Firewallregeln konfigurieren

Auf dieser Seite wird erläutert, wann Sie Firewallregeln konfigurieren müssen, um die NFS-Dateisperre zu aktivieren.

Wenn Sie das VPC-Standardnetzwerk Ihres Projekts mit unveränderten Firewallregeln verwenden, müssen Sie keine Firewallregeln erstellen.

Bedingungen, die eine Firewallregel für eingehenden Traffic erfordern

Sie müssen eine Firewallregel für eingehenden Traffic erstellen, um Traffic von Filestore-Instanzen zu Ihren Clients zu ermöglichen, wenn:

  • Sie verwenden die NFS-Dateisperre in den Anwendungen, die auf die Filestore-Instanz zugreifen.
  • Das von Ihnen verwendete VPC-Netzwerk hat Firewallregeln, die den TCP-Port 111 oder die von den Daemons statd und nlockmgr verwendeten Ports blockieren. Überprüfen Sie die aktuellen Porteinstellungen, um zu ermitteln, welche Ports die Daemons statd und nlockmgr auf dem Client verwenden.

    Wenn die Ports statd und nlockmgr nicht festgelegt sind und Sie möglicherweise irgendwann Firewallregeln konfigurieren müssen, empfehlen wir dringend, diese Ports auf allen Client-VM-Instanzen konsistent festzulegen. Weitere Informationen finden Sie unter NFS-Ports einrichten.

Bedingungen, die die Konfiguration einer Firewallregel für ausgehenden Traffic erfordern

Sie müssen eine Firewallregel für ausgehenden Traffic erstellen, um Traffic von Ihren Clients zu Ihren Filestore-Instanzen zuzulassen:

  • Das von Ihnen verwendete VPC-Netzwerk hat eine Firewallregel für ausgehenden Traffic für die IP-Adressbereiche, die von Ihren Filestore-Instanzen verwendet werden.
  • Die Firewallregel für ausgehenden Traffic blockiert den Traffic zu den TCP-Ports 111, 2046, 2049, 2050 oder 4045.

Sie können den reservierten IP-Adressbereich für jede Filestore-Instanz auf der Seite Filestore-Instanzen oder durch Ausführen von gcloud filestore instances describe abrufen. Weitere Informationen finden Sie unter Informationen zu einer bestimmten Instanz abrufen.

Weitere Informationen zu Firewallregeln für VPC-Netzwerke finden Sie unter Firewallregeln verwenden.

Firewallregel für eingehenden Traffic erstellen

Verwenden Sie das folgende Verfahren, um eine Firewallregel zu erstellen, um Traffic von Filestore-Instanzen zu ermöglichen.

  1. Prüfen Sie die aktuellen Porteinstellungen, um zu ermitteln, welche Ports die Daemons statd und nlockmgr auf dem Client verwenden. Notieren Sie sie für die spätere Verwendung.
  2. Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.
    Zur Seite "Firewall"
  3. Klicken Sie auf Firewallregel erstellen.
  4. Geben Sie einen Namen für die Firewallregel ein. Dieser Name muss für das Projekt eindeutig sein.
  5. Geben Sie das Netzwerk an, in dem Sie die Firewallregel implementieren möchten.
  6. Legen Sie die Priorität der Regel fest.

    Wenn diese Regel nicht mit anderen Regeln in Konflikt steht, können Sie den Standardwert 1000 beibehalten. Wenn für eine vorhandene Regel für eingehenden Traffic Aktion bei Übereinstimmung: Ablehnen für denselben IP-Adressbereich, Protokolle und Ports festgelegt ist, legen Sie eine niedrigere Priorität als die vorhandene Eingangsregel fest.

  7. Wählen Sie Eingehend als Traffic-Richtung aus.

  8. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.

  9. Führen Sie bei Ziele eine der folgenden Aktionen aus:

    • Wenn Sie Traffic von Filestore-Instanzen zu allen Clients im Netzwerk zulassen möchten, wählen Sie Alle Instanzen im Netzwerk aus.
    • Wenn Sie Traffic zu bestimmten Clients aus Filestore-Instanzen zulassen möchten, wählen Sie Angegebene Zieltags aus. Geben Sie die Instanznamen der Clients bei Zieltags ein.
  10. Behalten Sie für Quellfilter den Standardwert IP-Bereiche bei.

  11. Geben Sie als Quell-IP-Bereiche die IP-Adressbereiche der Filestore-Instanzen ein, aus denen Sie Zugriff in CIDR-Notation zulassen möchten. Sie können die internen IP-Adressbereiche eingeben, die Sie mit Ihren Filestore-Instanzen verwenden, um den gesamten Filestore-Traffic zu aktivieren. Sie können auch die IP-Adressen bestimmter Filestore-Instanzen eingeben.

  12. Behalten Sie den Standardwert Keine für Zweiter Quellfilter bei.

  13. Wählen Sie unter Protokolle und Ports die Option Angegebene Protokolle und Ports aus und gehen Sie dann so vor:

    • Klicken Sie das Kästchen tcp an und geben Sie 111,STATDOPTS,nlm_tcpport in das zugehörige Feld ein. Dabei gilt:
      • STATDOPTS ist der Port, der vom statd-Deamon auf dem Client verwendet wird.
      • nlm_tcpport ist der tcp-Port, der vom nlockmgr-Daemon auf dem Client verwendet wird.
    • (Hochskalierte SSD Wählen Sieudp und klicken Sie auf nlm_udpport einrichten. Das ist dieudp Port verwendet vonnlockmgr auf Ihrem Mobilgerät.
  14. Wählen Sie Erstellen aus.

Firewallregel für ausgehenden Traffic erstellen

Verwenden Sie das folgende Verfahren, um eine Firewallregel zu erstellen, mit Traffic zu Filestore-Instanzen ermöglicht wird.

  1. Rufen Sie in der Google Cloud Console die Seite Firewallregeln auf.
    Zur Seite "Firewall"
  2. Klicken Sie auf Firewallregel erstellen.
  3. Geben Sie einen Namen für die Firewallregel ein. Dieser Name muss für das Projekt eindeutig sein.
  4. Geben Sie das Netzwerk an, in dem Sie die Firewallregel implementieren möchten.
  5. Legen Sie die Priorität der Regel fest.

    Wenn diese Regel nicht mit anderen Regeln in Konflikt steht, können Sie den Standardwert 1000 beibehalten. Wenn für eine vorhandene Regel für ausgehenden Traffic Aktion bei Übereinstimmung: Ablehnen für denselben IP-Adressbereich, Protokolle und Ports festgelegt ist, wird eine niedrigere Priorität als die vorhandene Regel für eingehenden Traffic festgelegt.

  6. Wählen Sie Ausgehend für Traffic-Richtung aus.

  7. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.

  8. Führen Sie bei Ziele eine der folgenden Aktionen aus:

    • Wenn Sie Traffic von allen Clients im Netzwerk zu Filestore-Instanzen zulassen möchten, wählen Sie Alle Instanzen im Netzwerk aus.
    • Wenn Sie Traffic von bestimmten Clients zu Filestore-Instanzen zulassen möchten, wählen Sie Angegebene Zieltags aus. Geben Sie die Instanznamen der Clients bei Zieltags ein.
  9. Geben Sie als Ziel-IP-Bereiche die IP-Adressbereiche der Filestore-Instanzen ein, denen Sie in CIDR-Notation Zugriff gewähren möchten. Sie können die internen IP-Adressbereiche eingeben, die Sie mit Ihren Filestore-Instanzen verwenden, um Traffic zu allen Filestore-Instanzen zu ermöglichen. Sie können auch die IP-Adressen bestimmter Filestore-Instanzen eingeben.

  10. Wählen Sie für Protokolle und Ports die Option Angegebene Protokolle und Ports aus. Klicken Sie dann auf das Kästchen tcp und geben Sie 111,2046,2049,2050,4045 in das zugehörige Feld ein.

  11. Wählen Sie Erstellen aus.