Configurazione delle regole del firewall

Questa pagina spiega quando è necessario configurare le regole del firewall per abilitare il file NFS di blocco.

Condizioni che richiedono la configurazione di una regola firewall in entrata

Devi creare una regola firewall in entrata per abilitare il traffico da Filestore le istanze ai tuoi client se:

• Stai utilizzando il blocco dei file NFS nelle applicazioni che accedono al Filestore.

• La rete VPC che stai utilizzando ha regole firewall che bloccano la porta TCP 111 oppure le porte utilizzate dai daemon statd o nlockmgr. Per determinare cosa le porte utilizzate dai daemon statd e nlockmgr sul client verifica le impostazioni attuali delle porte.

  Se le porte statd e nlockmgr non sono impostate e pensi che potresti aver bisogno per configurare le regole firewall in qualsiasi momento, consigliamo vivamente di impostarle in modo coerente su tutte le istanze VM del client. Per ulteriori informazioni, vedi Impostazione delle porte NFS.

Condizioni che richiedono la configurazione di regole di traffico in uscita dal firewall

Devi creare una regola di traffico in uscita dal firewall per consentire il traffico dai client a le tue istanze Filestore se:

• La rete VPC che stai utilizzando ha una regola firewall in uscita per il traffico Intervalli di indirizzi IP utilizzati dalle istanze Filestore.
• La regola di traffico in uscita del firewall blocca il traffico verso le porte TCP 111, 2046, 2049, 2050 o 4045.

Puoi ottenere l'intervallo di indirizzi IP riservati per qualsiasi Filestore da un'istanza la pagina delle istanze Filestore o eseguendo gcloud filestore instances describe. Per ulteriori informazioni, vedi Ottenere informazioni su un'istanza specifica.

Per ulteriori informazioni sulle regole firewall di rete VPC, consulta Utilizzo delle regole firewall.

Crea una regola firewall in entrata

Utilizza la seguente procedura per creare una regola firewall che abiliti il traffico da Filestore.

1. Prima di iniziare, verifica quanto segue:

   Windows

   1. Conferma che il client sia autorizzato a comunicare con Filestore e che il firewall locale non stia bloccando le porte richieste. Per aprire tutte le porte NFS richieste, esegui questo comando in PowerShell:

         '111','2046','2049','2050','4045' | % {
            C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
         }
      

   2. Controllare le impostazioni attuali delle porte per determinare quali porte usano i daemon statd e nlockmgr di alto profilo. Annotale per utilizzarle in seguito.

   Linux

   Nessun prerequisito per il completamento di questa attività.

   MacOS

   Nessun prerequisito per il completamento di questa attività.

2. Vai alla pagina Firewall nella console Google Cloud.
   Vai alla pagina Firewall

3. Fai clic su Crea regola firewall.

4. Inserisci un Nome per la regola firewall. Questo nome deve essere univoco per il progetto.

5. Specifica la rete in cui implementare la regola firewall.

6. Specifica la Priorità della regola.

   Se questa regola non è in conflitto con altre, puoi lasciare l'impostazione predefinita di 1000. Se una regola in entrata esistente ha l'impostazione Azione in caso di corrispondenza: Nega per lo stesso intervallo di indirizzi IP, gli stessi protocolli e le stesse porte, quindi imposta una priorità più bassa rispetto alla regola in entrata esistente.

7. Scegli In entrata per Direzione del traffico.

8. Scegli Consenti per Azione in caso di corrispondenza.

9. Per Target, esegui una delle seguenti azioni:

   • Se vuoi consentire il traffico verso tutti i client nella rete Istanze Filestore, scegli Tutte le istanze nella rete.
   • Se vuoi consentire il traffico verso clienti specifici Istanze Filestore, scegli Tag di destinazione specificati. Tipo i nomi delle istanze dei client in Tag di destinazione.

10. Lascia il valore predefinito Intervalli IP per Filtro di origine.

11. In Intervalli IP di origine, inserisci gli intervalli di indirizzi IP di Filestore da cui vuoi consentire l'accesso in notazione CIDR. Puoi inserire il parametro intervalli di indirizzi IP interni che stai utilizzando con le tue istanze Filestore per abilitare tutte Traffico Filestore. Puoi anche inserire gli indirizzi IP di istanze Filestore specifiche.

12. Lascia il valore predefinito None in Secondo filtro di origine.

13. Per Protocolli e porte, scegli Protocolli e porte specificati e quindi:

    • Seleziona la casella di controllo tcp e inserisci 111,STATDOPTS,nlm_tcpport nel campo associato, dove:
      • STATDOPTS è la porta utilizzata dal daemon statd sulla di alto profilo.
      • nlm_tcpport è la porta tcp utilizzata dal daemon nlockmgr sul cliente.
    • Seleziona la casella di controllo udp e inserisci il valore di nlm_udpport, che è la porta udp utilizzata da nlockmgr. Tieni presente che queste specifiche si applicano ai seguenti livelli di servizio solo:
      .
      • A livello di zona
      • Regionale
      • Aziende

14. Scegli Crea.

Crea una regola di traffico in uscita del firewall

Utilizza la seguente procedura per creare una regola firewall che e abilitare il traffico verso le istanze Filestore.

1. Prima di iniziare, verifica quanto segue:

   Windows

   Conferma che il client sia autorizzato a comunicare con Filestore e che il firewall locale non stia bloccando le porte richieste. Per aprire tutte le porte NFS richieste, esegui questo comando in PowerShell:

      '111','2046','2049','2050','4045' | % {
          C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
         }
   

   Linux

   Nessun prerequisito per il completamento di questa attività.

   MacOS

   Nessun prerequisito per il completamento di questa attività.

2. Vai alla pagina Firewall nella console Google Cloud.
   Vai alla pagina Firewall

3. Fai clic su Crea regola firewall.

4. Inserisci un Nome per la regola firewall. Questo nome deve essere univoco per il progetto.

5. Specifica la rete in cui implementare la regola firewall.

6. Specifica la Priorità della regola.

   Se questa regola non è in conflitto con altre, puoi lasciare l'impostazione predefinita di 1000. Se una regola in uscita esistente ha l'impostazione Azione in caso di corrispondenza: Nega per lo stesso intervallo di indirizzi IP, gli stessi protocolli e le stesse porte, quindi imposta una priorità più bassa rispetto alla regola in entrata esistente.

7. Scegli In uscita per Direzione del traffico.

8. Scegli Consenti per Azione in caso di corrispondenza.

9. Per Target, esegui una delle seguenti azioni:

   • Se vuoi consentire al traffico da tutti i client nella rete di Istanze Filestore, scegli Tutte le istanze nella rete.
   • Se vuoi consentire il traffico da client specifici a Istanze Filestore, scegli Tag di destinazione specificati. Tipo i nomi delle istanze dei client in Tag di destinazione.

10. In Intervalli IP di destinazione, inserisci gli intervalli di indirizzi IP di Filestore alle istanze a cui vuoi consentire l'accesso in notazione CIDR. Puoi inserire il parametro intervalli di indirizzi IP interni che stai utilizzando con le tue istanze Filestore per abilitare a tutte le istanze Filestore. Puoi anche inserire l'indirizzo IP di istanze Filestore specifiche.

11. Per Protocolli e porte, scegli Protocolli e porte specificati. Poi seleziona la casella di controllo tcp e inserisci 111,2046,2049,2050,4045 nel campo associato.

12. Scegli Crea.

Verifica le porte NFS

Ti consigliamo di verificare che le porte NFS siano state aperte correttamente. Per Per ulteriori informazioni, consulta l'articolo Configurare le porte NFS sulle VM client.

Passaggi successivi

• Scopri di più sui requisiti delle risorse di rete e IP per l'utilizzo Filestore.
• Configura le porte NFS sulle VM client.