ファイアウォール ルールの構成

状況によっては、ファイアウォール ルールを構成して NFS ファイルロックを有効にする必要があります。

Google Cloud Platform(GCP)プロジェクトに付属するデフォルトの VPC ネットワークを使用し、そのネットワークのファイアウォール ルールを変更または追加していない場合は、ファイアウォール ルールを作成する必要はありません。

次の条件が両方とも当てはまる場合は、ファイアウォールの上りルールを作成して、Cloud Filestore インスタンスからクライアントへのトラフィックを有効にする必要があります。

  • Cloud Filestore インスタンスにアクセスするアプリケーションで NFS ファイルロックを使用している。
  • 使用している VPC ネットワークに、TCP ポート 111 をブロックするファイアウォール ルールか、statd デーモンまたは nlockmgr デーモンで使用されるポートをブロックするファイアウォール ルールが存在する。statd デーモンや nlockmgr デーモンがクライアント上で使用するポートを確認するには、現在のポート設定を確認します。

    statd ポートと nlockmgr ポートが設定されておらず、いずれかの時点でファイアウォール ルールの構成が必要になると考えられる場合は、すべてのクライアント VM インスタンスで整合性が保持されるようにこれらのポートを設定することを強くおすすめします。詳細については、NFS ポートの設定をご覧ください。

使用している VPC ネットワークに、TCP ポート 111、2046、2049、2050、または 4045 へのトラフィックをブロックし、Cloud Filestore インスタンスで使用されている IP アドレス範囲をターゲットとする下りファイアウォール ルールがある場合は、クライアントから Cloud Filestore インスタンスへのトラフィックを可能にする下りファイアウォール ルールも作成する必要があります。

任意の Cloud Filestore の予約済み IP アドレス範囲は、Cloud Filestore インスタンスのページから、または gcloud beta filestore instances describe を実行することによって取得できます。詳細については、特定のインスタンスに関する情報を取得するをご覧ください。

VPC ネットワークのファイアウォール ルールの詳細については、ファイアウォール ルールの使用をご覧ください。

上りファイアウォール ルールの作成

Cloud Filestore インスタンスからのトラフィックを有効にするファイアウォール ルールを作成するには、次の手順を使用します。

  1. 現在のポート設定をチェックして、statd デーモンと nlockmgr デーモンがクライアントで使用するポートを判別します。ステップ 13 で使用するため、それらをメモしておきます。
  2. Google Cloud Platform Console の [ファイアウォール ルール] ページに移動します。
    [ファイアウォール ルール] ページに移動
  3. [ファイアウォール ルールの作成] をクリックします。
  4. ファイアウォール ルールの [名前] を入力します。 この名前はプロジェクトで一意にする必要があります。
  5. このファイアウォール ルールを実装する [ネットワーク] を指定します。
  6. ルールの [優先度] を指定します。

    このルールが他のルールと競合しない場合は、デフォルトの 1000 のままにできます。同じ IP アドレス範囲、プロトコル、ポートをターゲットとし、[一致したときのアクション] フィールドの値が [拒否] である別の上りルールが存在する場合は、新しい上りルールの優先度を既存の上りルールより低い値に設定して GCP でそれが適用されるようにします。

  7. [トラフィックの方向] に [上り] を選択します。

  8. [一致したときのアクション] に [許可] を選択します。
  9. [ターゲット] では次のいずれかの操作を行います。

    • Cloud Filestore インスタンスからネットワーク内のすべてのクライアントへのトラフィックを許可するには、[ネットワーク上のすべてのインスタンス] を選択します。
    • Cloud Filestore インスタンスから特定のクライアントへのトラフィックを許可するには、[指定されたターゲットタグ] を選択します。[ターゲットタグ] にクライアントのインスタンス名を入力します。
  10. [ソースフィルタ] の [IP 範囲] はデフォルト値のままにします。

  11. [ソース IP の範囲] に、アクセスを許可する Cloud Filestore インスタンスの IP アドレス範囲を入力します。Cloud Filestore インスタンスで使用している内部 IP アドレス範囲を入力して、すべての Cloud Filestore トラフィックを有効にすることも、特定の Cloud Filestore インスタンスの IP アドレスを入力することもできます。CIDR 表記を使用する必要があります。
  12. [2 番目のソースフィルタ] は、デフォルト値の [なし] のままにします。
  13. [プロトコルとポート] には、[指定したプロトコルとポート] を選択し、付属するフィールドに「tcp:111,[STATD_PORT],[NLOCKMGR_PORT]」と入力します。

    • [STATD_PORT] は、クライアントの statd デーモンが使用するポートです。
    • [NLOCKMGR_PORT] は、クライアントの nlockmgr デーモンが使用するポートです。

    たとえば、「tcp:111,2046,4045」のように入力します。

  14. [作成] を選択します。

下りファイアウォール ルールの作成

Cloud Filestore インスタンスへのトラフィックを有効にするファイアウォール ルールを作成するには、次の手順を実行します。

  1. Google Cloud Platform Console の [ファイアウォール ルール] ページに移動します。
    [ファイアウォール ルール] ページに移動
  2. [ファイアウォール ルールの作成] をクリックします。
  3. ファイアウォール ルールの [名前] を入力します。 この名前はプロジェクトで一意にする必要があります。
  4. このファイアウォール ルールを実装する [ネットワーク] を指定します。
  5. ルールの [優先度] を指定します。

    このルールが他のルールと競合しない場合は、デフォルトの 1000 のままにできます。同じ IP アドレス範囲、プロトコル、およびポートをターゲットとし、[一致したときのアクション] フィールドの値が [拒否] である別の下りルールが存在する場合は、新しい下りルールの優先度を既存の下りルールより低い値に設定して GCP でそれが適用されるようにします。

  6. [トラフィックの方向] に [下り] を選択します。

  7. [一致したときのアクション] に [許可] を選択します。
  8. [ターゲット] では次のいずれかの操作を行います。

    • ネットワーク内のすべてのクライアントから Cloud Filestore インスタンスへのトラフィックを許可する場合は、[ネットワーク上のすべてのインスタンス] を選択します。
    • 特定のクライアントから Cloud Filestore インスタンスへのトラフィックを許可する場合は、[指定されたターゲットタグ] を選択します。[ターゲットタグ] にクライアントのインスタンス名を入力します。
  9. [送信先 IP 範囲] にアクセス先として許可する Cloud Filestore インスタンスの IP アドレス範囲を入力します。Cloud Filestore インスタンスで使用している内部 IP アドレス範囲を入力して、すべての Cloud Filestore インスタンスへのトラフィックを有効にすることも、特定の Cloud Filestore インスタンスの IP アドレスを入力することもできます。CIDR 表記を使用する必要があります。

  10. [プロトコルとポート] で、[指定したプロトコルとポート] を選択して、付属するフィールドに「tcp:111,2046,2049,2050,4045」と入力します。
  11. [作成] を選択します。