Firewallregeln konfigurieren

Auf dieser Seite wird erläutert, wann Sie Firewallregeln konfigurieren müssen, um die NFS-Dateisperrung zu aktivieren.

Wenn Sie das mit Ihrem Google Cloud(GCP)-Projekt gelieferte Standard-VPC-Netzwerk verwenden und keine Firewall-Regeln für dieses Netzwerk geändert oder hinzugefügt haben, müssen Sie keine Firewall-Regeln erstellen.

Bedingungen, die eine Firewallregel für eingehenden Traffic erfordern

In folgenden Fällen müssen Sie eine Firewallregel für eingehenden Traffic erstellen, um Traffic von Filestore-Instanzen zu Ihren Clients zu ermöglichen:

  • Sie verwenden die NFS-Dateisperre in den Anwendungen, die auf die Filestore-Instanz zugreifen.
  • Das von Ihnen verwendete VPC-Netzwerk hat Firewallregeln, die den TCP-Port 111 oder die von den Daemons statd und nlockmgr verwendeten Ports blockieren. Prüfen Sie die aktuellen Porteinstellungen, um festzustellen, welche Ports die Daemons statd und nlockmgr auf dem Client verwenden.

    Wenn die Ports statd und nlockmgr nicht festgelegt sind und Sie möglicherweise irgendwann Firewallregeln konfigurieren müssen, empfehlen wir dringend, diese Ports auf allen Client-VM-Instanzen konsistent festzulegen. Weitere Informationen finden Sie unter NFS-Ports einrichten.

Bedingungen, die die Konfiguration einer Firewallregel für ausgehenden Traffic erfordern

Wenn das von Ihnen verwendete VPC-Netzwerk über eine Firewall-Regel für ausgehenden Traffic verfügt, die Traffic zu den TCP-Ports 111, 2046, 2049, 2050 oder 4045 blockiert und auf die von Ihren Filestore-Instanzen verwendeten IP-Adressbereiche abzielt, müssen Sie auch eine Firewallregel für ausgehenden Traffic erstellen, um Traffic von Ihren Clients zu Ihren Filestore-Instanzen zu ermöglichen.

Sie können den reservierten IP-Adressbereich für jede Filestore-Instanz auf der Seite Filestore-Instanzen oder durch Ausführen von gcloud filestore instances describe abrufen. Weitere Informationen finden Sie unter Informationen zu einer bestimmten Instanz abrufen.

Weitere Informationen zu Firewallregeln für VPC-Netzwerke finden Sie unter Firewallregeln verwenden.

Firewallregel für eingehenden Traffic erstellen

Verwenden Sie das folgende Verfahren, um eine Firewallregel zu erstellen, um Traffic von Filestore-Instanzen zu ermöglichen.

  1. Prüfen Sie die aktuellen Porteinstellungen, um festzustellen, welche Ports die Deamons statd und nlockmgr auf dem Client verwenden. Notieren Sie sich diese Ports, sie werden in Schritt 13 benötigt.
  2. Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.
    Zur Seite "Firewall"
  3. Klicken Sie auf Firewallregel erstellen.
  4. Geben Sie einen Namen für die Firewallregel ein. Dieser Name muss für das Projekt eindeutig sein.
  5. Geben Sie das Netzwerk an, in dem Sie die Firewallregel implementieren möchten.
  6. Legen Sie die Priorität der Regel fest.

    Wenn diese Regel keine Konflikte mit anderen Regeln verursacht, können Sie den Standardwert 1000 beibehalten. Wenn es eine andere Regel für eingehenden Traffic gibt, die auf denselben IP-Adressbereich, dieselben Protokolle und dieselben Ports abzielt und für das Feld Aktion bei Übereinstimmung den Wert Verweigern hat, legen Sie die Priorität der neuen Regel für eingehenden Traffic auf einen niedrigeren Wert als die der bestehenden Regel fest, damit Google Cloud sie anwendet.

  7. Wählen Sie Eingang bei der Option Richtung des Traffics.

  8. Wählen Sie Zulassen bei Aktion bei Übereinstimmung.

  9. Führen Sie bei Ziele eine der folgenden Aktionen aus:

    • Wenn Sie Traffic von Filestore-Instanzen zu allen Clients im Netzwerk zulassen möchten, wählen Sie Alle Instanzen im Netzwerk aus.
    • Wenn Sie Traffic zu bestimmten Clients aus Filestore-Instanzen zulassen möchten, wählen Sie Angegebene Zieltags aus. Geben Sie die Instanznamen der Clients bei Zieltags ein.
  10. Behalten Sie den Standardwert für IP-Bereiche bei Quellfilter bei.

  11. Geben Sie bei Quell-IP-Bereiche die IP-Adressbereiche der Filestore-Instanzen ein, von denen Sie Zugriff gewähren möchten. Sie können die internen IP-Adressbereiche eingeben, die Sie für Ihre Filestore-Instanzen verwenden, um den gesamten Filestore-Traffic zu aktivieren, oder Sie können die IP-Adressen bestimmter Filestore-Instanzen eingeben. Sie müssen die CIDR-Schreibweise verwenden.

  12. Behalten Sie den Standardwert Keiner bei Zweiter Quellfilter bei.

  13. Wählen Sie Specified protocols and ports für Protokolle und Ports und dann:

    • Klicken Sie auf das Kästchen TCP und geben Sie im zugehörigen Feld 111,STATDOPTS,nlm_tcpport ein. Dabei gilt:
      • STATDOPTS ist der Port, der vom statd-Deamon auf dem Client verwendet wird.
      • nlm_tcpport ist der tcp-Port, der vom nlockmgr-Daemon auf dem Client verwendet wird.
    • (Nur High-Level-SSD) Aktivieren Sie das Kästchen udp und geben Sie den Wert von nlm_udpport ein. Dies ist der von nlockmgr verwendete Port udp.
  14. Wählen Sie Erstellen aus.

Firewallregel für ausgehenden Traffic erstellen

Verwenden Sie das folgende Verfahren, um eine Firewallregel zu erstellen, mit Traffic zu Filestore-Instanzen ermöglicht wird.

  1. Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.
    Zur Seite "Firewall"
  2. Klicken Sie auf Firewallregel erstellen.
  3. Geben Sie einen Namen für die Firewallregel ein. Dieser Name muss für das Projekt eindeutig sein.
  4. Geben Sie das Netzwerk an, in dem Sie die Firewallregel implementieren möchten.
  5. Legen Sie die Priorität der Regel fest.

    Wenn diese Regel keine Konflikte mit anderen Regeln verursacht, können Sie den Standardwert 1000 beibehalten. Wenn es eine andere Regel für ausgehenden Traffic gibt, die auf denselben IP-Adressbereich, dieselben Protokolle und dieselben Ports abzielt und für das Feld Aktion bei Übereinstimmung den Wert Verweigern hat, legen Sie die Priorität der neuen Regel für ausgehenden Traffic auf einen niedrigeren Wert als die der bestehenden Regel fest, damit Google Cloud sie anwendet.

  6. Wählen Sie Ausgang bei der Option Richtung des Traffics.

  7. Wählen Sie Zulassen bei Aktion bei Übereinstimmung.

  8. Führen Sie bei Ziele eine der folgenden Aktionen aus:

    • Wenn Sie Traffic von allen Clients im Netzwerk zu Filestore-Instanzen zulassen möchten, wählen Sie Alle Instanzen im Netzwerk aus.
    • Wenn Sie Traffic von bestimmten Clients zu Filestore-Instanzen zulassen möchten, wählen Sie Angegebene Zieltags aus. Geben Sie die Instanznamen der Clients bei Zieltags ein.
  9. Geben Sie für Ziel-IP-Bereiche die IP-Adressbereiche der Filestore-Instanzen ein, auf die Sie Zugriff gewähren möchten. Sie können die internen IP-Adressbereiche eingeben, die Sie mit Ihren Filestore-Instanzen verwenden, um Traffic zu allen Filestore-Instanzen zu aktivieren, oder Sie können die IP-Adressen bestimmter Filestore-Instanzen eingeben. Sie müssen die CIDR-Schreibweise verwenden.

  10. Wählen Sie für Protokolle und Ports die Option Angegebene Protokolle und Ports aus. Aktivieren Sie dann das Kästchen tcp und geben Sie 111,2046,2049,2050,4045 in das entsprechende Feld ein.

  11. Wählen Sie Erstellen aus.