Firewallregeln konfigurieren

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite wird erläutert, wann Sie Firewallregeln konfigurieren müssen, um die NFS-Dateisperrung zu aktivieren.

Wenn Sie das mit Ihrem Projekt gelieferte Standard-VPC-Netzwerk mit unveränderten Firewallregeln verwenden, müssen Sie keine Firewallregeln erstellen.

Bedingungen, die eine Firewallregel für eingehenden Traffic erfordern

In folgenden Fällen müssen Sie eine Firewallregel für eingehenden Traffic erstellen, um Traffic von Filestore-Instanzen zu Ihren Clients zu ermöglichen:

  • Sie verwenden die NFS-Dateisperre in den Anwendungen, die auf die Filestore-Instanz zugreifen.
  • Das von Ihnen verwendete VPC-Netzwerk hat Firewallregeln, die den TCP-Port 111 oder die von den Daemons statd und nlockmgr verwendeten Ports blockieren. Prüfen Sie die aktuellen Porteinstellungen, um festzustellen, welche Ports die Daemons statd und nlockmgr auf dem Client verwenden.

    Wenn die Ports statd und nlockmgr nicht festgelegt sind und Sie möglicherweise irgendwann Firewallregeln konfigurieren müssen, empfehlen wir dringend, diese Ports auf allen Client-VM-Instanzen konsistent festzulegen. Weitere Informationen finden Sie unter NFS-Ports einrichten.

Bedingungen, die die Konfiguration einer Firewallregel für ausgehenden Traffic erfordern

In folgenden Fällen müssen Sie eine Firewallregel für ausgehenden Traffic erstellen, um Traffic von Ihren Clients zu Ihren Filestore-Instanzen zu ermöglichen:

  • Das von Ihnen verwendete VPC-Netzwerk hat eine Firewallregel für ausgehenden Traffic für die IP-Adressbereiche, die von Ihren Filestore-Instanzen verwendet werden.
  • Die Firewallregel für ausgehenden Traffic blockiert den Traffic zu den TCP-Ports 111, 2046, 2049, 2050 oder 4045.

Sie können den reservierten IP-Adressbereich für jede Filestore-Instanz auf der Seite Filestore-Instanzen oder durch Ausführen von gcloud filestore instances describe abrufen. Weitere Informationen finden Sie unter Informationen zu einer bestimmten Instanz abrufen.

Weitere Informationen zu Firewallregeln für VPC-Netzwerke finden Sie unter Firewallregeln verwenden.

Firewallregel für eingehenden Traffic erstellen

Verwenden Sie das folgende Verfahren, um eine Firewallregel zu erstellen, um Traffic von Filestore-Instanzen zu ermöglichen.

  1. Wenn die Client-VM ausgeführt wird, prüfen Sie, ob der Client mit der Filestore-Instanz kommunizieren darf und ob die lokale Firewall die erforderlichen Ports nicht blockiert. Führen Sie den folgenden Befehl in PowerShell aus, um alle erforderlichen NFS-Ports zu öffnen:

       '111','2046','2049','2050','4045' | % {
           C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
       }
    
  2. Prüfen Sie die aktuellen Porteinstellungen, um festzustellen, welche Ports die Deamons statd und nlockmgr auf dem Client verwenden. Notieren Sie sie zur späteren Verwendung.

  3. Rufen Sie in der Google Cloud Console die Seite Firewall auf.
    Zur Seite "Firewall"

  4. Klicken Sie auf Firewallregel erstellen.

  5. Geben Sie einen Namen für die Firewallregel ein. Dieser Name muss für das Projekt eindeutig sein.

  6. Geben Sie das Netzwerk an, in dem Sie die Firewallregel implementieren möchten.

  7. Legen Sie die Priorität der Regel fest.

    Wenn diese Regel keine Konflikte mit anderen Regeln verursacht, können Sie den Standardwert 1000 beibehalten. Wenn für eine vorhandene Regel für eingehenden Traffic Aktion bei Übereinstimmung: Ablehnen für denselben IP-Adressbereich, dieselben Protokolle und Ports festgelegt ist, legen Sie eine niedrigere Priorität als bei der vorhandenen Regel für eingehenden Traffic fest.

  8. Wählen Sie Eingang bei der Option Richtung des Traffics.

  9. Wählen Sie Zulassen bei Aktion bei Übereinstimmung.

  10. Führen Sie bei Ziele eine der folgenden Aktionen aus:

    • Wenn Sie Traffic von Filestore-Instanzen zu allen Clients im Netzwerk zulassen möchten, wählen Sie Alle Instanzen im Netzwerk aus.
    • Wenn Sie Traffic zu bestimmten Clients aus Filestore-Instanzen zulassen möchten, wählen Sie Angegebene Zieltags aus. Geben Sie die Instanznamen der Clients bei Zieltags ein.
  11. Behalten Sie den Standardwert für IP-Bereiche bei Quellfilter bei.

  12. Geben Sie bei Quell-IP-Bereiche in CIDR-Notation die IP-Adressbereiche der Filestore-Instanzen ein, von denen Sie Zugriff zulassen möchten. Sie können die internen IP-Adressbereiche eingeben, die Sie mit Ihren Filestore-Instanzen verwenden, um den gesamten Filestore-Traffic zu ermöglichen. Sie können auch die IP-Adressen bestimmter Filestore-Instanzen eingeben.

  13. Behalten Sie den Standardwert Keiner bei Zweiter Quellfilter bei.

  14. Wählen Sie Specified protocols and ports für Protokolle und Ports und dann:

    • Klicken Sie auf das Kästchen tcp und geben Sie 111,STATDOPTS,nlm_tcpport in das zugehörige Feld ein, wobei Folgendes zutrifft:
      • STATDOPTS ist der Port, der vom statd-Deamon auf dem Client verwendet wird.
      • nlm_tcpport ist der tcp-Port, der vom nlockmgr-Daemon auf dem Client verwendet wird.
    • (Nur High Scale SSD) Aktivieren Sie das Kästchen udp und geben Sie den Wert von nlm_udpport ein. Dies ist der von nlockmgr verwendete Port udp.
  15. Wählen Sie Erstellen aus.

Firewallregel für ausgehenden Traffic erstellen

Verwenden Sie das folgende Verfahren, um eine Firewallregel zu erstellen, mit Traffic zu Filestore-Instanzen ermöglicht wird.

  1. Wenn die Client-VM ausgeführt wird, prüfen Sie, ob der Client mit der Filestore-Instanz kommunizieren darf und ob die lokale Firewall die erforderlichen Ports nicht blockiert. Führen Sie den folgenden Befehl in PowerShell aus, um alle erforderlichen NFS-Ports zu öffnen:

       '111','2046','2049','2050','4045' | % {
           C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
       }
    
  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.
    Zur Seite "Firewall"
  2. Klicken Sie auf Firewallregel erstellen.
  3. Geben Sie einen Namen für die Firewallregel ein. Dieser Name muss für das Projekt eindeutig sein.
  4. Geben Sie das Netzwerk an, in dem Sie die Firewallregel implementieren möchten.
  5. Legen Sie die Priorität der Regel fest.

    Wenn diese Regel keine Konflikte mit anderen Regeln verursacht, können Sie den Standardwert 1000 beibehalten. Wenn für eine vorhandene Regel für ausgehenden Traffic Aktion bei Übereinstimmung: Ablehnen für denselben IP-Adressbereich, dieselben Protokolle und Ports festgelegt ist, legen Sie eine niedrigere Priorität als bei der vorhandenen Regel für eingehenden Traffic fest.

  6. Wählen Sie Ausgang bei der Option Richtung des Traffics.

  7. Wählen Sie Zulassen bei Aktion bei Übereinstimmung.

  8. Führen Sie bei Ziele eine der folgenden Aktionen aus:

    • Wenn Sie Traffic von allen Clients im Netzwerk zu Filestore-Instanzen zulassen möchten, wählen Sie Alle Instanzen im Netzwerk aus.
    • Wenn Sie Traffic von bestimmten Clients zu Filestore-Instanzen zulassen möchten, wählen Sie Angegebene Zieltags aus. Geben Sie die Instanznamen der Clients bei Zieltags ein.
  9. Geben Sie für Ziel-IP-Bereiche in CIDR-Notation die IP-Adressbereiche der Filestore-Instanzen ein, auf die Sie zugreifen lassen möchten. Sie können die internen IP-Adressbereiche eingeben, die Sie mit Ihren Filestore-Instanzen verwenden, um Traffic zu allen Filestore-Instanzen zu aktivieren. Sie können auch die IP-Adressen bestimmter Filestore-Instanzen eingeben.

  10. Wählen Sie für Protokolle und Ports die Option Angegebene Protokolle und Ports aus. Aktivieren Sie dann das Kästchen tcp und geben Sie 111,2046,2049,2050,4045 in das entsprechende Feld ein.

  11. Wählen Sie Erstellen aus.