방화벽 규칙 구성

이 페이지에서는 NFS 파일 잠금을 사용 설정하기 위해 방화벽 규칙을 구성해야 하는 경우를 설명합니다.

수정되지 않은 방화벽 규칙이 포함된 프로젝트와 함께 제공되는 기본 VPC 네트워크를 사용하는 경우에는 방화벽 규칙을 만들 필요가 없습니다.

방화벽 인그레스 규칙 구성이 필요한 조건

다음과 같은 경우 Filestore 인스턴스에서 클라이언트로 가는 트래픽을 지원하도록 방화벽 인그레스 규칙을 만들어야 합니다.

  • Filestore 인스턴스에 액세스하는 애플리케이션에서 NFS 파일 잠금을 사용 중입니다.
  • 사용 중인 VPC 네트워크에 statd 또는 nlockmgr 데몬에 사용되는 포트 또는 TCP 포트 111을 차단하는 방화벽 규칙이 있습니다. 해당 클라이언트에서 statdnlockmgr 데몬에 사용되는 포트를 보려면 현재 포트 설정을 확인합니다.

    statdnlockmgr 포트가 설정되지 않았고 언제든지 방화벽 규칙을 구성해야 할 수 있으면, 모든 클라이언트 VM 인스턴스에서 이러한 포트를 일관적으로 설정하는 것이 좋습니다. 자세한 내용은 NFS 포트 설정을 참조하세요.

방화벽 이그레스 규칙 구성이 필요한 조건

다음과 같은 경우 클라이언트에서 Filestore 인스턴스로 가는 트래픽을 지원하도록 방화벽 이그레스 규칙을 만들어야 합니다.

  • 사용 중인 VPC 네트워크에 Filestore 인스턴스에서 사용하는 IP 주소 범위에 대한 방화벽 이그레스 규칙이 있는 경우
  • 방화벽 이그레스 규칙이 TCP 포트 111, 2046, 2049, 2050, 4045로 들어오는 트래픽을 차단하는 경우

Filestore 인스턴스 페이지에서 또는 gcloud filestore instances describe를 실행하여 모든 Filestore 인스턴스에 대해 예약된 IP 주소 범위를 가져올 수 있습니다. 자세한 내용은 특정 인스턴스에 대한 정보 얻기를 참조하세요.

VPC 네트워크 방화벽 규칙에 대한 자세한 내용은 방화벽 규칙 사용을 참조하세요.

방화벽 인그레스 규칙 만들기

다음 절차에 따라 Filestore 인스턴스의 트래픽을 지원하도록 방화벽 규칙을 만듭니다.

  1. 현재 포트 설정에서 statdnlockmgr 데몬이 클라이언트에 사용하는 포트를 확인합니다. 나중에 사용할 수 있도록 기록해 둡니다.
  2. Google Cloud Console의 방화벽 페이지로 이동합니다.
    방화벽 페이지로 이동
  3. 방화벽 규칙 만들기를 클릭합니다.
  4. 방화벽 규칙의 이름을 입력합니다. 이 이름은 프로젝트에서 고유해야 합니다.
  5. 방화벽 규칙을 구현할 네트워크를 지정합니다.
  6. 규칙의 우선순위를 지정합니다.

    이 규칙이 다른 규칙과 충돌하지 않는다면 기본값(1000) 그대로 둘 수 있습니다. 기존 인그레스 규칙에 동일한 IP 주소 범위, 프로토콜, 포트에 대해 일치 시 작업: 거부가 설정된 경우 기존 인그레스 규칙보다 낮은 우선순위를 지정합니다.

  7. 트래픽 방향에서 인그레스를 선택합니다.

  8. 일치 시 작업에서 허용을 선택합니다.

  9. 대상에서 다음 작업 중 하나를 수행합니다.

    • Filestore 인스턴스에서 네트워크의 모든 클라이언트에 대한 트래픽을 허용하려면 네트워크의 모든 인스턴스를 선택합니다.
    • Filestore 인스턴스에서 특정 클라이언트로의 트래픽을 허용하려면 지정된 대상 태그를 선택합니다. 대상 태그에 클라이언트의 인스턴스 이름을 입력합니다.
  10. 소스 필터의 기본값 IP 범위를 그대로 둡니다.

  11. 소스 IP 범위에 CIDR 표기법으로 액세스를 허용할 Filestore 인스턴스의 IP 주소 범위를 입력합니다. 모든 Filestore 트래픽을 지원하도록 Filestore 인스턴스에 사용 중인 내부 IP 주소 범위를 입력할 수 있습니다. 특정 Filestore 인스턴스의 IP 주소를 입력할 수도 있습니다.

  12. 보조 소스 필터에서 기본값 없음을 그대로 둡니다.

  13. 프로토콜 및 포트에서 지정된 프로토콜 및 포트를 선택하고 다음을 수행합니다.

    • tcp 체크박스를 선택하고 연결된 필드에 111,STATDOPTS,nlm_tcpport를 입력합니다. 각 항목의 의미는 다음과 같습니다.
      • STATDOPTS는 클라이언트에서 statd 데몬이 사용하는 포트입니다.
      • nlm_tcpport는 클라이언트에서 nlockmgr 데몬이 사용하는 tcp 포트입니다.
    • (대규모 SSD만 해당) udp 체크박스를 선택하고 nlockmgr에서 사용하는 udp 포트인 nlm_udpport의 값을 입력합니다.
  14. 만들기를 선택합니다.

방화벽 이그레스 규칙 만들기

다음 절차에 따라 Filestore 인스턴스로의 트래픽을 지원하도록 방화벽 규칙을 만듭니다.

  1. Google Cloud Console의 방화벽 페이지로 이동합니다.
    방화벽 페이지로 이동
  2. 방화벽 규칙 만들기를 클릭합니다.
  3. 방화벽 규칙의 이름을 입력합니다. 이 이름은 프로젝트에서 고유해야 합니다.
  4. 방화벽 규칙을 구현할 네트워크를 지정합니다.
  5. 규칙의 우선순위를 지정합니다.

    이 규칙이 다른 규칙과 충돌하지 않는다면 기본값(1000) 그대로 둘 수 있습니다. 기존 이그레스 규칙에 동일한 IP 주소 범위, 프로토콜, 포트에 대해 일치 시 작업: 거부가 설정된 경우 기존 인그레스 규칙보다 낮은 우선순위를 지정합니다.

  6. 트래픽 방향에서 이그레스를 선택합니다.

  7. 일치 시 작업에서 허용을 선택합니다.

  8. 대상에서 다음 작업 중 하나를 수행합니다.

    • 네트워크의 모든 클라이언트에서 Filestore 인스턴스로의 트래픽을 허용하려면 네트워크의 모든 인스턴스를 선택합니다.
    • 특정 클라이언트에서 Filestore 인스턴스로의 트래픽을 허용하려면 지정된 대상 태그를 선택합니다. 대상 태그에 클라이언트의 인스턴스 이름을 입력합니다.
  9. 대상 IP 범위에 CIDR 표기법으로 액세스를 허용할 Filestore 인스턴스의 IP 주소 범위를 입력합니다. 모든 Filestore 인스턴스에 대한 트래픽을 지원하도록 Filestore 인스턴스에 사용 중인 내부 IP 주소 범위를 입력할 수 있습니다. 특정 Filestore 인스턴스의 IP 주소를 입력할 수도 있습니다.

  10. 프로토콜 및 포트에서 지정된 프로토콜 및 포트를 선택합니다. 그런 다음 tcp 체크박스를 선택하고 연결된 필드에 111,2046,2049,2050,4045를 입력합니다.

  11. 만들기를 선택합니다.