Configure regras de firewall

Esta página explica quando tem de configurar regras de firewall para ativar o bloqueio de ficheiros NFS.

Condições que requerem a configuração da regra de entrada da firewall

Tem de criar uma regra de entrada da firewall para ativar o tráfego das instâncias do Filestore para os seus clientes se:

  • Está a usar o bloqueio de ficheiros NFS nas aplicações que acedem à instância do Filestore.

  • A rede VPC que está a usar tem regras de firewall que bloqueiam a porta TCP 111 ou as portas usadas pelos daemons statd ou nlockmgr. Para determinar que portas os daemons statd e nlockmgr usam no cliente, verifique as definições de porta atuais.

    Se as portas statd e nlockmgr não estiverem definidas e considerar que pode ter de configurar regras de firewall em qualquer altura, recomendamos vivamente que defina essas portas de forma consistente em todas as instâncias de VM do cliente. Para mais informações, consulte o artigo Definir portas NFS.

Condições que requerem a configuração de regras de saída da firewall

Tem de criar uma regra de saída da firewall para ativar o tráfego dos seus clientes para as instâncias do Filestore se:

  • A rede VPC que está a usar tem uma regra de saída da firewall para os intervalos de endereços IP usados pelas suas instâncias do Filestore.
  • A regra de saída da firewall bloqueia o tráfego para as portas TCP 111, 2046, 2049, 2050 ou 4045.

Pode obter o intervalo de endereços IP reservados para qualquer instância do Filestore na página de instâncias do Filestore ou executando gcloud filestore instances describe. Para mais informações, consulte o artigo Obtenha informações sobre uma instância específica.

Para mais informações sobre as regras de firewall da rede VPC, consulte o artigo Usar regras de firewall.

Crie uma regra de entrada de firewall

Use o procedimento seguinte para criar uma regra de firewall para ativar o tráfego de instâncias do Filestore.

  1. Antes de começar, verifique o seguinte:

    Windows

    1. Confirme que o cliente tem autorização para comunicar com a instância do Filestore e que a firewall local não está a bloquear as portas necessárias. Para abrir todas as portas NFS necessárias, execute o seguinte comando no PowerShell:

         '111','2046','2049','2050','4045' | % {
      C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
   }

    2. Verifique as definições de porta atuais para determinar que portas os daemons statd e nlockmgr usam no cliente. Anote-as para utilização posterior.

    Linux

    Não existem pré-requisitos para concluir esta tarefa.

    MacOS

    Não existem pré-requisitos para concluir esta tarefa.

  2. Aceda à página Firewall na Google Cloud consola.
    Aceda à página Firewall

  3. Clique em Criar regra de firewall.

  4. Introduza um Nome para a regra de firewall. Este nome tem de ser exclusivo para o projeto.

  5. Especifique a rede na qual quer implementar a regra de firewall.

  6. Especifique a Prioridade da regra.

    Se esta regra não entrar em conflito com outras regras, pode deixar o valor predefinido de 1000. Se uma regra de entrada existente tiver Ação em caso de correspondência: recusar definida para o mesmo intervalo de endereços IP, protocolos e portas, defina uma prioridade inferior à da regra de entrada existente.

  7. Escolha Entrada para Sentido do trânsito.

  8. Escolha Permitir para Ação na correspondência.

  9. Para Alvos, realize uma das seguintes ações:

    • Se quiser permitir o tráfego para todos os clientes na rede a partir de instâncias do Filestore, escolha Todas as instâncias na rede.
    • Se quiser permitir tráfego para clientes específicos a partir de instâncias do Filestore, escolha Etiquetas de destino especificadas. Escreva os nomes das instâncias dos clientes em Etiquetas de destino.

  10. Mantenha o valor predefinido de Intervalos de IP para o Filtro de origem.

  11. Para Intervalos de IPs de origem, introduza os intervalos de endereços IP das instâncias do Filestore a partir das quais quer permitir o acesso na notação CIDR. Pode introduzir os intervalos de endereços IP internos que está a usar com as suas instâncias do Filestore para ativar todo o tráfego do Filestore. Também pode introduzir os endereços IP de instâncias específicas do Filestore.

  12. Mantenha o valor predefinido de Nenhum para Filtro de segunda origem.

  13. Para Protocolos e portas, escolha Protocolos e portas especificados e, em seguida:

    • Selecione a caixa de verificação tcp e introduza 111,STATDOPTS,nlm_tcpport no campo associado, onde:
      • STATDOPTS é a porta usada pelo daemon statd no cliente.
      • nlm_tcpport é a porta tcp usada pelo daemon nlockmgr no cliente.
    • Selecione a caixa de verificação udp e introduza o valor de nlm_udpport, que é a porta udp usada por nlockmgr. Tenha em atenção que estas especificações aplicam-se apenas aos seguintes níveis de serviço:
      • Zonal
      • Regional
      • Enterprise

  14. Escolha Criar.

Crie uma regra de saída de firewall

Use o procedimento seguinte para criar uma regra de firewall para ativar o tráfego para instâncias do Filestore.

  1. Antes de começar, verifique o seguinte:

    Windows

    Confirme que o cliente tem autorização para comunicar com a instância do Filestore e que a firewall local não está a bloquear as portas necessárias. Para abrir todas as portas NFS necessárias, execute o seguinte comando no PowerShell:

       '111','2046','2049','2050','4045' | % {
       C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
      }

    Linux

    Não existem pré-requisitos para concluir esta tarefa.

    MacOS

    Não existem pré-requisitos para concluir esta tarefa.

  2. Aceda à página Firewall na Google Cloud consola.
    Aceda à página Firewall

  3. Clique em Criar regra de firewall.

  4. Introduza um Nome para a regra de firewall. Este nome tem de ser exclusivo para o projeto.

  5. Especifique a rede na qual quer implementar a regra de firewall.

  6. Especifique a Prioridade da regra.

    Se esta regra não entrar em conflito com outras regras, pode deixar o valor predefinido de 1000. Se uma regra de saída existente tiver Ação em caso de correspondência: recusar definida para o mesmo intervalo de endereços IP, protocolos e portas, defina uma prioridade inferior à da regra de entrada existente.

  7. Escolha Saída para Direção do trânsito.

  8. Escolha Permitir para Ação na correspondência.

  9. Para Alvos, realize uma das seguintes ações:

    • Se quiser permitir o tráfego de todos os clientes na rede para instâncias do Filestore, escolha Todas as instâncias na rede.
    • Se quiser permitir tráfego de clientes específicos para instâncias do Filestore, escolha Etiquetas de destino especificadas. Escreva os nomes das instâncias dos clientes em Etiquetas de destino.

  10. Para Intervalos de IP de destino, introduza os intervalos de endereços IP das instâncias do Filestore às quais quer permitir o acesso na notação CIDR. Pode introduzir os intervalos de endereços IP internos que está a usar com as suas instâncias do Filestore para ativar o tráfego para todas as instâncias do Filestore. Também pode introduzir os endereços IP de instâncias específicas do Filestore.

  11. Para Protocolos e portas, escolha Protocolos e portas especificados. Em seguida, selecione a caixa de verificação tcp e introduza 111,2046,2049,2050,4045 no campo associado.

  12. Escolha Criar.

Valide as portas NFS

Recomendamos que verifique se as portas NFS foram abertas corretamente. Para mais informações, consulte o artigo Configure portas NFS em VMs de cliente.

O que se segue?