Configurer les règles de pare-feu

Dans certaines circonstances, vous devrez peut-être configurer les règles de pare-feu pour activer le verrouillage de fichiers NFS.

Si vous utilisez le réseau VPC par défaut fourni avec votre projet Google Cloud Platform (GCP) et que vous n'avez pas modifié ou ajouté de règles de pare-feu pour ce réseau, vous n'avez pas besoin de créer d'autres règles.

Dans les deux situations suivantes, vous devez créer une règle d'entrée de pare-feu pour activer le trafic des instances Cloud Filestore vers vos clients :

  • Vous utilisez le verrouillage de fichier NFS dans les applications qui accèdent à l'instance Cloud Filestore.
  • Le réseau VPC que vous utilisez comporte des règles de pare-feu qui bloquent le port TCP 111 ou les ports utilisés par les daemons statd ou nlockmgr. Pour déterminer les ports que les daemons statd et nlockmgr utilisent sur le client, vérifiez les paramètres de port actuels.

    Si les ports statd et nlockmgr ne sont pas définis et que vous pensez devoir configurer des règles de pare-feu à un moment donné, nous vous recommandons vivement de définir ces ports de manière cohérente sur toutes les instances de VM clientes. Pour en savoir plus, consultez la section Définir les ports NFS.

Si le réseau VPC que vous utilisez comporte une règle de sortie de pare-feu qui bloque le trafic vers les ports TCP 111, 2046, 2049, 2050 ou 4045 et cible les plages d'adresses IP utilisées par vos instances Cloud Filestore, vous devez également créer une règle de sortie de pare-feu pour activer le trafic de vos clients vers vos instances Cloud Filestore.

Pour obtenir la plage d'adresses IP réservée à une instance Cloud Filestore, reportez-vous à la page des instances Cloud Filestore ou exécutez la commande gcloud filestore instances describe. Pour en savoir plus, consultez la section Obtenir des informations sur une instance spécifique.

Pour plus d'informations sur les règles de pare-feu de réseau VPC, consultez la section Utiliser les règles de pare-feu.

Créer une règle d'entrée de pare-feu

Procédez comme suit pour créer une règle de pare-feu afin d'autoriser le trafic à partir des instances Cloud Filestore.

  1. Vérifiez les paramètres de port actuels pour déterminer les ports que les daemons statd et nlockmgr utilisent sur le client. Notez-les car vous les utiliserez à l'étape 13.
  2. Accédez à la page Règles de pare-feu de la console Google Cloud Platform.
    Accéder à la page "Règles de pare-feu"
  3. Cliquez sur Créer une règle de pare-feu.
  4. Entrez un nom pour la règle de pare-feu. Ce nom doit être unique pour le projet.
  5. Spécifiez le réseau dans lequel vous souhaitez mettre en œuvre la règle de pare-feu.
  6. Spécifiez la priorité de la règle.

    Si cette règle n'entre en conflit avec aucune autre règle, vous pouvez conserver la valeur par défaut 1000. S'il existe une autre règle d'entrée qui cible la même plage d'adresses IP, les mêmes protocoles et les mêmes ports, avec une valeur Deny pour le champ Action en cas de correspondance, définissez la priorité de la nouvelle règle d'entrée sur une valeur inférieure à celle de la règle d'entrée existante, afin qu'elle soit appliquée par GCP.

  7. Choisissez Entrée pour Direction du trafic.

  8. Choisissez Autoriser pour Action en cas de correspondance.

  9. Pour Cibles, effectuez l'une des actions suivantes :

    • Si vous souhaitez autoriser le trafic vers tous les clients du réseau à partir des instances Cloud Filestore, sélectionnez Toutes les instances du réseau.
    • Si vous souhaitez autoriser le trafic vers des clients spécifiques à partir d'instances Cloud Filestore, sélectionnez Tags cibles spécifiés. Saisissez les noms d'instance des clients dans Tags cibles.
  10. Conservez la valeur par défaut des plages d'adresses IP pour Filtre source.

  11. Pour les plages d'adresses IP source, saisissez les plages d'adresses IP des instances Cloud Filestore à partir desquelles vous souhaitez autoriser l'accès. Vous pouvez saisir les plages d'adresses 0160IP internes que vous utilisez avec vos instances Cloud Filestore pour autoriser tout le trafic Cloud Filestore, ou saisir les adresses IP d'instances Cloud Filestore spécifiques. Vous devez utiliser le format CIDR.

  12. Conservez la valeur par défaut Aucun pour le Deuxième filtre source.

  13. Pour Protocoles et ports, choisissez Protocoles et ports spécifiés et saisissez tcp: 111, [STATD_PORT], [NLOCKMGR_PORT] dans le champ associé, où :

    • [STATD_PORT] est le port utilisé par le daemon statd sur le client.
    • [NLOCKMGR_PORT] est le port utilisé par le daemon nlockmgr sur le client.

    Par exemple, tcp: 111,2046,4045.

  14. Choisissez Créer.

Créer une règle de sortie de pare-feu

Procédez comme suit pour créer une règle de pare-feu afin d'autoriser le trafic vers les instances Cloud Filestore.

  1. Accédez à la page Règles de pare-feu de la console Google Cloud Platform.
    Accéder à la page "Règles de pare-feu"
  2. Cliquez sur Créer une règle de pare-feu.
  3. Entrez un nom pour la règle de pare-feu. Ce nom doit être unique pour le projet.
  4. Spécifiez le réseau dans lequel vous souhaitez mettre en œuvre la règle de pare-feu.
  5. Spécifiez la priorité de la règle.

    Si cette règle n'entre en conflit avec aucune autre règle, vous pouvez conserver la valeur par défaut 1000. S'il existe une autre règle de sortie qui cible la même plage d'adresses IP, les mêmes protocoles et les mêmes ports, avec la valeur Deny pour le champ Action en cas de correspondance, définissez la priorité de la nouvelle règle de sortie sur une valeur inférieure à celle de la règle de sortie existante, afin qu'elle soit appliquée par GCP.

  6. Choisissez Sortie pour Direction du trafic.

  7. Choisissez Autoriser pour Action en cas de correspondance.

  8. Pour Cibles, effectuez l'une des actions suivantes :

    • Si vous souhaitez autoriser le trafic provenant de tous les clients du réseau vers les instances Cloud Filestore, sélectionnez Toutes les instances du réseau.
    • Si vous souhaitez autoriser le trafic provenant de clients spécifiques vers les instances Cloud Filestore, choisissez Tags cibles spécifiés. Saisissez les noms d'instance des clients dans Tags cibles.
  9. Pour Plages d'adresses IP de destination, entrez les plages d'adresses IP des instances Cloud Filestore pour lesquelles vous souhaitez autoriser l'accès. Vous pouvez entrer les plages d'adresses IP internes que vous utilisez avec vos instances Cloud Filestore afin d'autoriser le trafic vers toutes les instances Cloud Filestore, ou saisir les adresses IP d'instances Cloud Filestore spécifiques. Vous devez utiliser le format CIDR.

  10. Pour Protocoles et ports, choisissez Protocoles et ports spécifiés et saisissez tcp: 111,2046,2049,2050,4045 dans le champ associé.

  11. Choisissez Créer.

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Documentation Cloud Filestore