En esta página, se explica cuándo necesitas configurar las reglas de firewall para habilitar el bloqueo de archivos NFS.
Si estás usando la red de VPC predeterminada que viene con su proyecto de Google Cloud (GCP) y no cambiaste ni agregaste ninguna regla de firewall para esa red, entonces no necesitas crear ninguna regla de firewall.
Condiciones que requieren la configuración de reglas de entrada de firewall
Debes crear una regla de entrada de firewall para habilitar el tráfico de las instancias de Filestore a sus clientes si:
- Está utilizando el bloqueo de archivos NFS en las aplicaciones que acceden a la instancia de Filestore.
La red de VPC que estás usando tiene reglas de firewall que bloquean el puerto TCP 111 o los puertos usados por los daemons
statd
onlockmgr
. Para determinar qué puertos usan los daemonsstatd
ynlockmgr
en el cliente, verifica la configuración de puerto actual.Si los puertos
statd
ynlockmgr
no están configurados, y crees que puedes necesitar configurar las reglas del firewall en cualquier momento, te recomendamos configurar esos puertos de manera coherente en todas las instancias de VM del cliente. Para obtener más información, consulta Configura puertos NFS.
Condiciones que requieren la configuración de reglas de salida de firewall
Si la red de VPC que estás usando tiene una regla de salida de firewall que bloquea el tráfico a los puertos TCP 111, 2046, 2049, 2050 o 4045, y apunta a los rangos de direcciones IP utilizados por las instancias de Filestore, entonces también necesitas crear una regla de salida de firewall para habilitar el tráfico de sus clientes a sus instancias de Filestore.
Puede obtener el rango de direcciones IP reservado de cualquier instancia de Filestore desde la página de instancias de Filestore o ejecutando gcloud filestore instances describe
. Para obtener más información, consulta Obtén información sobre una instancia específica.
Para obtener más información sobre las reglas de firewall de la red de VPC, consulta Usa reglas de firewall.
Crea una regla de firewall de entrada
Use el siguiente procedimiento para crear una regla de firewall para habilitar el tráfico de las instancias de Filestore.
- Verifique la configuración de puerto actual para determinar qué puertos utilizan los daemons
statd
ynlockmgr
en el cliente. Anótalos, los usarás en el paso 13. - Ve a la página de Firewall en Google Cloud Console.
Ir a la página de Firewall - Haz clic en Crear regla de firewall.
- Ingresa un Nombre para la regla de firewall. Este nombre debe ser único para el proyecto.
- Especifica la Red en la que quieres implementar la regla de firewall.
Especifica la Prioridad de la regla.
Si esta regla no va a entrar en conflicto con ninguna otra, puedes dejar
1000
como predeterminado. Si hay otra regla de entrada que se dirige al mismo rango de direcciones IP, protocolos y puertos, y también tiene un valor de Denegar para el campo Acción en la coincidencia, configura la prioridad de la nueva regla de entrada como un valor inferior al de la regla de entrada existente, de modo que Google Cloud la aplique.Elige Ingreso para Dirección de tráfico.
Elige Permitir para Acción en caso de coincidencia.
Para Objetivos, realiza alguna de estas acciones:
- Si desea permitir el tráfico a todos los clientes en la red desde las instancias de Filestore, elija Todas las instancias en la red .
- Si desea permitir el tráfico a clientes específicos desde instancias de Filestore, elija Etiquetas de destino especificadas. Ingresa los nombres de las instancias de los clientes en Etiquetas de destino.
Deja el valor predeterminado de los rangos de IP para Filtro de fuente.
En Rangos de IP de origen, escriba los rangos de direcciones IP de las instancias de Filestore desde las que desea permitir el acceso. Puede ingresar los rangos de direcciones IP internas que está utilizando con sus instancias de Filestore para habilitar todo el tráfico de Filestore, o puede ingresar las direcciones IP de instancias de Filestore específicas. Debes usar la notación CIDR.
Deja el valor predeterminado de Ninguno para Segundo filtro de fuente.
En Protocolos y puertos, elige Specified protocols and ports y, luego, haz lo siguiente:
- Selecciona la casilla de verificación tcp e ingresa
111,STATDOPTS,nlm_tcpport
en el campo asociado, en el que:- STATDOPTS es el puerto utilizado por el daemon
statd
en el cliente. - nlm_tcpport es el puerto
tcp
usado por el daemonnlockmgr
en el cliente.
- STATDOPTS es el puerto utilizado por el daemon
- (SSD de escala masiva únicamente) Selecciona la udp y, luego, ingresa el valor de
nlm_udpport
, que es eludp
puerto usado pornlockmgr
.
- Selecciona la casilla de verificación tcp e ingresa
Elige Crear.
Crea una regla de firewall de salida
Use el siguiente procedimiento para crear una regla de firewall para habilitar el tráfico a las instancias de Filestore.
- Ve a la página de Firewall en Google Cloud Console.
Ir a la página de Firewall - Haz clic en Crear regla de firewall.
- Ingresa un Nombre para la regla de firewall. Este nombre debe ser único para el proyecto.
- Especifica la Red en la que quieres implementar la regla de firewall.
Especifica la Prioridad de la regla.
Si esta regla no va a entrar en conflicto con ninguna otra, puedes dejar
1000
como predeterminado. Si hay otra regla de salida que se dirige al mismo rango de direcciones IP, protocolos y puertos, y también tiene un valor de Denegar para el campo Acción en coincidencia, establece la prioridad de la nueva regla de salida como un valor inferior al de la regla de salida existente, para que Google Cloud la aplique.Elige Salida para Dirección de tráfico.
Elige Permitir para Acción en caso de coincidencia.
Para Objetivos, realiza alguna de estas acciones:
- Si desea permitir el tráfico de todos los clientes en la red a las instancias de Filestore, elija Todas las instancias en la red .
- Si desea permitir el tráfico de clientes específicos a instancias de Filestore, elija Etiquetas de destino especificadas. Escribe los nombres de las instancias de los clientes en Etiquetas de destino.
Para Rangos de IP de destino, escriba los rangos de direcciones IP de las instancias de Filestore a las que desea permitir el acceso. Puede ingresar los rangos de direcciones IP internas que está utilizando con sus instancias de Filestore para habilitar el tráfico a todas las instancias de Filestore, o puede ingresar las direcciones IP de instancias específicas de Filestore. Debes usar la notación CIDR.
En Protocolos y puertos, elige Protocolos y puertos especificados. Luego, selecciona la casilla de verificación tcp e ingresa
111,2046,2049,2050,4045
en el campo asociado.Elige Crear.