Firewallregeln konfigurieren

Auf dieser Seite wird erläutert, wann Sie Firewallregeln konfigurieren müssen, um die NFS-Dateisperrung zu aktivieren.

Bedingungen, die eine Firewallregel für eingehenden Traffic erfordern

In folgenden Fällen müssen Sie eine Firewallregel für eingehenden Traffic erstellen, um Traffic von Filestore-Instanzen zu Ihren Clients zu ermöglichen:

  • Sie verwenden die NFS-Dateisperre in den Anwendungen, die auf die Filestore-Instanz zugreifen.
  • Das von Ihnen verwendete VPC-Netzwerk hat Firewallregeln, die den TCP-Port 111 oder die von den Daemons statd und nlockmgr verwendeten Ports blockieren. Prüfen Sie die aktuellen Porteinstellungen, um festzustellen, welche Ports die Daemons statd und nlockmgr auf dem Client verwenden.

    Wenn die Ports statd und nlockmgr nicht festgelegt sind und Sie möglicherweise irgendwann Firewallregeln konfigurieren müssen, empfehlen wir dringend, diese Ports auf allen Client-VM-Instanzen konsistent festzulegen. Weitere Informationen finden Sie unter NFS-Ports einrichten.

Bedingungen, die die Konfiguration einer Firewallregel für ausgehenden Traffic erfordern

In folgenden Fällen müssen Sie eine Firewallregel für ausgehenden Traffic erstellen, um Traffic von Ihren Clients zu Ihren Filestore-Instanzen zu ermöglichen:

  • Das von Ihnen verwendete VPC-Netzwerk hat eine Firewallregel für ausgehenden Traffic für die IP-Adressbereiche, die von Ihren Filestore-Instanzen verwendet werden.
  • Die Firewallregel für ausgehenden Traffic blockiert den Traffic zu den TCP-Ports 111, 2046, 2049, 2050 oder 4045.

Sie können den reservierten IP-Adressbereich für jede Filestore-Instanz auf der Seite Filestore-Instanzen oder durch Ausführen von gcloud filestore instances describe abrufen. Weitere Informationen finden Sie unter Informationen zu einer bestimmten Instanz abrufen.

Weitere Informationen zu Firewallregeln für VPC-Netzwerke finden Sie unter Firewallregeln verwenden.

Firewallregel für eingehenden Traffic erstellen

Mithilfe der folgenden Anleitung können Sie eine Firewallregel erstellen, um Traffic von Filestore-Instanzen zu ermöglichen.

  1. Bevor Sie beginnen, prüfen Sie Folgendes:

    Windows

    1. Prüfen Sie, ob der Client mit der Filestore-Instanz kommunizieren darf und die erforderlichen Ports nicht von der lokalen Firewall blockiert werden. Führen Sie den folgenden Befehl in PowerShell aus, um alle erforderlichen NFS-Ports zu öffnen:

         '111','2046','2049','2050','4045' | % {
            C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
         }
      
    2. Aktuelle Anschlusseinstellungen prüfen um festzustellen, welche Ports die Daemons statd und nlockmgr Client. Notieren Sie sich die Informationen für später.

    Linux

    Für diese Aufgabe sind keine Voraussetzungen vorhanden.

    MacOS

    Für diese Aufgabe sind keine Voraussetzungen vorhanden.

  2. Rufen Sie in der Google Cloud Console die Seite Firewall auf.
    Zur Seite "Firewall"

  3. Klicken Sie auf Firewallregel erstellen.

  4. Geben Sie einen Namen für die Firewallregel ein. Dieser Name muss für das Projekt eindeutig sein.

  5. Geben Sie das Netzwerk an, in dem Sie die Firewallregel implementieren möchten.

  6. Legen Sie die Priorität der Regel fest.

    Wenn diese Regel keine Konflikte mit anderen Regeln verursacht, können Sie den Standardwert 1000 beibehalten. Wenn für eine vorhandene Regel für eingehenden Traffic Aktion bei Übereinstimmung: Ablehnen für denselben IP-Adressbereich, dieselben Protokolle und Ports festgelegt ist, legen Sie eine niedrigere Priorität als bei der vorhandenen Regel für eingehenden Traffic fest.

  7. Wählen Sie Eingang bei der Option Richtung des Traffics.

  8. Wählen Sie Zulassen bei Aktion bei Übereinstimmung.

  9. Führen Sie bei Ziele eine der folgenden Aktionen aus:

    • Wenn Sie Traffic zu allen Clients im Netzwerk von Filestore-Instanzen: Wählen Sie Alle Instanzen im Netzwerk aus.
    • Wenn Sie Traffic zu bestimmten Clients aus Filestore-Instanzen zulassen möchten, wählen Sie Angegebene Zieltags aus. Geben Sie die Instanznamen der Clients bei Zieltags ein.
  10. Behalten Sie den Standardwert für IP-Bereiche bei Quellfilter bei.

  11. Geben Sie bei Quell-IP-Bereiche in CIDR-Notation die IP-Adressbereiche der Filestore-Instanzen ein, von denen Sie Zugriff zulassen möchten. Sie können die internen IP-Adressbereiche eingeben, die Sie mit Ihren Filestore-Instanzen verwenden, um den gesamten Filestore-Traffic zu ermöglichen. Sie können auch die IP-Adressen bestimmter Filestore-Instanzen eingeben.

  12. Behalten Sie den Standardwert Keiner bei Zweiter Quellfilter bei.

  13. Wählen Sie Specified protocols and ports für Protokolle und Ports und dann:

    • Klicken Sie auf das Kästchen tcp und geben Sie im zugehörigen Feld 111,STATDOPTS,nlm_tcpport ein. Dabei gilt:
      • STATDOPTS ist der Port, der vom statd-Daemon auf dem Client verwendet wird.
      • nlm_tcpport ist der vom Daemon nlockmgr verwendete Port tcp auf der Kundschaft.
    • Klicken Sie das Kästchen udp an und geben Sie den Wert nlm_udpport ein. ist der von nlockmgr verwendete Port udp. Diese Spezifikationen gelten nur für die folgenden Dienstebenen:
      • Zonal
      • Regional
      • Enterprise
  14. Wählen Sie Erstellen aus.

Firewallregel für ausgehenden Traffic erstellen

Verwenden Sie das folgende Verfahren, um eine Firewallregel zu erstellen, mit Traffic zu Filestore-Instanzen ermöglicht wird.

  1. Bevor Sie beginnen, prüfen Sie Folgendes:

    Windows

    Prüfen Sie, ob der Client mit der Filestore-Instanz kommunizieren darf und die erforderlichen Ports nicht von der lokalen Firewall blockiert werden. Führen Sie den folgenden Befehl in PowerShell aus, um alle erforderlichen NFS-Ports zu öffnen:

       '111','2046','2049','2050','4045' | % {
           C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
          }
    

    Linux

    Für diese Aufgabe sind keine Voraussetzungen vorhanden.

    MacOS

    Für diese Aufgabe sind keine Voraussetzungen vorhanden.

  2. Rufen Sie in der Google Cloud Console die Seite Firewall auf.
    Zur Seite "Firewall"

  3. Klicken Sie auf Firewallregel erstellen.

  4. Geben Sie einen Namen für die Firewallregel ein. Dieser Name muss für das Projekt eindeutig sein.

  5. Geben Sie das Netzwerk an, in dem Sie die Firewallregel implementieren möchten.

  6. Legen Sie die Priorität der Regel fest.

    Wenn diese Regel keine Konflikte mit anderen Regeln verursacht, können Sie den Standardwert 1000 beibehalten. Wenn für eine vorhandene Regel für ausgehenden Traffic Aktion bei Übereinstimmung: Ablehnen für denselben IP-Adressbereich, dieselben Protokolle und Ports festgelegt ist, legen Sie eine niedrigere Priorität als bei der vorhandenen Regel für eingehenden Traffic fest.

  7. Wählen Sie Ausgang bei der Option Richtung des Traffics.

  8. Wählen Sie Zulassen bei Aktion bei Übereinstimmung.

  9. Führen Sie bei Ziele eine der folgenden Aktionen aus:

    • Wenn Sie Traffic von allen Clients im Netzwerk zu Filestore-Instanzen zulassen möchten, wählen Sie Alle Instanzen im Netzwerk aus.
    • Wenn Sie Traffic von bestimmten Clients zu Filestore-Instanzen zulassen möchten, wählen Sie Angegebene Zieltags aus. Geben Sie die Instanznamen der Clients bei Zieltags ein.
  10. Geben Sie für Ziel-IP-Bereiche in CIDR-Notation die IP-Adressbereiche der Filestore-Instanzen ein, auf die Sie zugreifen lassen möchten. Sie können die internen IP-Adressbereiche eingeben, die Sie mit Ihren Filestore-Instanzen verwenden, um Traffic zu allen Filestore-Instanzen zu aktivieren. Sie können auch die IP-Adressen bestimmter Filestore-Instanzen eingeben.

  11. Wählen Sie für Protokolle und Ports die Option Angegebene Protokolle und Ports aus. Aktivieren Sie dann das Kästchen tcp und geben Sie 111,2046,2049,2050,4045 in das entsprechende Feld ein.

  12. Wählen Sie Erstellen aus.

NFS-Ports prüfen

Sie sollten prüfen, ob Ihre NFS-Ports ordnungsgemäß geöffnet wurden. Für Weitere Informationen finden Sie unter NFS-Ports auf Client-VMs konfigurieren.

Nächste Schritte