Configurer les règles de pare-feu

Cette page explique quand configurer les règles de pare-feu pour activer le verrouillage de fichier NFS.

Si vous utilisez le réseau VPC par défaut fourni avec votre projet Google Cloud (GCP) et que vous n'avez pas modifié, ni ajouté de règles de pare-feu pour ce réseau, vous n'avez pas besoin d'en créer.

Conditions nécessitant une configuration de règle d'entrée de pare-feu

Vous devez créer une règle d'entrée de pare-feu pour activer le trafic des instances Filestore vers vos clients dans les cas suivants :

  • Vous utilisez le verrouillage de fichier NFS dans les applications qui accèdent à l'instance Cloud Filestore.
  • Le réseau VPC que vous utilisez comporte des règles de pare-feu qui bloquent le port TCP 111 ou les ports utilisés par les daemons statd ou nlockmgr. Pour déterminer les ports que les daemons statd et nlockmgr utilisent sur le client, vérifiez les paramètres de port actuels.

    Si les ports statd et nlockmgr ne sont pas définis et que vous pensez devoir configurer des règles de pare-feu à un moment donné, nous vous recommandons vivement de définir ces ports de manière cohérente sur toutes les instances de VM clientes. Pour en savoir plus, consultez la section Définir les ports NFS.

Conditions nécessitant une configuration de règle de sortie de pare-feu

Si le réseau VPC que vous utilisez possède une règle de sortie de pare-feu qui bloque le trafic vers les ports TCP 111, 2046, 2049, 2050 ou 4045 et cible les plages d'adresses IP utilisées par vos instances Filestore, vous devez également créer une règle de sortie de pare-feu pour activer le trafic de vos clients vers vos instances Filestore.

Vous pouvez obtenir la plage d'adresses IP réservée pour toute instance Filestore à partir de la page des instances Filestore ou en exécutant gcloud filestore instances describe. Pour en savoir plus, consultez la section Obtenir des informations sur une instance spécifique.

Pour plus d'informations sur les règles de pare-feu de réseau VPC, consultez la section Utiliser les règles de pare-feu.

Créer une règle d'entrée de pare-feu

Utilisez la procédure suivante pour créer une règle de pare-feu afin d'activer le trafic à partir des instances Filestore.

  1. Vérifiez les paramètres de port actuels pour déterminer les ports que les daemons statd et nlockmgr utilisent sur le client. Notez-les car vous les utiliserez à l'étape 13.
  2. Accédez à la page Pare-feu de Google Cloud Console.
    Accéder à la page "Pare-feu"
  3. Cliquez sur Créer une règle de pare-feu.
  4. Entrez un nom pour la règle de pare-feu. Ce nom doit être unique pour le projet.
  5. Spécifiez le réseau dans lequel vous souhaitez mettre en œuvre la règle de pare-feu.
  6. Spécifiez la priorité de la règle.

    Si cette règle n'entre en conflit avec aucune autre règle, vous pouvez conserver la valeur par défaut 1000. S'il existe une autre règle d'entrée qui cible la même plage d'adresses IP, les mêmes protocoles et les mêmes ports et a également une valeur Refuser pour le champ Action sur correspondance, définissez la priorité de la nouvelle règle d'entrée sur une valeur inférieure à celle de la règle d'entrée existante, afin que Google Cloud l'applique.

  7. Choisissez Entrée pour Direction du trafic.

  8. Choisissez Autoriser pour Action en cas de correspondance.

  9. Pour Cibles, effectuez l'une des actions suivantes :

    • Si vous souhaitez autoriser le trafic vers tous les clients du réseau à partir des instances Filestore, choisissez Toutes les instances du réseau.
    • Si vous souhaitez autoriser le trafic vers des clients spécifiques à partir d'instances Filestore, choisissez Tags cibles spécifiées. Saisissez les noms d'instance des clients dans Tags cibles.
  10. Conservez la valeur par défaut des plages d'adresses IP pour Filtre source.

  11. Pour Plages IP source, saisissez les plages d'adresses IP des instances Filestore dont vous souhaitez autoriser l'accès. Vous pouvez entrer les plages d'adresses IP internes que vous utilisez avec vos instances Filestore pour activer tout le trafic Filestore, ou entrer les adresses IP d'instances Filestore spécifiques. Vous devez utiliser le format CIDR.

  12. Conservez la valeur par défaut Aucun pour le Deuxième filtre source.

  13. Pour Protocoles et ports, sélectionnez Protocoles et ports spécifiés, puis procédez comme suit :

    • Cochez la case tcp et saisissez 111,STATDOPTS,nlm_tcpport dans le champ associé, où :
      • STATDOPTS est le port utilisé par le daemon statd sur le client.
      • nlm_tcpport est le port tcp utilisé par le daemon nlockmgr sur le client.
    • (SSD à grande échelle uniquement) Cochez la case udp et saisissez la valeur de nlm_udpport, qui correspond au port udp utilisé par nlockmgr.
  14. Choisissez Créer.

Créer une règle de sortie de pare-feu

Utilisez la procédure suivante pour créer une règle de pare-feu afin d'activer le trafic vers des instances Filestore.

  1. Accédez à la page Pare-feu de Google Cloud Console.
    Accéder à la page "Pare-feu"
  2. Cliquez sur Créer une règle de pare-feu.
  3. Entrez un nom pour la règle de pare-feu. Ce nom doit être unique pour le projet.
  4. Spécifiez le réseau dans lequel vous souhaitez mettre en œuvre la règle de pare-feu.
  5. Spécifiez la priorité de la règle.

    Si cette règle n'entre en conflit avec aucune autre règle, vous pouvez conserver la valeur par défaut 1000. S'il existe une autre règle de sortie qui cible la même plage d'adresses IP, les mêmes protocoles et les mêmes ports, et a également une valeur Refuser pour le champ Action sur correspondance, définissez la priorité de la nouvelle règle de sortie sur une valeur inférieure à celle de la règle de sortie existante, afin que Google Cloud l'applique.

  6. Choisissez Sortie pour Direction du trafic.

  7. Choisissez Autoriser pour Action en cas de correspondance.

  8. Pour Cibles, effectuez l'une des actions suivantes :

    • Si vous souhaitez autoriser le trafic depuis tous les clients du réseau vers des instances Filestore, choisissez Toutes les instances du réseau.
    • Si vous souhaitez autoriser le trafic de clients spécifiques vers des instances Filestore, choisissez Tags cibles spécifiés. Saisissez les noms d'instance des clients dans Tags cibles.
  9. Pour Plages d'adresses IP de destination, saisissez les plages d'adresses IP des instances Filestore auxquelles vous souhaitez autoriser l'accès. Vous pouvez entrer les plages d'adresses IP internes que vous utilisez avec vos instances Filestore pour activer le trafic vers toutes les instances Filestore, ou entrer les adresses IP d'instances Filestore spécifiques. Vous devez utiliser le format CIDR.

  10. Pour Protocoles et ports, sélectionnez Protocoles et ports spécifiés. Ensuite, cochez la case tcp et saisissez 111,2046,2049,2050,4045 dans le champ associé.

  11. Choisissez Créer.