Configura las reglas de firewall

En esta página, se explica cuándo necesitas configurar las reglas de firewall para habilitar el bloqueo de archivos NFS.

Si estás usando la red de VPC predeterminada que viene con su proyecto de Google Cloud (GCP) y no cambiaste ni agregaste ninguna regla de firewall para esa red, entonces no necesitas crear ninguna regla de firewall.

Condiciones que requieren la configuración de reglas de entrada de firewall

Debes crear una regla de entrada de firewall para habilitar el tráfico de las instancias de Filestore a sus clientes si:

  • Está utilizando el bloqueo de archivos NFS en las aplicaciones que acceden a la instancia de Filestore.
  • La red de VPC que estás usando tiene reglas de firewall que bloquean el puerto TCP 111 o los puertos usados por los daemons statd o nlockmgr. Para determinar qué puertos usan los daemons statd y nlockmgr en el cliente, verifica la configuración de puerto actual.

    Si los puertos statd y nlockmgr no están configurados, y crees que puedes necesitar configurar las reglas del firewall en cualquier momento, te recomendamos configurar esos puertos de manera coherente en todas las instancias de VM del cliente. Para obtener más información, consulta Configura puertos NFS.

Condiciones que requieren la configuración de reglas de salida de firewall

Si la red de VPC que estás usando tiene una regla de salida de firewall que bloquea el tráfico a los puertos TCP 111, 2046, 2049, 2050 o 4045, y apunta a los rangos de direcciones IP utilizados por las instancias de Filestore, entonces también necesitas crear una regla de salida de firewall para habilitar el tráfico de sus clientes a sus instancias de Filestore.

Puede obtener el rango de direcciones IP reservado de cualquier instancia de Filestore desde la página de instancias de Filestore o ejecutando gcloud filestore instances describe. Para obtener más información, consulta Obtén información sobre una instancia específica.

Para obtener más información sobre las reglas de firewall de la red de VPC, consulta Usa reglas de firewall.

Crea una regla de firewall de entrada

Use el siguiente procedimiento para crear una regla de firewall para habilitar el tráfico de las instancias de Filestore.

  1. Verifique la configuración de puerto actual para determinar qué puertos utilizan los daemons statd y nlockmgr en el cliente. Anótalos, los usarás en el paso 13.
  2. Ve a la página de Firewall en Google Cloud Console.
    Ir a la página de Firewall
  3. Haz clic en Crear regla de firewall.
  4. Ingresa un Nombre para la regla de firewall. Este nombre debe ser único para el proyecto.
  5. Especifica la Red en la que quieres implementar la regla de firewall.
  6. Especifica la Prioridad de la regla.

    Si esta regla no va a entrar en conflicto con ninguna otra, puedes dejar 1000 como predeterminado. Si hay otra regla de entrada que se dirige al mismo rango de direcciones IP, protocolos y puertos, y también tiene un valor de Denegar para el campo Acción en la coincidencia, configura la prioridad de la nueva regla de entrada como un valor inferior al de la regla de entrada existente, de modo que Google Cloud la aplique.

  7. Elige Ingreso para Dirección de tráfico.

  8. Elige Permitir para Acción en caso de coincidencia.

  9. Para Objetivos, realiza alguna de estas acciones:

    • Si desea permitir el tráfico a todos los clientes en la red desde las instancias de Filestore, elija Todas las instancias en la red .
    • Si desea permitir el tráfico a clientes específicos desde instancias de Filestore, elija Etiquetas de destino especificadas. Ingresa los nombres de las instancias de los clientes en Etiquetas de destino.
  10. Deja el valor predeterminado de los rangos de IP para Filtro de fuente.

  11. En Rangos de IP de origen, escriba los rangos de direcciones IP de las instancias de Filestore desde las que desea permitir el acceso. Puede ingresar los rangos de direcciones IP internas que está utilizando con sus instancias de Filestore para habilitar todo el tráfico de Filestore, o puede ingresar las direcciones IP de instancias de Filestore específicas. Debes usar la notación CIDR.

  12. Deja el valor predeterminado de Ninguno para Segundo filtro de fuente.

  13. En Protocolos y puertos, elige Specified protocols and ports y, luego, haz lo siguiente:

    • Selecciona la casilla de verificación tcp e ingresa 111,STATDOPTS,nlm_tcpport en el campo asociado, en el que:
      • STATDOPTS es el puerto utilizado por el daemon statd en el cliente.
      • nlm_tcpport es el puerto tcp usado por el daemon nlockmgr en el cliente.
    • (SSD de escala masiva únicamente) Selecciona la udp y, luego, ingresa el valor de nlm_udpport , que es el udp puerto usado por nlockmgr.
  14. Elige Crear.

Crea una regla de firewall de salida

Use el siguiente procedimiento para crear una regla de firewall para habilitar el tráfico a las instancias de Filestore.

  1. Ve a la página de Firewall en Google Cloud Console.
    Ir a la página de Firewall
  2. Haz clic en Crear regla de firewall.
  3. Ingresa un Nombre para la regla de firewall. Este nombre debe ser único para el proyecto.
  4. Especifica la Red en la que quieres implementar la regla de firewall.
  5. Especifica la Prioridad de la regla.

    Si esta regla no va a entrar en conflicto con ninguna otra, puedes dejar 1000 como predeterminado. Si hay otra regla de salida que se dirige al mismo rango de direcciones IP, protocolos y puertos, y también tiene un valor de Denegar para el campo Acción en coincidencia, establece la prioridad de la nueva regla de salida como un valor inferior al de la regla de salida existente, para que Google Cloud la aplique.

  6. Elige Salida para Dirección de tráfico.

  7. Elige Permitir para Acción en caso de coincidencia.

  8. Para Objetivos, realiza alguna de estas acciones:

    • Si desea permitir el tráfico de todos los clientes en la red a las instancias de Filestore, elija Todas las instancias en la red .
    • Si desea permitir el tráfico de clientes específicos a instancias de Filestore, elija Etiquetas de destino especificadas. Escribe los nombres de las instancias de los clientes en Etiquetas de destino.
  9. Para Rangos de IP de destino, escriba los rangos de direcciones IP de las instancias de Filestore a las que desea permitir el acceso. Puede ingresar los rangos de direcciones IP internas que está utilizando con sus instancias de Filestore para habilitar el tráfico a todas las instancias de Filestore, o puede ingresar las direcciones IP de instancias específicas de Filestore. Debes usar la notación CIDR.

  10. En Protocolos y puertos, elige Protocolos y puertos especificados. Luego, selecciona la casilla de verificación tcp e ingresa 111,2046,2049,2050,4045 en el campo asociado.

  11. Elige Crear.