Configurazione delle regole del firewall

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina spiega quando è necessario configurare le regole firewall per abilitare il blocco dei file NFS.

Condizioni che richiedono la configurazione della regola firewall in entrata

Devi creare una regola firewall in entrata per abilitare il traffico dalle istanze Filestore ai tuoi client se:

  • Stai utilizzando il blocco dei file NFS nelle applicazioni che accedono all'istanza Filestore.
  • La rete VPC in uso ha regole firewall che bloccano la porta TCP 111 o le porte utilizzate dai daemon statd o nlockmgr. Per determinare quali porte utilizzano i daemon statd e nlockmgr sul client, controlla le impostazioni della porta correnti.

    Se le porte statd e nlockmgr non sono impostate e pensi di aver bisogno di configurare regole firewall in qualsiasi momento, ti consigliamo vivamente di impostarle in modo coerente su tutte le istanze VM del client. Per saperne di più, consulta la pagina Impostare le porte NFS.

Condizioni che richiedono la configurazione della regola di traffico in uscita del firewall

Devi creare una regola firewall in uscita per abilitare il traffico dai client alle tue istanze Filestore se:

  • La rete VPC in uso ha una regola firewall in uscita per gli intervalli di indirizzi IP utilizzati dalle istanze Filestore.
  • La regola firewall in uscita blocca il traffico verso le porte TCP 111, 2046, 2049, 2050 o 4045.

Puoi ottenere l'intervallo di indirizzi IP riservati per qualsiasi istanza di Filestore dalla pagina Istanze Filestore o eseguendo gcloud filestore instances describe. Per ulteriori informazioni, consulta Ottenere informazioni su un'istanza specifica.

Per ulteriori informazioni sulle regole firewall di rete VPC, consulta Utilizzo delle regole firewall.

Creazione di una regola firewall in entrata

Utilizza la procedura seguente per creare una regola firewall per abilitare il traffico dalle istanze Filestore.

  1. Prima di iniziare, verifica quanto segue:

    Windows

    1. Verifica che il client sia autorizzato a comunicare con l'istanza Filestore e che il firewall locale non stia bloccando le porte richieste. Per aprire tutte le porte NFS richieste, esegui il comando seguente in PowerShell:

         '111','2046','2049','2050','4045' | % {
            C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
         }
      
    2. Controlla le impostazioni attuali della porta per determinare quali porte utilizzano i daemon statd e nlockmgr sul client. Salva gli articoli per utilizzarli in un secondo momento.

    Linux

    Nessun prerequisito per il completamento di questa attività.

    MacOS

    Nessun prerequisito per il completamento di questa attività.

  2. Vai alla pagina Firewall nella console Google Cloud.
    Vai alla pagina Firewall

  3. Fai clic su Crea regola firewall.

  4. Inserisci un Nome per la regola firewall. Questo nome deve essere univoco per il progetto.

  5. Specifica la Rete in cui implementare la regola firewall.

  6. Specifica la priorità della regola.

    Se questa regola non è in conflitto con altre, puoi lasciare il valore predefinito 1000. Se una regola in entrata è impostata su Azione in caso di mancata corrispondenza: negazione per lo stesso intervallo di indirizzi IP, protocolli e porte, imposta una priorità inferiore rispetto alla regola in entrata.

  7. Scegli In entrata per Direzione del traffico.

  8. Scegli Consenti per Azione in corrispondenza.

  9. Per Target, esegui una delle seguenti azioni:

    • Se vuoi consentire il traffico a tutti i client nella rete dalle istanze Filestore, scegli Tutte le istanze nella rete.
    • Se vuoi consentire il traffico verso client specifici dalle istanze Filestore, scegli Tag di destinazione specificati. Digita i nomi delle istanze dei client in Tag di destinazione.
  10. Lascia il valore predefinito Intervalli IP per Filtro di origine.

  11. In Intervalli IP di origine, inserisci gli intervalli di indirizzi IP delle istanze Filestore da cui vuoi consentire l'accesso in notazione CIDR. Puoi inserire gli intervalli di indirizzi IP interni che utilizzi con le tue istanze Filestore per abilitare tutto il traffico Filestore. Puoi anche inserire gli indirizzi IP di istanze di Filestore specifiche.

  12. Lascia il valore predefinito None (Nessuno) per Second source source (Filtro della sorgente).

  13. In Protocolli e porte, scegli Protocolli e porte specificati, quindi:

    • Seleziona la casella di controllo tcp e inserisci 111,STATDOPTS,nlm_tcpport nel campo associato, dove:
      • STATDOPTS è la porta utilizzata dal daemon statdsul client.
      • nlm_tcpport è la porta tcp utilizzata dal daemon nlockmgr sul client.
    • (Solo SSD High Scale) Seleziona la casella di controllo udp e inserisci il valore nlm_udpport, ovvero la porta udp utilizzata da nlockmgr.
  14. Scegli Crea.

Creazione di una regola firewall in uscita

Utilizza la procedura seguente per creare una regola firewall per abilitare il traffico verso le istanze Filestore.

  1. Prima di iniziare, verifica quanto segue:

    Windows

    Verifica che il client sia autorizzato a comunicare con l'istanza Filestore e che il firewall locale non stia bloccando le porte richieste. Per aprire tutte le porte NFS richieste, esegui il comando seguente in PowerShell:

       '111','2046','2049','2050','4045' | % {
           C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
          }
    

    Linux

    Nessun prerequisito per il completamento di questa attività.

    MacOS

    Nessun prerequisito per il completamento di questa attività.

  2. Vai alla pagina Firewall nella console Google Cloud.
    Vai alla pagina Firewall

  3. Fai clic su Crea regola firewall.

  4. Inserisci un Nome per la regola firewall. Questo nome deve essere univoco per il progetto.

  5. Specifica la Rete in cui implementare la regola firewall.

  6. Specifica la priorità della regola.

    Se questa regola non è in conflitto con altre, puoi lasciare il valore predefinito 1000. Se per una regola in uscita esiste un criterio Action on match: Nega impostato per lo stesso intervallo di indirizzi IP, protocolli e porte, imposta una priorità inferiore rispetto alla regola in entrata.

  7. Scegli In uscita per Direzione del traffico.

  8. Scegli Consenti per Azione in corrispondenza.

  9. Per Target, esegui una delle seguenti azioni:

    • Se vuoi consentire il traffico da tutti i client nella rete alle istanze Filestore, scegli Tutte le istanze nella rete.
    • Se vuoi consentire il traffico da client specifici a istanze Filestore, scegli Tag di destinazione specificati. Digita i nomi delle istanze dei client in Tag di destinazione.
  10. In Intervalli IP di destinazione, inserisci gli intervalli di indirizzi IP delle istanze Filestore a cui vuoi consentire l'accesso in notazione CIDR. Puoi inserire gli intervalli di indirizzi IP interni che utilizzi con le tue istanze Filestore per abilitare il traffico verso tutte le istanze di Filestore. Puoi anche inserire gli indirizzi IP di istanze di Filestore specifiche.

  11. In Protocolli e porte, scegli Protocolli e porte specificati. Quindi seleziona la casella di controllo tcp e inserisci 111,2046,2049,2050,4045 nel campo associato.

  12. Scegli Crea.

Passaggi successivi