NFS necesarios, ejecuta el siguiente comando en PowerShell:

         '111','2046','2049','2050','4045' | % {
      C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
   }

    2. Consulta la configuración actual de los puertos para determinar qué puertos usan los daemons statd y nlockmgr en el cliente. Apunta estos datos para usarlos más adelante.

    Linux

    No hay requisitos previos para completar esta tarea.

    macOS

    No hay requisitos previos para completar esta tarea.

  2. Ve a la página Cortafuegos de la consola de Google Cloud .
    Ir a la página Cortafuegos

  3. Haz clic en Crear regla de cortafuegos.

  4. Introduce un nombre para la regla de cortafuegos. Este nombre debe ser único en el proyecto.

  5. Indica la red en la que quieras implementar la regla de cortafuegos.

  6. Especifica la prioridad de la regla.

    Si esta regla no entra en conflicto con ninguna otra, puedes dejar el valor predeterminado 1000. Si una regla de entrada ya tiene el valor Acción si hay coincidencia: Denegar para el mismo intervalo de direcciones IP, protocolos y puertos, asígnale una prioridad inferior a la de la regla de entrada.

  7. Elige Entrada en Dirección del tráfico.

  8. En Acción tras coincidencia, elige Permitir.

  9. En Objetivos, elija una de las siguientes opciones:

    • Si quiere permitir el tráfico a todos los clientes de la red desde instancias de Filestore, elija Todas las instancias de la red.
    • Si quieres permitir el tráfico a clientes específicos desde instancias de Filestore, elige Etiquetas de destino especificadas. Escribe los nombres de instancia de los clientes en Etiquetas de destino.

  10. Deja el valor predeterminado Intervalos de IP en Filtro de origen.

  11. En Intervalos de IPs de origen, introduce los intervalos de direcciones IP de las instancias de Filestore a las que quieras permitir el acceso en notación CIDR. Puede introducir los intervalos de direcciones IP internas que esté usando con sus instancias de Filestore para habilitar todo el tráfico de Filestore. También puedes introducir las direcciones IP de instancias de Filestore específicas.

  12. Deja el valor predeterminado Ninguno en Segundo filtro de origen.

  13. En Protocolos y puertos, elige Protocolos y puertos especificados y, a continuación, haz lo siguiente:

    • Marca la casilla tcp e introduce 111,STATDOPTS,nlm_tcpport en el campo asociado, donde:
      • STATDOPTS es el puerto que usa el daemon statd en el cliente.
      • nlm_tcpport es el puerto tcp que usa el daemon nlockmgr en el cliente.
    • Marca la casilla udp e introduce el valor nlm_udpport, que es el puerto udp que usa nlockmgr. Ten en cuenta que estas especificaciones solo se aplican a los siguientes niveles de servicio:
      • Por zonas
      • Regional
      • Empresa

  14. Elige Crear.

Crear una regla de salida de cortafuegos

Sigue este procedimiento para crear una regla de cortafuegos que permita el tráfico a las instancias de Filestore.

  1. Antes de empezar, comprueba lo siguiente:

    Windows

    Comprueba que el cliente tenga permiso para comunicarse con la instancia de Filestore y que el cortafuegos local no esté bloqueando los puertos necesarios. Para abrir todos los puertos NFS necesarios, ejecuta el siguiente comando en PowerShell:

       '111','2046','2049','2050','4045' | % {
       C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
      }

    Linux

    No hay requisitos previos para completar esta tarea.

    macOS

    No hay requisitos previos para completar esta tarea.

  2. Ve a la página Cortafuegos de la consola de Google Cloud .
    Ir a la página Cortafuegos

  3. Haz clic en Crear regla de cortafuegos.

  4. Introduce un nombre para la regla de cortafuegos. Este nombre debe ser único en el proyecto.

  5. Indica la red en la que quieras implementar la regla de cortafuegos.

  6. Especifica la prioridad de la regla.

    Si esta regla no entra en conflicto con ninguna otra, puedes dejar el valor predeterminado 1000. Si una regla de salida ya tiene el valor Acción si hay coincidencia: Denegar para el mismo intervalo de direcciones IP, protocolos y puertos, asígnale una prioridad inferior a la de la regla de entrada.

  7. Elige Salida en Dirección del tráfico.

  8. En Acción tras coincidencia, elige Permitir.

  9. En Objetivos, elija una de las siguientes opciones:

    • Si quiere permitir el tráfico de todos los clientes de la red a las instancias de Filestore, elija Todas las instancias de la red.
    • Si quiere permitir el tráfico de clientes específicos a instancias de Filestore, elija Etiquetas de destino especificadas. Escribe los nombres de instancia de los clientes en Etiquetas de destino.

  10. En Intervalos de IP de destino, introduce los intervalos de direcciones IP de las instancias de Filestore a las que quieras permitir el acceso en notación CIDR. Puedes introducir los intervalos de direcciones IP internas que utilices con tus instancias de Filestore para habilitar el tráfico a todas las instancias de Filestore. También puedes introducir las direcciones IP de instancias de Filestore específicas.

  11. En Protocolos y puertos, elige Protocolos y puertos especificados. A continuación, marca la casilla tcp e introduce 111,2046,2049,2050,4045 en el campo asociado.

  12. Elige Crear.

Verificar puertos de NFS

Le recomendamos que verifique si sus puertos NFS se han abierto correctamente. Para obtener más información, consulta Configurar puertos NFS en VMs cliente.

Siguientes pasos