Auf dieser Seite wird erläutert, wann Sie Firewallregeln konfigurieren müssen, um die NFS-Dateisperrung zu aktivieren.
Bedingungen, die eine Firewallregel für eingehenden Traffic erfordern
In folgenden Fällen müssen Sie eine Firewallregel für eingehenden Traffic erstellen, um Traffic von Filestore-Instanzen zu Ihren Clients zu ermöglichen:
- Sie verwenden die NFS-Dateisperre in den Anwendungen, die auf die Filestore-Instanz zugreifen.
Das von Ihnen verwendete VPC-Netzwerk hat Firewallregeln, die den TCP-Port 111 oder die von den Daemons
statd
undnlockmgr
verwendeten Ports blockieren. Prüfen Sie die aktuellen Porteinstellungen, um festzustellen, welche Ports die Daemonsstatd
undnlockmgr
auf dem Client verwenden.Wenn die Ports
statd
undnlockmgr
nicht festgelegt sind und Sie möglicherweise irgendwann Firewallregeln konfigurieren müssen, empfehlen wir dringend, diese Ports auf allen Client-VM-Instanzen konsistent festzulegen. Weitere Informationen finden Sie unter NFS-Ports einrichten.
Bedingungen, die die Konfiguration einer Firewallregel für ausgehenden Traffic erfordern
In folgenden Fällen müssen Sie eine Firewallregel für ausgehenden Traffic erstellen, um Traffic von Ihren Clients zu Ihren Filestore-Instanzen zu ermöglichen:
- Das von Ihnen verwendete VPC-Netzwerk hat eine Firewallregel für ausgehenden Traffic für die IP-Adressbereiche, die von Ihren Filestore-Instanzen verwendet werden.
- Die Firewallregel für ausgehenden Traffic blockiert den Traffic zu den TCP-Ports 111, 2046, 2049, 2050 oder 4045.
Sie können den reservierten IP-Adressbereich für jede Filestore-Instanz auf der Seite Filestore-Instanzen oder durch Ausführen von gcloud filestore instances describe
abrufen. Weitere Informationen finden Sie unter Informationen zu einer bestimmten Instanz abrufen.
Weitere Informationen zu Firewallregeln für VPC-Netzwerke finden Sie unter Firewallregeln verwenden.
Firewallregel für eingehenden Traffic erstellen
Mithilfe der folgenden Anleitung können Sie eine Firewallregel erstellen, um Traffic von Filestore-Instanzen zu ermöglichen.
Bevor Sie beginnen, prüfen Sie Folgendes:
Windows
Prüfen Sie, ob der Client mit der Filestore-Instanz kommunizieren darf und die erforderlichen Ports nicht von der lokalen Firewall blockiert werden. Führen Sie den folgenden Befehl in PowerShell aus, um alle erforderlichen NFS-Ports zu öffnen:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_) }
Aktuelle Anschlusseinstellungen prüfen um festzustellen, welche Ports die Daemons
statd
undnlockmgr
Client. Notieren Sie sich die Informationen für später.
Linux
Für diese Aufgabe sind keine Voraussetzungen vorhanden.
MacOS
Für diese Aufgabe sind keine Voraussetzungen vorhanden.
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Zur Seite "Firewall"Klicken Sie auf Firewallregel erstellen.
Geben Sie einen Namen für die Firewallregel ein. Dieser Name muss für das Projekt eindeutig sein.
Geben Sie das Netzwerk an, in dem Sie die Firewallregel implementieren möchten.
Legen Sie die Priorität der Regel fest.
Wenn diese Regel keine Konflikte mit anderen Regeln verursacht, können Sie den Standardwert
1000
beibehalten. Wenn für eine vorhandene Regel für eingehenden Traffic Aktion bei Übereinstimmung: Ablehnen für denselben IP-Adressbereich, dieselben Protokolle und Ports festgelegt ist, legen Sie eine niedrigere Priorität als bei der vorhandenen Regel für eingehenden Traffic fest.Wählen Sie Eingang bei der Option Richtung des Traffics.
Wählen Sie Zulassen bei Aktion bei Übereinstimmung.
Führen Sie bei Ziele eine der folgenden Aktionen aus:
- Wenn Sie Traffic zu allen Clients im Netzwerk von Filestore-Instanzen: Wählen Sie Alle Instanzen im Netzwerk aus.
- Wenn Sie Traffic zu bestimmten Clients aus Filestore-Instanzen zulassen möchten, wählen Sie Angegebene Zieltags aus. Geben Sie die Instanznamen der Clients bei Zieltags ein.
Behalten Sie den Standardwert für IP-Bereiche bei Quellfilter bei.
Geben Sie bei Quell-IP-Bereiche in CIDR-Notation die IP-Adressbereiche der Filestore-Instanzen ein, von denen Sie Zugriff zulassen möchten. Sie können die internen IP-Adressbereiche eingeben, die Sie mit Ihren Filestore-Instanzen verwenden, um den gesamten Filestore-Traffic zu ermöglichen. Sie können auch die IP-Adressen bestimmter Filestore-Instanzen eingeben.
Behalten Sie den Standardwert Keiner bei Zweiter Quellfilter bei.
Wählen Sie Specified protocols and ports für Protokolle und Ports und dann:
- Klicken Sie auf das Kästchen tcp und geben Sie im zugehörigen Feld
111,STATDOPTS,nlm_tcpport
ein. Dabei gilt:- STATDOPTS ist der Port, der vom
statd
-Daemon auf dem Client verwendet wird. - nlm_tcpport ist der vom Daemon
nlockmgr
verwendete Porttcp
auf der Kundschaft.
- STATDOPTS ist der Port, der vom
- Klicken Sie das Kästchen udp an und geben Sie den Wert
nlm_udpport
ein. ist der vonnlockmgr
verwendete Portudp
. Diese Spezifikationen gelten nur für die folgenden Dienstebenen:- Zonal
- Regional
- Enterprise
- Klicken Sie auf das Kästchen tcp und geben Sie im zugehörigen Feld
Wählen Sie Erstellen aus.
Firewallregel für ausgehenden Traffic erstellen
Verwenden Sie das folgende Verfahren, um eine Firewallregel zu erstellen, mit Traffic zu Filestore-Instanzen ermöglicht wird.
Bevor Sie beginnen, prüfen Sie Folgendes:
Windows
Prüfen Sie, ob der Client mit der Filestore-Instanz kommunizieren darf und die erforderlichen Ports nicht von der lokalen Firewall blockiert werden. Führen Sie den folgenden Befehl in PowerShell aus, um alle erforderlichen NFS-Ports zu öffnen:
'111','2046','2049','2050','4045' | % { C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_) }
Linux
Für diese Aufgabe sind keine Voraussetzungen vorhanden.
MacOS
Für diese Aufgabe sind keine Voraussetzungen vorhanden.
Rufen Sie in der Google Cloud Console die Seite Firewall auf.
Zur Seite "Firewall"Klicken Sie auf Firewallregel erstellen.
Geben Sie einen Namen für die Firewallregel ein. Dieser Name muss für das Projekt eindeutig sein.
Geben Sie das Netzwerk an, in dem Sie die Firewallregel implementieren möchten.
Legen Sie die Priorität der Regel fest.
Wenn diese Regel keine Konflikte mit anderen Regeln verursacht, können Sie den Standardwert
1000
beibehalten. Wenn für eine vorhandene Regel für ausgehenden Traffic Aktion bei Übereinstimmung: Ablehnen für denselben IP-Adressbereich, dieselben Protokolle und Ports festgelegt ist, legen Sie eine niedrigere Priorität als bei der vorhandenen Regel für eingehenden Traffic fest.Wählen Sie Ausgang bei der Option Richtung des Traffics.
Wählen Sie Zulassen bei Aktion bei Übereinstimmung.
Führen Sie bei Ziele eine der folgenden Aktionen aus:
- Wenn Sie Traffic von allen Clients im Netzwerk zu Filestore-Instanzen zulassen möchten, wählen Sie Alle Instanzen im Netzwerk aus.
- Wenn Sie Traffic von bestimmten Clients zu Filestore-Instanzen zulassen möchten, wählen Sie Angegebene Zieltags aus. Geben Sie die Instanznamen der Clients bei Zieltags ein.
Geben Sie für Ziel-IP-Bereiche in CIDR-Notation die IP-Adressbereiche der Filestore-Instanzen ein, auf die Sie zugreifen lassen möchten. Sie können die internen IP-Adressbereiche eingeben, die Sie mit Ihren Filestore-Instanzen verwenden, um Traffic zu allen Filestore-Instanzen zu aktivieren. Sie können auch die IP-Adressen bestimmter Filestore-Instanzen eingeben.
Wählen Sie für Protokolle und Ports die Option Angegebene Protokolle und Ports aus. Aktivieren Sie dann das Kästchen tcp und geben Sie
111,2046,2049,2050,4045
in das entsprechende Feld ein.Wählen Sie Erstellen aus.
NFS-Ports prüfen
Sie sollten prüfen, ob Ihre NFS-Ports ordnungsgemäß geöffnet wurden. Für Weitere Informationen finden Sie unter NFS-Ports auf Client-VMs konfigurieren.
Nächste Schritte
- Weitere Informationen zu den Netzwerk- und IP-Ressourcenanforderungen für die Verwendung von Filestore
- NFS-Ports auf Client-VMs konfigurieren