Configura reglas de firewall

En esta página, se explica cuándo debes configurar las reglas de firewall para habilitar el bloqueo de archivos NFS.

Condiciones que requieren la configuración de reglas de entrada de firewall

Debes crear una regla de firewall de entrada para habilitar el tráfico desde las instancias de Filestore a tus clientes en los siguientes casos:

  • Está utilizando el bloqueo de archivos NFS en las aplicaciones que acceden a la instancia de Filestore.
  • La red de VPC que estás usando tiene reglas de firewall que bloquean el puerto TCP 111 o los puertos usados por los daemons statd o nlockmgr. Para determinar qué puertos usan los daemons statd y nlockmgr en el cliente, verifica la configuración de puerto actual.

    Si los puertos statd y nlockmgr no están configurados, y crees que puedes necesitar configurar las reglas del firewall en cualquier momento, te recomendamos configurar esos puertos de manera coherente en todas las instancias de VM del cliente. Para obtener más información, consulta Configura puertos NFS.

Condiciones que requieren la configuración de reglas de entrada de firewall

Debes crear una regla de salida de firewall para habilitar el tráfico de tus clientes a tus instancias de Filestore en los siguientes casos:

  • La red de VPC que estás usando tiene una regla de firewall de salida para los rangos de direcciones IP que usan tus instancias de Filestore.
  • La regla de salida de firewall bloquea el tráfico a los puertos TCP 111, 2046, 2049, 2050 o 4045.

Puede obtener el rango de direcciones IP reservado de cualquier instancia de Filestore desde la página de instancias de Filestore o ejecutando gcloud filestore instances describe. Para obtener más información, consulta Obtén información sobre una instancia específica.

Para obtener más información sobre las reglas de firewall de la red de VPC, consulta Usa reglas de firewall.

Crea una regla de firewall de entrada

Usa el siguiente procedimiento para crear una regla de firewall y habilitar el tráfico desde instancias de Filestore.

  1. Antes de comenzar, verifica lo siguiente:

    Windows

    1. Confirma que el cliente puede comunicarse con la instancia de Filestore y que el firewall local no esté bloqueando los puertos requeridos. Para abrir todos los puertos NFS necesarios, ejecuta el siguiente comando en PowerShell:

         '111','2046','2049','2050','4045' | % {
            C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
         }
      
    2. Verifica la configuración del puerto actual para determinar qué puertos usan los daemons statd y nlockmgr en el cliente. Anótalas para usarlas más adelante.

    Linux

    No hay requisitos previos para completar esta tarea.

    MacOS

    No hay requisitos previos para completar esta tarea.

  2. Ve a la página Firewall en la consola de Google Cloud.
    Ir a la página Firewall

  3. Haz clic en Crear regla de firewall.

  4. Ingresa un Nombre para la regla de firewall. Este nombre debe ser único para el proyecto.

  5. Especifica la Red en la que quieres implementar la regla de firewall.

  6. Especifica la Prioridad de la regla.

    Si esta regla no entra en conflicto con ninguna otra, puedes dejar 1000 como predeterminado. Si una regla de entrada existente tiene configurada la opción Action on match: Deny para el mismo rango de direcciones IP, protocolos y puertos, establece una prioridad más baja que la regla de entrada existente.

  7. Elige Ingreso para Dirección de tráfico.

  8. Elige Permitir para Acción en caso de coincidencia.

  9. Para Objetivos, realiza alguna de estas acciones:

    • Si deseas permitir el tráfico a todos los clientes de la red desde las instancias de Filestore, elige All instances in the network.
    • Si desea permitir el tráfico a clientes específicos desde instancias de Filestore, elija Etiquetas de destino especificadas. Escribe los nombres de las instancias de los clientes en Etiquetas de destino.
  10. Deja el valor predeterminado de los rangos de IP para Filtro de fuente.

  11. En Rangos de IP de origen, ingresa los rangos de direcciones IP de las instancias de Filestore desde las que deseas permitir el acceso en la notación CIDR. Puedes ingresar los rangos de direcciones IP internas que usas con tus instancias de Filestore para habilitar todo el tráfico de Filestore. También puedes ingresar las direcciones IP de instancias específicas de Filestore.

  12. Deja el valor predeterminado de Ninguno para Segundo filtro de fuente.

  13. En Protocolos y puertos, elige Protocolos y puertos especificados y, luego, haz lo siguiente:

    • Selecciona la casilla de verificación tcp y, luego, ingresa 111,STATDOPTS,nlm_tcpport en el campo asociado, donde:
      • STATDOPTS es el puerto que usa el daemon statd en el cliente.
      • nlm_tcpport es el puerto tcp que usa el daemon nlockmgr en el cliente.
    • Selecciona la casilla de verificación udp y, luego, ingresa el valor de nlm_udpport, que es el puerto udp que usa nlockmgr. Ten en cuenta que estas especificaciones se aplican solo a los siguientes niveles de servicio:
      • Zonal con un rango de capacidad menor
      • Zonal con un rango de capacidad más alto (anteriormente SSD de gran escala)
      • Enterprise
  14. Elige Crear.

Crea una regla de salida de firewall

Use el siguiente procedimiento para crear una regla de firewall para habilitar el tráfico a las instancias de Filestore.

  1. Antes de comenzar, verifica lo siguiente:

    Windows

    Confirma que el cliente puede comunicarse con la instancia de Filestore y que el firewall local no esté bloqueando los puertos requeridos. Para abrir todos los puertos NFS necesarios, ejecuta el siguiente comando en PowerShell:

       '111','2046','2049','2050','4045' | % {
           C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
          }
    

    Linux

    No hay requisitos previos para completar esta tarea.

    MacOS

    No hay requisitos previos para completar esta tarea.

  2. Ve a la página Firewall en la consola de Google Cloud.
    Ir a la página Firewall

  3. Haz clic en Crear regla de firewall.

  4. Ingresa un Nombre para la regla de firewall. Este nombre debe ser único para el proyecto.

  5. Especifica la Red en la que quieres implementar la regla de firewall.

  6. Especifica la Prioridad de la regla.

    Si esta regla no entra en conflicto con ninguna otra, puedes dejar 1000 como predeterminado. Si una regla de salida existente tiene configurada la opción Action on match: Deny para el mismo rango de direcciones IP, protocolos y puertos, establece una prioridad más baja que la regla de entrada existente.

  7. Elige Salida para Dirección de tráfico.

  8. Elige Permitir para Acción en caso de coincidencia.

  9. Para Objetivos, realiza alguna de estas acciones:

    • Si quieres permitir el tráfico de todos los clientes de la red a las instancias de Filestore, elige All instances in the network.
    • Si desea permitir el tráfico de clientes específicos a instancias de Filestore, elija Etiquetas de destino especificadas. Escribe los nombres de las instancias de los clientes en Etiquetas de destino.
  10. En Rangos de IP de destino, ingresa los rangos de direcciones IP de las instancias de Filestore a las que deseas permitir el acceso en notación CIDR. Puedes ingresar los rangos de direcciones IP internas que usas con tus instancias de Filestore para habilitar el tráfico a todas las instancias de Filestore. También puedes ingresar las direcciones IP de instancias específicas de Filestore.

  11. En Protocolos y puertos, elige Protocolos y puertos especificados. Luego, selecciona la casilla de verificación tcp e ingresa 111,2046,2049,2050,4045 en el campo asociado.

  12. Elige Crear.

Verifica puertos NFS

Recomendamos verificar si los puertos NFS se abrieron correctamente. Para obtener más información, consulta Configura puertos NFS en las VMs del cliente.

¿Qué sigue?