Mengonfigurasi aturan firewall

Halaman ini menjelaskan kapan Anda harus mengonfigurasi aturan firewall untuk mengaktifkan penguncian file NFS.

Kondisi yang memerlukan konfigurasi aturan masuk firewall

Anda harus membuat aturan ingress firewall untuk mengaktifkan traffic dari instance Filestore ke klien Anda jika:

  • Anda menggunakan penguncian file NFS di aplikasi yang mengakses instance Filestore.

  • Jaringan VPC yang Anda gunakan memiliki aturan firewall yang memblokir port TCP 111 atau port yang digunakan oleh daemon statd atau nlockmgr. Untuk menentukan port yang digunakan daemon statd dan nlockmgr pada klien, periksa setelan port saat ini.

    Jika port statd dan nlockmgr tidak ditetapkan, dan Anda merasa mungkin perlu mengonfigurasi aturan firewall kapan saja, sebaiknya setel port tersebut secara konsisten di semua instance VM klien. Untuk mengetahui informasi selengkapnya, lihat bagian Menyetel port NFS.

Kondisi yang memerlukan konfigurasi aturan keluar firewall

Anda harus membuat aturan traffic keluar firewall untuk mengaktifkan traffic dari klien ke instance Filestore jika:

  • Jaringan VPC yang Anda gunakan memiliki aturan traffic keluar firewall untuk rentang alamat IP yang digunakan oleh instance Filestore Anda.
  • Aturan traffic keluar firewall memblokir traffic ke port TCP 111, 2046, 2049, 2050, atau 4045.

Anda bisa mendapatkan rentang alamat IP yang dicadangkan untuk instance Filestore apa pun dari halaman instance Filestore atau dengan menjalankan gcloud filestore instances describe. Untuk mengetahui informasi selengkapnya, baca Mendapatkan informasi tentang instance tertentu.

Untuk mengetahui informasi lebih lanjut tentang aturan firewall jaringan VPC, baca Menggunakan Aturan Firewall.

Membuat aturan masuk firewall

Gunakan prosedur berikut untuk membuat aturan firewall guna mengaktifkan traffic dari instance Filestore.

  1. Sebelum memulai, pastikan hal-hal berikut:

    Windows

    1. Pastikan klien diizinkan untuk berkomunikasi dengan instance Filestore dan bahwa firewall lokal tidak memblokir port yang diperlukan. Untuk membuka semua port NFS yang diperlukan, jalankan perintah berikut di PowerShell:

         '111','2046','2049','2050','4045' | % {
      C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
   }

    2. Periksa setelan port saat ini untuk menentukan port yang digunakan daemon statd dan nlockmgr pada klien. Catat untuk digunakan di lain waktu.

    Linux

    Tidak ada prasyarat untuk menyelesaikan tugas ini.

    MacOS

    Tidak ada prasyarat untuk menyelesaikan tugas ini.

  2. Buka halaman Firewall di Konsol Google Cloud.
    Buka halaman Firewall

  3. Klik Create firewall rule.

  4. Masukkan Name untuk aturan firewall. Nama ini harus unik untuk project.

  5. Tentukan Jaringan tempat Anda ingin menerapkan aturan firewall.

  6. Tentukan Prioritas aturan.

    Jika aturan ini tidak bertentangan dengan aturan lain, Anda dapat membiarkan 1000 default. Jika aturan ingress yang sudah ada memiliki Action on match: Deny yang ditetapkan untuk rentang alamat IP, protokol, dan port yang sama, tetapkan prioritas yang lebih rendah daripada aturan ingress yang sudah ada.

  7. Pilih Ingress untuk Arah traffic.

  8. Pilih Izinkan untuk Tindakan pada kecocokan.

  9. Untuk Targets, lakukan salah satu tindakan berikut:

    • Jika Anda ingin mengizinkan traffic ke semua klien dalam jaringan dari instance Filestore, pilih All instances in the network.
    • Jika Anda ingin mengizinkan traffic ke klien tertentu dari instance Filestore, pilih Specified target tags. Ketik nama instance klien di Tag target.

  10. Biarkan nilai default IP range untuk Source filter.

  11. Untuk Rentang IP sumber, masukkan rentang alamat IP instance Filestore yang ingin Anda izinkan aksesnya dalam notasi CIDR. Anda dapat memasukkan rentang alamat IP internal yang digunakan dengan instance Filestore untuk mengaktifkan semua traffic Filestore. Anda juga dapat memasukkan alamat IP instance Filestore tertentu.

  12. Biarkan nilai default None untuk Second source filter.

  13. Untuk Protocols and ports, pilih Specified protocols and ports, lalu:

    • Pilih kotak centang tcp, lalu masukkan 111,STATDOPTS,nlm_tcpport di kolom terkait, dengan:
      • STATDOPTS adalah port yang digunakan oleh daemon statd di klien.
      • nlm_tcpport adalah port tcp yang digunakan oleh daemon nlockmgr pada klien.
    • Centang kotak udp, lalu masukkan nilai nlm_udpport, yang merupakan port udp yang digunakan oleh nlockmgr. Perlu diperhatikan bahwa spesifikasi ini hanya berlaku untuk tingkat layanan berikut:
      • Zonal dengan rentang kapasitas lebih rendah
      • Zonal dengan rentang kapasitas lebih tinggi (sebelumnya SSD skala tinggi)
      • Enterprise

  14. Pilih Buat.

Membuat aturan traffic keluar firewall

Gunakan prosedur berikut untuk membuat aturan firewall guna mengaktifkan traffic ke instance Filestore.

  1. Sebelum memulai, pastikan hal-hal berikut:

    Windows

    Pastikan klien diizinkan untuk berkomunikasi dengan instance Filestore dan bahwa firewall lokal tidak memblokir port yang diperlukan. Untuk membuka semua port NFS yang diperlukan, jalankan perintah berikut di PowerShell:

       '111','2046','2049','2050','4045' | % {
       C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
      }

    Linux

    Tidak ada prasyarat untuk menyelesaikan tugas ini.

    MacOS

    Tidak ada prasyarat untuk menyelesaikan tugas ini.

  2. Buka halaman Firewall di Konsol Google Cloud.
    Buka halaman Firewall

  3. Klik Create firewall rule.

  4. Masukkan Name untuk aturan firewall. Nama ini harus unik untuk project.

  5. Tentukan Jaringan tempat Anda ingin menerapkan aturan firewall.

  6. Tentukan Prioritas aturan.

    Jika aturan ini tidak bertentangan dengan aturan lain, Anda dapat membiarkan 1000 default. Jika aturan keluar yang ada memiliki Action on match: Deny yang ditetapkan untuk rentang alamat IP, protokol, dan port yang sama, tetapkan prioritas yang lebih rendah daripada aturan ingress yang sudah ada.

  7. Pilih Traffic Keluar untuk Arah traffic.

  8. Pilih Izinkan untuk Tindakan pada kecocokan.

  9. Untuk Targets, lakukan salah satu tindakan berikut:

    • Jika Anda ingin mengizinkan traffic dari semua klien dalam jaringan ke instance Filestore, pilih All instances in the network.
    • Jika Anda ingin mengizinkan traffic dari klien tertentu ke instance Filestore, pilih Specified target tags. Ketik nama instance klien di Tag target.

  10. Untuk Rentang IP tujuan, masukkan rentang alamat IP instance Filestore yang ingin Anda izinkan aksesnya dalam notasi CIDR. Anda dapat memasukkan rentang alamat IP internal yang digunakan dengan instance Filestore untuk mengaktifkan traffic ke semua instance Filestore. Anda juga dapat memasukkan alamat IP instance Filestore tertentu.

  11. Untuk Protocols and ports, pilih Specified protocols and ports. Kemudian, centang kotak tcp dan masukkan 111,2046,2049,2050,4045 di kolom terkait.

  12. Pilih Buat.

Memverifikasi port NFS

Sebaiknya periksa apakah port NFS Anda telah dibuka dengan benar. Untuk mengetahui informasi lebih lanjut, baca Mengonfigurasi port NFS di VM klien.

Langkah selanjutnya