Cette page explique quand configurer les règles de pare-feu pour activer le verrouillage de fichier NFS.
Conditions nécessitant une configuration de la règle d'entrée de pare-feu
Vous devez créer une règle d'entrée de pare-feu pour activer le trafic des instances Filestore vers vos clients dans les cas suivants:
- Vous utilisez le verrouillage de fichier NFS dans les applications qui accèdent à l'instance Cloud Filestore.
Le réseau VPC que vous utilisez comporte des règles de pare-feu qui bloquent le port TCP 111 ou les ports utilisés par les daemons
statd
ounlockmgr
. Pour déterminer les ports que les daemonsstatd
etnlockmgr
utilisent sur le client, vérifiez les paramètres de port actuels.Si les ports
statd
etnlockmgr
ne sont pas définis et que vous pensez devoir configurer des règles de pare-feu à un moment donné, nous vous recommandons vivement de définir ces ports de manière cohérente sur toutes les instances de VM clientes. Pour en savoir plus, consultez la section Définir les ports NFS.
Conditions nécessitant une configuration de la règle de sortie de pare-feu
Vous devez créer une règle de sortie de pare-feu pour activer le trafic de vos clients vers vos instances Filestore si:
- Le réseau VPC que vous utilisez possède une règle de sortie de pare-feu pour les plages d'adresses IP utilisées par vos instances Filestore.
- La règle de sortie du pare-feu bloque le trafic vers les ports TCP 111, 2046, 2049, 2050 ou 4045.
Vous pouvez obtenir la plage d'adresses IP réservée pour toute instance Filestore à partir de la page des instances Filestore ou en exécutant gcloud filestore instances describe
. Pour en savoir plus, consultez la section Obtenir des informations sur une instance spécifique.
Pour plus d'informations sur les règles de pare-feu de réseau VPC, consultez la section Utiliser les règles de pare-feu.
Créer une règle d'entrée de pare-feu
Procédez comme suit pour créer une règle de pare-feu afin d'activer le trafic provenant Instances Filestore.
Avant de commencer, vérifiez les éléments suivants :
Windows
Vérifiez que le client est autorisé à communiquer avec l'instance Filestore et que le pare-feu local ne bloque pas les ports requis. Pour ouvrir tous les ports NFS requis, exécutez la commande suivante dans PowerShell:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_) }
Vérifier les paramètres de port actuels pour déterminer les ports que les daemons
statd
etnlockmgr
utilisent sur le client. Notez-les pour une utilisation ultérieure.
Linux
Aucun prérequis pour effectuer cette tâche.
MacOS
Aucun prérequis pour effectuer cette tâche.
Accédez à la page Pare-feu de la console Google Cloud.
Accéder à la page "Pare-feu"Cliquez sur Créer une règle de pare-feu.
Entrez un nom pour la règle de pare-feu. Ce nom doit être unique pour le projet.
Spécifiez le réseau dans lequel vous souhaitez mettre en œuvre la règle de pare-feu.
Spécifiez la priorité de la règle.
Si cette règle n'entre en conflit avec aucune autre règle, vous pouvez conserver la valeur par défaut
1000
. Si une règle d'entrée existante comporte une action en cas de correspondance: refuser pour la même plage d'adresses IP, les mêmes protocoles et ports, définissez une priorité inférieure à celle de la règle d'entrée existante.Choisissez Entrée pour Direction du trafic.
Choisissez Autoriser pour Action en cas de correspondance.
Pour Cibles, effectuez l'une des actions suivantes :
- Si vous souhaitez autoriser le trafic vers tous les clients du réseau en provenance Instances Filestore, sélectionnez Toutes les instances du réseau.
- Si vous souhaitez autoriser le trafic vers des clients spécifiques à partir d'instances Filestore, choisissez Tags cibles spécifiées. Saisissez les noms d'instance des clients dans Tags cibles.
Conservez la valeur par défaut des plages d'adresses IP pour Filtre source.
Pour Plages IP source, saisissez les plages d'adresses IP des instances Filestore dont vous souhaitez autoriser l'accès au format CIDR. Vous pouvez entrer les plages d'adresses IP internes que vous utilisez avec vos instances Filestore pour activer tout le trafic Filestore. Vous pouvez également saisir les adresses IP d'instances Filestore spécifiques.
Conservez la valeur par défaut Aucun pour le Deuxième filtre source.
Pour Protocoles et ports, sélectionnez Protocoles et ports spécifiés, puis procédez comme suit :
- Cochez la case tcp et saisissez
111,STATDOPTS,nlm_tcpport
dans le champ associé, où :- STATDOPTS est le port utilisé par le daemon
statd
sur le client. - nlm_tcpport est le port
tcp
utilisé par le daemonnlockmgr
sur le client.
- STATDOPTS est le port utilisé par le daemon
- Cochez la case udp et saisissez la valeur de
nlm_udpport
, qui correspond au portudp
utilisé parnlockmgr
. Notez que ces spécifications ne s'appliquent qu'aux services tiers suivants :- Zonal
- Régional
- Entreprise
- Cochez la case tcp et saisissez
Choisissez Créer.
Créer une règle de sortie de pare-feu
Utilisez la procédure suivante pour créer une règle de pare-feu afin d'activer le trafic vers des instances Filestore.
Avant de commencer, vérifiez les éléments suivants :
Windows
Vérifier que le client est autorisé à communiquer avec Filestore et que le pare-feu local ne bloque pas les ports requis. Pour ouvrir tous les ports NFS requis, exécutez la commande suivante dans PowerShell :
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_) }
Linux
Aucun prérequis pour effectuer cette tâche.
MacOS
Aucun prérequis pour effectuer cette tâche.
Accédez à la page Pare-feu de la console Google Cloud.
Accéder à la page "Pare-feu"Cliquez sur Créer une règle de pare-feu.
Entrez un nom pour la règle de pare-feu. Ce nom doit être unique pour le projet.
Spécifiez le réseau dans lequel vous souhaitez mettre en œuvre la règle de pare-feu.
Spécifiez la priorité de la règle.
Si cette règle n'entre en conflit avec aucune autre règle, vous pouvez conserver la valeur par défaut
1000
. Si une règle de sortie existante comporte une Action on match: Deny (Action en cas de correspondance : Refuser) pour la même plage d'adresses IP, les mêmes protocoles et ports, définissez une priorité inférieure à celle de la règle d'entrée existante.Choisissez Sortie pour Direction du trafic.
Choisissez Autoriser pour Action en cas de correspondance.
Pour Cibles, effectuez l'une des actions suivantes :
- Si vous souhaitez autoriser le trafic de tous les clients du réseau vers Instances Filestore, sélectionnez Toutes les instances du réseau.
- Si vous souhaitez autoriser le trafic de clients spécifiques vers des instances Filestore, choisissez Tags cibles spécifiés. Saisissez les noms d'instance des clients dans Tags cibles.
Pour Plages d'adresses IP de destination, saisissez les plages d'adresses IP des instances Filestore auxquelles vous souhaitez autoriser l'accès au format CIDR. Vous pouvez entrer les plages d'adresses IP internes que vous utilisez avec vos instances Filestore pour activer le trafic vers toutes les instances Filestore. Vous pouvez également saisir les adresses IP d'instances Filestore spécifiques.
Dans Protocoles et ports, sélectionnez Protocoles et ports spécifiés. Cochez la case TCP et saisissez
111,2046,2049,2050,4045
dans le champ associé.Choisissez Créer.
Vérifier les ports NFS
Nous vous recommandons de vérifier que vos ports NFS ont été ouverts correctement. Pour en savoir plus, consultez la section Configurer des ports NFS sur les VM clientes.
Étape suivante
- En savoir plus sur les exigences en termes de ressources réseau et IP pour utiliser Filestore.
- Configurez des ports NFS sur les VM clientes.