ファイアウォール ルールの構成

このページでは、NFS ファイルのロックを有効にするためにファイアウォール ルールを構成する必要がある場合について説明します。

プロジェクトで、変更されていないファイアウォール ルールを含むデフォルトの VPC ネットワークを使用している場合は、ファイアウォール ルールを作成する必要はありません。

上りファイアウォール ルールの構成を必要とする条件

次の場合は、Filestore インスタンスからクライアントへのトラフィックを有効にするための上り(内向き)ファイアウォール ルールを作成する必要があります。

  • Filestore インスタンスにアクセスするアプリケーションで NFS ファイルロックを使用している。
  • 使用している VPC ネットワークに、TCP ポート 111、または statd デーモンあるいは nlockmgr デーモンで使用されるポートをブロックするファイアウォール ルールが存在する。statd デーモンと nlockmgr デーモンがクライアント上で使用するポートを確認するには、現在のポート設定を確認します。

    statd ポートと nlockmgr ポートが設定されておらず、いずれかの時点でファイアウォール ルールの構成が必要になると考えられる場合は、すべてのクライアント VM インスタンスで整合性が保持されるようにこれらのポートを設定することを強くおすすめします。詳細については、NFS ポートの設定をご覧ください。

下りファイアウォール ルールの構成を必要とする条件

次の場合に、クライアントから Filestore インスタンスへのトラフィックを許可する下りファイアウォール ルールを作成する必要があります。

  • 使用している VPC ネットワークには、Filestore インスタンスで使用されている IP アドレス範囲の下りファイアウォール ルールがあります。
  • ファイアウォールの下りルールは、TCP ポート 111、2046、2049、2050、または 4045 へのトラフィックをブロックします。

任意の Filestore の予約済み IP アドレス範囲は、Filestore インスタンスのページから、または gcloud filestore instances describe を実行することによって取得できます。詳細については、特定のインスタンスに関する情報を取得するをご覧ください。

VPC ネットワークのファイアウォール ルールの詳細については、ファイアウォール ルールの使用をご覧ください。

上りファイアウォール ルールの作成

Filestore インスタンスからのトラフィックを有効にするファイアウォール ルールを作成するには、次の手順を使用します。

  1. 現在のポート設定をチェックして、statd デーモンと nlockmgr デーモンがクライアントで使用するポートを判別します。後で使用できるように、メモしておいてください。
  2. Google Cloud Console の [ファイアウォール] ページに移動します。
    [ファイアウォール] ページに移動
  3. [ファイアウォール ルールを作成] をクリックします。
  4. ファイアウォール ルールの [名前] を入力します。 この名前は、プロジェクト内で一意にする必要があります。
  5. このファイアウォール ルールを実装する [ネットワーク] を指定します。
  6. ルールの [優先度] を指定します。

    このルールが他のルールと競合しない場合は、デフォルトの 1000 のままにできます。既存の上り(内向き)ルールに、同じ IP アドレス範囲、プロトコル、ポートに対して [一致したときのアクション: 拒否] が設定されている場合は、既存の上り(内向き)ルールよりも低い優先度を設定します。

  7. [トラフィックの方向] に [上り] を選択します。

  8. [一致したときのアクション] に [許可] を選択します。

  9. [ターゲット] では次のいずれかの操作を行います。

    • Filestore インスタンスからネットワーク内のすべてのクライアントへのトラフィックを許可するには、[ネットワーク上のすべてのインスタンス] を選択します。
    • Filestore インスタンスから特定のクライアントへのトラフィックを許可するには、[指定されたターゲットタグ] を選択します。[ターゲットタグ] にクライアントのインスタンス名を入力します。
  10. [ソースフィルタ] の [IP 範囲] はデフォルト値のままにします。

  11. [ソース IP の範囲] に、CIDR 表記でアクセスを許可する Filestore インスタンスの IP アドレス範囲を入力します。Filestore インスタンスで使用している内部 IP アドレス範囲を入力して、すべての Filestore トラフィックを有効にできます。また、特定の Filestore インスタンスの IP アドレスを入力することもできます。

  12. [2 番目のソースフィルタ] は、デフォルト値の [なし] のままにします。

  13. [プロトコルとポート] で、[指定したプロトコルとポート] を選択し、次の操作を行います。

    • [tcp] チェックボックスをオンにして、関連するフィールドに「111,STATDOPTS,nlm_tcpport」と入力します。
      • STATDOPTS は、クライアントの statd デーモンが使用するポートです。
      • nlm_tcpport は、クライアントの nlockmgr デーモンが使用する tcp ポートです。
    • 高スケール SSD のみ)[udp] チェックボックスをオンにして、値 nlm_udpportnlockmgr が使用する udp ポート)を入力します。
  14. [作成] を選択します。

下りファイアウォール ルールの作成

Filestore インスタンスへのトラフィックを有効にするファイアウォール ルールを作成するには、次の手順を使用します。

  1. Google Cloud Console の [ファイアウォール] ページに移動します。
    [ファイアウォール] ページに移動
  2. [ファイアウォール ルールを作成] をクリックします。
  3. ファイアウォール ルールの [名前] を入力します。 この名前は、プロジェクト内で一意にする必要があります。
  4. このファイアウォール ルールを実装する [ネットワーク] を指定します。
  5. ルールの [優先度] を指定します。

    このルールが他のルールと競合しない場合は、デフォルトの 1000 のままにできます。既存の下り(外向き)ルールに、同じ IP アドレス範囲、プロトコル、ポートに対して [一致したときのアクション: 拒否] が設定されている場合は、既存の上り(内向き)ルールよりも低い優先度を設定します。

  6. [トラフィックの方向] に [下り] を選択します。

  7. [一致したときのアクション] に [許可] を選択します。

  8. [ターゲット] では次のいずれかの操作を行います。

    • ネットワーク内のすべてのクライアントから Filestore インスタンスへのトラフィックを許可する場合は、[ネットワーク上のすべてのインスタンス] を選択します。
    • 特定のクライアントから Filestore インスタンスへのトラフィックを許可する場合は、[指定されたターゲットタグ] を選択します。[ターゲットタグ] にクライアントのインスタンス名を入力します。
  9. [送信先 IP 範囲] に、アクセスを許可する Filestore インスタンスの IP アドレス範囲を CIDR 表記で入力します。Filestore インスタンスで使用している内部 IP アドレス範囲を入力して、すべての Filestore インスタンスへのトラフィックを有効にすることができます。また、特定の Filestore インスタンスの IP アドレスを入力することもできます。

  10. [プロトコルとポート] で [指定したプロトコルとポート] を選択します。次に、[tcp] チェックボックスをオンにして、関連するフィールドに「111,2046,2049,2050,4045」と入力します。

  11. [作成] を選択します。