ファイアウォール ルールを構成する

このページでは、NFS ファイルのロックを有効にするためにファイアウォール ルールを構成する必要がある場合について説明します。

上りファイアウォール ルールの構成を必要とする条件

次の場合は、Filestore インスタンスからクライアントへのトラフィックを有効にする上り(内向き)ファイアウォール ルールを作成する必要があります。

  • Filestore インスタンスにアクセスするアプリケーションで NFS ファイルロックを使用している。
  • 使用している VPC ネットワークに、TCP ポート 111、または statd デーモンあるいは nlockmgr デーモンで使用されるポートをブロックするファイアウォール ルールが存在する。statd デーモンと nlockmgr デーモンがクライアント上で使用するポートを確認するには、現在のポート設定を確認します。

    statd ポートと nlockmgr ポートが設定されておらず、いずれかの時点でファイアウォール ルールの構成が必要になると考えられる場合は、すべてのクライアント VM インスタンスで整合性が保持されるようにこれらのポートを設定することを強くおすすめします。詳細については、NFS ポートの設定をご覧ください。

下りファイアウォール ルールの構成を必要とする条件

次の場合に、クライアントから Filestore インスタンスへのトラフィックを許可する下りファイアウォール ルールを作成する必要があります。

  • 使用している VPC ネットワークには、Filestore インスタンスで使用されている IP アドレス範囲の下りファイアウォール ルールがあります。
  • ファイアウォールの下りルールは、TCP ポート 111、2046、2049、2050、または 4045 へのトラフィックをブロックします。

任意の Filestore の予約済み IP アドレス範囲は、Filestore インスタンスのページから、または gcloud filestore instances describe を実行することによって取得できます。詳細については、特定のインスタンスに関する情報を取得するをご覧ください。

VPC ネットワークのファイアウォール ルールの詳細については、ファイアウォール ルールの使用をご覧ください。

上り(内向き)ファイアウォール ルールを作成する

Filestore インスタンスからのトラフィックを有効にするファイアウォール ルールを作成するには、次の手順を使用します。

  1. 開始する前に、以下の内容について確認してください。

    Windows

    1. クライアントが Filestore インスタンスとの通信を許可されていて、必要なポートをローカル ファイアウォールがブロックしていないことを確認します。すべての必要な NFS ポートを開くには、PowerShell で次のコマンドを実行します。

         '111','2046','2049','2050','4045' | % {
            C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
         }
      
    2. 現在のポート設定をチェックして、statd デーモンと nlockmgr デーモンがクライアントで使用するポートを判別します。後で使用できるようにメモしておいてください。

    Linux

    このタスクを完了するための前提条件はありません。

    MacOS

    このタスクを完了するための前提条件はありません。

  2. Google Cloud コンソールの [ファイアウォール] ページに移動します。
    [ファイアウォール] ページに移動

  3. [ファイアウォール ルールを作成] をクリックします。

  4. ファイアウォール ルールの [名前] を入力します。 この名前は、プロジェクト内で一意にする必要があります。

  5. このファイアウォール ルールを実装する [ネットワーク] を指定します。

  6. ルールの [優先度] を指定します。

    このルールが他のルールと競合しない場合は、デフォルトの 1000 のままにできます。既存の上り(内向き)ルールに、同じ IP アドレス範囲、プロトコル、ポートに対して [一致したときのアクション: 拒否] が設定されている場合は、既存の上り(内向き)ルールよりも低い優先度を設定します。

  7. [トラフィックの方向] に [上り] を選択します。

  8. [一致したときのアクション] に [許可] を選択します。

  9. [ターゲット] では次のいずれかの操作を行います。

    • Filestore インスタンスからネットワーク内のすべてのクライアントへのトラフィックを許可するには、[ネットワーク上のすべてのインスタンス] を選択します。
    • Filestore インスタンスから特定のクライアントへのトラフィックを許可するには、[指定されたターゲットタグ] を選択します。[ターゲットタグ] にクライアントのインスタンス名を入力します。
  10. [ソースフィルタ] の [IP 範囲] はデフォルト値のままにします。

  11. [ソース IP 範囲] に、アクセスを許可する Filestore インスタンスの IP アドレス範囲を CIDR 表記で入力します。Filestore インスタンスで使用している内部 IP アドレス範囲を入力して、すべての Filestore トラフィックを有効にできます。特定の Filestore インスタンスの IP アドレスを入力することもできます。

  12. [2 番目のソースフィルタ] は、デフォルト値の [なし] のままにします。

  13. [プロトコルとポート] で、[指定したプロトコルとポート] を選択し、次の操作を行います。

    • [tcp] チェックボックスをオンにして、関連するフィールドに「111,STATDOPTS,nlm_tcpport」と入力します。
      • STATDOPTS は、クライアントの statd デーモンが使用するポートです。
      • nlm_tcpport は、クライアントの nlockmgr デーモンが使用する tcp ポートです。
    • [udp] チェックボックスをオンにして、nlm_udpport の値を入力します。これは、nlockmgr が使用する udp ポートです。これらの仕様は、次のサービス階層にのみ適用されることに留意してください。
      • ゾーン
      • リージョン
      • Enterprise
  14. [作成] を選択します。

下り(外向き)ファイアウォール ルールを作成する

Filestore インスタンスへのトラフィックを有効にするファイアウォール ルールを作成するには、次の手順を使用します。

  1. 開始する前に、以下の内容について確認してください。

    Windows

    クライアントが Filestore インスタンスとの通信を許可されていて、必要なポートをローカル ファイアウォールがブロックしていないことを確認します。すべての必要な NFS ポートを開くには、PowerShell で次のコマンドを実行します。

       '111','2046','2049','2050','4045' | % {
           C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
          }
    

    Linux

    このタスクを完了するための前提条件はありません。

    MacOS

    このタスクを完了するための前提条件はありません。

  2. Google Cloud コンソールの [ファイアウォール] ページに移動します。
    [ファイアウォール] ページに移動

  3. [ファイアウォール ルールを作成] をクリックします。

  4. ファイアウォール ルールの [名前] を入力します。 この名前は、プロジェクト内で一意にする必要があります。

  5. このファイアウォール ルールを実装する [ネットワーク] を指定します。

  6. ルールの [優先度] を指定します。

    このルールが他のルールと競合しない場合は、デフォルトの 1000 のままにできます。既存の下り(外向き)ルールに、同じ IP アドレス範囲、プロトコル、ポートに対して [一致したときのアクション: 拒否] が設定されている場合は、既存の上り(内向き)ルールよりも低い優先度を設定します。

  7. [トラフィックの方向] に [下り] を選択します。

  8. [一致したときのアクション] に [許可] を選択します。

  9. [ターゲット] では次のいずれかの操作を行います。

    • ネットワーク内のすべてのクライアントから Filestore インスタンスへのトラフィックを許可する場合は、[ネットワーク上のすべてのインスタンス] を選択します。
    • 特定のクライアントから Filestore インスタンスへのトラフィックを許可する場合は、[指定されたターゲットタグ] を選択します。[ターゲットタグ] にクライアントのインスタンス名を入力します。
  10. [送信先 IP 範囲] に、アクセスを許可する Filestore インスタンスの IP アドレス範囲を CIDR 表記で入力します。Filestore インスタンスで使用している内部 IP アドレス範囲を入力して、すべての Filestore インスタンスへのトラフィックを有効にすることもできます。特定の Filestore インスタンスの IP アドレスを入力することもできます。

  11. [プロトコルとポート] で [指定したプロトコルとポート] を選択します。次に、[tcp] チェックボックスをオンにして、関連するフィールドに「111,2046,2049,2050,4045」と入力します。

  12. [作成] を選択します。

NFS ポートを確認する

NFS ポートが正しく開いていることを確認することをおすすめします。詳細については、クライアント VM に NFS ポートを構成するをご覧ください。

次のステップ