Configurar regras de firewall

Nesta página, explicamos quando você precisa configurar regras de firewall para ativar o bloqueio de arquivos do NFS.

Condições que exigem configuração de regra de entrada de firewall

Você precisa criar uma regra de entrada de firewall para ativar o tráfego das instâncias do Filestore para os clientes se:

  • Você está usando o bloqueio de arquivos NFS nos aplicativos que acessam a instância do Filestore.
  • A rede VPC que você está usando tem regras de firewall que bloqueiam a porta TCP 111 ou as portas usadas pelos daemons statd ou nlockmgr. Para determinar quais portas os daemons statd e nlockmgr usam no cliente, verifique as configurações atuais da porta.

    Se as portas statd e nlockmgr não estiverem definidas e você achar que pode precisar configurar regras de firewall a qualquer momento, recomendamos definir as portas consistentemente em todas as instâncias de VM do cliente. Para mais informações, consulte Como definir portas de NFS.

Condições que exigem configuração de regra de saída de firewall

É necessário criar uma regra de saída de firewall para permitir o tráfego dos clientes para as instâncias do Filestore se:

  • a rede VPC que você usa tem uma regra de saída de firewall para os intervalos de endereços IP usados pelas instâncias do Filestore;
  • a regra de saída de firewall bloqueia o tráfego para as portas TCP 111, 2046, 2049, 2050 ou 4045.

Você pode obter o intervalo de endereços IP reservados para qualquer instância do Filestore da página de instâncias do Filestore ou executando gcloud filestore instances describe. Para mais informações, consulte como Receber informações sobre uma instância específica.

Para mais informações sobre regras de firewall da rede VPC, consulte Como usar regras de firewall.

Criar uma regra de entrada de firewall

Use o procedimento a seguir para criar uma regra de firewall e ativar o tráfego de instâncias do Filestore.

  1. Antes de começar, faça as seguintes verificações:

    Windows

    1. Confirme se o cliente tem permissão para se comunicar com a instância do Filestore e se o firewall local não está bloqueando as portas necessárias. Para abrir todas as portas NFS necessárias, execute o seguinte comando no PowerShell:

         '111','2046','2049','2050','4045' | % {
            C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
         }
      
    2. Verifique as configurações de porta atuais para determinar quais portas os daemons statd e nlockmgr usam no cliente. Anote-as para usar mais tarde.

    Linux

    Não há pré-requisitos para concluir esta tarefa.

    MacOS

    Não há pré-requisitos para concluir esta tarefa.

  2. Acesse a página Firewall no Console do Google Cloud.
    Acesse a página "Firewall"

  3. Clique em Criar regra de firewall.

  4. Digite um Nome para a regra do firewall. Este nome precisa ser exclusivo para o projeto.

  5. Especifique a Rede onde você quer implementar a regra de firewall.

  6. Especifique a Prioridade da regra.

    Caso essa regra não entre em conflito com outras, mantenha o padrão de 1000. Se uma regra de entrada atual tiver Ação na correspondência: Negar definida para o mesmo intervalo de endereços IP, protocolos e portas, defina uma prioridade mais baixa do que a regra de entrada atual.

  7. Escolha Entrada para Direção do tráfego.

  8. Escolha a opção Permitir para Ação se houver correspondência.

  9. Para Destinos, escolha uma destas opções:

    • Se você quiser permitir o tráfego para todos os clientes na rede a partir de instâncias do Filestore, escolha Todas as instâncias na rede.
    • Se você quiser permitir o tráfego para clientes específicos das instâncias do Filestore, escolha Tags de destino especificado. Digite os nomes das instâncias dos clientes nas Tags de destino.
  10. Mantenha o valor padrão de Intervalos de IP para Filtro de origem.

  11. Em Intervalos de IPs de origem, insira os intervalos de endereços IP das instâncias do Filestore que você quer permitir o acesso na notação CIDR. Insira os intervalos de endereços IP internos que você usa com suas instâncias do Filestore para ativar todo o tráfego do Filestore. Também é possível inserir os endereços IP das instâncias específicas do Filestore.

  12. Deixe o valor padrão Nenhum em Segundo filtro de origem.

  13. Em Protocolos e portas, escolha Protocolos e portas especificados e, em seguida:

    • Marque a caixa de seleção tcp e insira 111,STATDOPTS,nlm_tcpport no campo associado, em que:
      • STATDOPTS é a porta usada pelo daemon statd no cliente.
      • nlm_tcpport é a porta tcp usada pelo daemon nlockmgr no cliente.
    • Marque a caixa de seleção udp e insira o valor de nlm_udpport, que é a porta udp usada por nlockmgr. Essas especificações se aplicam apenas aos seguintes níveis de serviço:
      • Zonal
      • Regional
      • Enterprise
  14. Escolha Criar.

Criar uma regra de saída de firewall

Use o procedimento a seguir para criar uma regra de firewall para ativar o tráfego para instâncias do Filestore.

  1. Antes de começar, faça as seguintes verificações:

    Windows

    Confirme se o cliente tem permissão para se comunicar com a instância do Filestore e se o firewall local não está bloqueando as portas necessárias. Para abrir todas as portas NFS necessárias, execute o seguinte comando no PowerShell:

       '111','2046','2049','2050','4045' | % {
           C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
          }
    

    Linux

    Não há pré-requisitos para concluir esta tarefa.

    MacOS

    Não há pré-requisitos para concluir esta tarefa.

  2. Acesse a página Firewall no Console do Google Cloud.
    Acesse a página "Firewall"

  3. Clique em Criar regra de firewall.

  4. Digite um Nome para a regra do firewall. Este nome precisa ser exclusivo para o projeto.

  5. Especifique a Rede onde você quer implementar a regra de firewall.

  6. Especifique a Prioridade da regra.

    Caso essa regra não entre em conflito com outras, mantenha o padrão de 1000. Se uma regra de saída atual tiver Ação na correspondência: Negar definida para o mesmo intervalo de endereços IP, protocolos e portas, defina uma prioridade mais baixa do que a regra de entrada atual.

  7. Escolha Saída para Direção do tráfego.

  8. Escolha a opção Permitir para Ação se houver correspondência.

  9. Para Destinos, escolha uma destas opções:

    • Se você quiser permitir o tráfego de todos os clientes na rede para instâncias do Filestore, escolha Todas as instâncias na rede.
    • Se você quiser permitir o tráfego de clientes específicos para instâncias do Filestore, escolha Tags de destino especificadas. Digite os nomes das instâncias dos clientes nas Tags de destino.
  10. Em Intervalos de IPs de destino, insira os intervalos de endereços IP das instâncias do Filestore que você quer permitir o acesso na notação CIDR. Insira os intervalos de endereços IP internos que você usa com suas instâncias do Filestore para ativar o tráfego para todas as instâncias do Filestore. Também é possível inserir os endereços IP das instâncias específicas do Filestore.

  11. Em Protocolos e portas, escolha Protocolos e portas especificados. Em seguida, marque a caixa de seleção tcp e digite 111,2046,2049,2050,4045 no campo associado.

  12. Escolha Criar.

Verificar as portas do NFS

Recomendamos verificar se as portas NFS foram abertas corretamente. Para mais informações, consulte Configurar portas NFS em VMs cliente.

A seguir