Configurer les règles de pare-feu

Cette page explique quand vous devez configurer des règles de pare-feu pour activer le verrouillage de fichiers NFS.

Si vous utilisez le réseau VPC par défaut fourni avec votre projet et des règles de pare-feu non modifiées, vous n'avez pas besoin de créer de règles de pare-feu.

Conditions nécessitant une configuration de la règle d'entrée de pare-feu

Vous devez créer une règle d'entrée de pare-feu pour autoriser le trafic provenant des instances Filestore vers vos clients dans les cas suivants:

  • Vous utilisez le verrouillage de fichier NFS dans les applications qui accèdent à l'instance Cloud Filestore.
  • Le réseau VPC que vous utilisez comporte des règles de pare-feu qui bloquent le port TCP 111 ou les ports utilisés par les daemons statd ou nlockmgr. Pour déterminer les ports utilisés par les daemons statd et nlockmgr sur le client, vérifiez les paramètres de port actuels.

    Si les ports statd et nlockmgr ne sont pas définis et que vous pensez devoir configurer des règles de pare-feu à un moment donné, nous vous recommandons vivement de définir ces ports de manière cohérente sur toutes les instances de VM clientes. Pour en savoir plus, consultez la section Définir les ports NFS.

Conditions nécessitant une configuration de la règle de sortie de pare-feu

Vous devez créer une règle de sortie de pare-feu pour autoriser le trafic de vos clients vers vos instances Filestore si:

  • Le réseau VPC que vous utilisez possède une règle de sortie de pare-feu pour les plages d'adresses IP utilisées par vos instances Filestore.
  • La règle de sortie de pare-feu bloque le trafic vers les ports TCP 111, 2046, 2049, 2050 ou 4045.

Vous pouvez obtenir la plage d'adresses IP réservée pour toute instance Filestore à partir de la page des instances Filestore ou en exécutant gcloud filestore instances describe. Pour en savoir plus, consultez la section Obtenir des informations sur une instance spécifique.

Pour plus d'informations sur les règles de pare-feu de réseau VPC, consultez la section Utiliser les règles de pare-feu.

Créer une règle d'entrée de pare-feu

Utilisez la procédure suivante pour créer une règle de pare-feu afin d'activer le trafic à partir des instances Filestore.

  1. Vérifiez les paramètres de port actuels pour déterminer les ports utilisés par les daemons statd et nlockmgr sur le client. Notez-les en vue d'une utilisation ultérieure.
  2. Accédez à la page Pare-feu de Google Cloud Console.
    Accéder à la page "Pare-feu"
  3. Cliquez sur Créer une règle de pare-feu.
  4. Entrez un nom pour la règle de pare-feu. Ce nom doit être unique pour le projet.
  5. Spécifiez le réseau dans lequel vous souhaitez mettre en œuvre la règle de pare-feu.
  6. Spécifiez la priorité de la règle.

    Si cette règle n'entre pas en conflit avec d'autres règles, vous pouvez conserver la valeur par défaut de 1000. Si la règle Action en cas de correspondance: Refuser est définie pour une règle d'entrée existante pour la même plage d'adresses IP, les mêmes protocoles et les mêmes ports, définissez une priorité inférieure à celle de la règle d'entrée existante.

  7. Dans le champ Sens du trafic, sélectionnez Entrée.

  8. ChoisirAutoriser pourAction en cas de correspondance ...

  9. Pour Cibles, effectuez l'une des actions suivantes :

    • Si vous souhaitez autoriser le trafic vers tous les clients du réseau à partir des instances Filestore, choisissez Toutes les instances du réseau.
    • Si vous souhaitez autoriser le trafic vers des clients spécifiques à partir d'instances Filestore, choisissez Tags cibles spécifiées. Saisissez les noms d'instance des clients dans Tags cibles.
  10. Conservez la valeur par défaut des plages d'adresses IP pour Filtre source.

  11. Pour Plages d'adresses IP sources, saisissez les plages d'adresses IP des instances Filestore dont vous souhaitez autoriser l'accès au format CIDR. Vous pouvez saisir les plages d'adresses IP internes que vous utilisez avec vos instances Filestore pour activer tout le trafic Filestore. Vous pouvez également saisir les adresses IP d'instances Filestore spécifiques.

  12. Conservez la valeur par défaut Aucun pour Deuxième filtre source.

  13. Dans Protocoles et ports, sélectionnez Protocoles et ports spécifiés, puis procédez comme suit:

    • Cochez la case tcp et saisissez 111,STATDOPTS,nlm_tcpport dans le champ associé, où :
      • STATDOPTS est le port utilisé par le daemon statd sur le client.
      • nlm_tcpport est le port tcp utilisé par le daemon nlockmgr sur le client.
    • àSSD à grande échelle Cochez la caseUp et saisissez la valeur de nlm_udpport, qui correspond àudp port utilisé parnlockmgr ...
  14. Choisissez Créer.

Créer une règle de sortie de pare-feu

Utilisez la procédure suivante pour créer une règle de pare-feu afin d'activer le trafic vers des instances Filestore.

  1. Accédez à la page Pare-feu de Google Cloud Console.
    Accéder à la page "Pare-feu"
  2. Cliquez sur Créer une règle de pare-feu.
  3. Entrez un nom pour la règle de pare-feu. Ce nom doit être unique pour le projet.
  4. Spécifiez le réseau dans lequel vous souhaitez mettre en œuvre la règle de pare-feu.
  5. Spécifiez la priorité de la règle.

    Si cette règle n'entre pas en conflit avec d'autres règles, vous pouvez conserver la valeur par défaut de 1000. Si une sortie en correspondance: refuser est définie pour une règle de sortie existante pour la même plage d'adresses IP, les mêmes protocoles et les mêmes ports, définissez une priorité inférieure à celle de la règle d'entrée existante.

  6. Choisissez Sortie pour Sens du trafic.

  7. ChoisirAutoriser pourAction en cas de correspondance ...

  8. Pour Cibles, effectuez l'une des actions suivantes :

    • Si vous souhaitez autoriser le trafic depuis tous les clients du réseau vers des instances Filestore, choisissez Toutes les instances du réseau.
    • Si vous souhaitez autoriser le trafic de clients spécifiques vers des instances Filestore, choisissez Tags cibles spécifiés. Saisissez les noms d'instance des clients dans Tags cibles.
  9. Pour Plages d'adresses IP de destination, saisissez les plages d'adresses IP des instances Filestore auxquelles vous souhaitez accorder l'accès au format CIDR. Vous pouvez saisir les plages d'adresses IP internes que vous utilisez avec vos instances Filestore pour activer le trafic vers toutes les instances Filestore. Vous pouvez également saisir les adresses IP d'instances Filestore spécifiques.

  10. Dans Protocoles et ports, sélectionnez Protocoles et ports spécifiés. Cochez ensuite la case tcp, puis saisissez 111,2046,2049,2050,4045 dans le champ associé.

  11. Choisissez Créer.