방화벽 규칙 구성

이 페이지에서는 NFS 파일 잠금을 사용 설정하기 위해 방화벽 규칙을 구성해야 하는 경우를 설명합니다.

Google Cloud(GCP) 프로젝트에 제공되는 기본 VPC 네트워크를 사용 중이고, 이 네트워크에서 방화벽 규칙을 변경하거나 추가하지 않았으면 방화벽 규칙을 만들 필요가 없습니다.

방화벽 인그레스 규칙 구성이 필요한 조건

다음과 같은 경우에 Filestore 인스턴스에서 클라이언트로 트래픽을 사용 설정하려면 방화벽 수신 규칙을 만들어야 합니다.

  • Filestore 인스턴스에 액세스하는 애플리케이션에서 NFS 파일 잠금을 사용 중입니다.
  • 사용 중인 VPC 네트워크에 statd 또는 nlockmgr 데몬에 사용되는 포트 또는 TCP 포트 111을 차단하는 방화벽 규칙이 있습니다. 해당 클라이언트에서 statdnlockmgr 데몬에 사용되는 포트를 보려면 현재 포트 설정을 확인합니다.

    statdnlockmgr 포트가 설정되지 않았고 언제든지 방화벽 규칙을 구성해야 할 수 있으면, 모든 클라이언트 VM 인스턴스에서 이러한 포트를 일관적으로 설정하는 것이 좋습니다. 자세한 내용은 NFS 포트 설정을 참조하세요.

방화벽 이그레스 규칙 구성이 필요한 조건

사용 중인 VPC 네트워크에 TCP 포트 111, 2046, 2049, 2050, 4045에 대한 트래픽을 차단하고 Filestore 인스턴스에 사용되는 IP 주소 범위를 대상으로 하는 방화벽 이그레스 규칙이 있으면, 클라이언트에서 Filestore 인스턴스로의 트래픽을 지원하는 방화벽 이그레스 규칙도 만들어야 합니다.

Filestore 인스턴스 페이지에서 또는 gcloud filestore instances describe를 실행하여 모든 Filestore 인스턴스에 대해 예약된 IP 주소 범위를 가져올 수 있습니다. 자세한 내용은 특정 인스턴스에 대한 정보 얻기를 참조하세요.

VPC 네트워크 방화벽 규칙에 대한 자세한 내용은 방화벽 규칙 사용을 참조하세요.

방화벽 인그레스 규칙 만들기

다음 절차에 따라 Filestore 인스턴스의 트래픽을 지원하도록 방화벽 규칙을 만듭니다.

  1. 현재 포트 설정에서 statdnlockmgr 데몬이 클라이언트에 사용하는 포트를 확인합니다. 13단계에서 필요하므로 이 포트를 적어 둡니다.
  2. Google Cloud Console의 방화벽 페이지로 이동합니다.
    방화벽 페이지로 이동
  3. 방화벽 규칙 만들기를 클릭합니다.
  4. 방화벽 규칙의 이름을 입력합니다. 이 이름은 프로젝트에서 고유해야 합니다.
  5. 방화벽 규칙을 구현할 네트워크를 지정합니다.
  6. 규칙의 우선순위를 지정합니다.

    이 규칙이 다른 규칙과 충돌하지 않는다면 기본값(1000) 그대로 둘 수 있습니다. 동일한 IP 주소 범위, 프로토콜, 포트를 대상으로 하는 또 다른 인그레스 규칙이 있고 일치 시 작업 필드의 값이 거부이면, Google Cloud가 이를 적용하도록 새 인그레스 규칙의 우선순위를 기존 인그레스 규칙의 우선순위보다 낮은 값으로 설정합니다.

  7. 트래픽 방향에서 인그레스를 선택합니다.

  8. 일치 시 작업에서 허용을 선택합니다.

  9. 대상에서 다음 작업 중 하나를 수행합니다.

    • Filestore 인스턴스에서 네트워크의 모든 클라이언트에 대한 트래픽을 허용하려면 네트워크의 모든 인스턴스를 선택합니다.
    • Filestore 인스턴스에서 특정 클라이언트로의 트래픽을 허용하려면 지정된 대상 태그를 선택합니다. 대상 태그에 클라이언트의 인스턴스 이름을 입력합니다.
  10. 소스 필터의 기본값 IP 범위를 그대로 둡니다.

  11. 소스 IP 범위에 액세스를 허용하려는 Filestore 인스턴스의 IP 주소 범위를 입력합니다. 모든 Filestore 트래픽을 지원하도록 Filestore 인스턴스에 사용 중인 내부 IP 주소 범위를 입력하거나 특정 Filestore 인스턴스의 IP 주소를 입력할 수 있습니다. CIDR 표기를 사용해야 합니다.

  12. 보조 소스 필터에서 기본값 없음을 그대로 둡니다.

  13. 프로토콜 및 포트에서 지정된 프로토콜 및 포트를 선택하고 다음을 수행합니다.

    • tcp 체크박스를 선택하고 연결된 필드에 111,STATDOPTS,nlm_tcpport를 입력합니다. 각 항목의 의미는 다음과 같습니다.
      • STATDOPTS는 클라이언트에서 statd 데몬이 사용하는 포트입니다.
      • nlm_tcpport는 클라이언트에서 nlockmgr 데몬이 사용하는 tcp 포트입니다.
    • (대규모 SSD만 해당) udp 체크박스를 선택하고 nlockmgr에서 사용하는 udp 포트인 nlm_udpport의 값을 입력합니다.
  14. 만들기를 선택합니다.

방화벽 이그레스 규칙 만들기

다음 절차에 따라 Filestore 인스턴스로의 트래픽을 지원하도록 방화벽 규칙을 만듭니다.

  1. Google Cloud Console의 방화벽 페이지로 이동합니다.
    방화벽 페이지로 이동
  2. 방화벽 규칙 만들기를 클릭합니다.
  3. 방화벽 규칙의 이름을 입력합니다. 이 이름은 프로젝트에서 고유해야 합니다.
  4. 방화벽 규칙을 구현할 네트워크를 지정합니다.
  5. 규칙의 우선순위를 지정합니다.

    이 규칙이 다른 규칙과 충돌하지 않는다면 기본값(1000) 그대로 둘 수 있습니다. 동일한 IP 주소 범위, 프로토콜, 포트를 대상으로 하는 또 다른 이그레스 규칙이 있고 일치 시 작업 필드의 값이 거부이면, Google Cloud가 이를 적용하도록 새 이그레스 규칙의 우선순위를 기존 이그레스 규칙의 우선순위보다 낮은 값으로 설정합니다.

  6. 트래픽 방향에서 이그레스를 선택합니다.

  7. 일치 시 작업에서 허용을 선택합니다.

  8. 대상에서 다음 작업 중 하나를 수행합니다.

    • 네트워크의 모든 클라이언트에서 Filestore 인스턴스로의 트래픽을 허용하려면 네트워크의 모든 인스턴스를 선택합니다.
    • 특정 클라이언트에서 Filestore 인스턴스로의 트래픽을 허용하려면 지정된 대상 태그를 선택합니다. 대상 태그에 클라이언트의 인스턴스 이름을 입력합니다.
  9. 대상 IP 범위에 액세스를 허용하려는 Filestore 인스턴스의 IP 주소 범위를 입력합니다. 모든 Filestore 인스턴스에 대한 트래픽을 지원하도록 Filestore 인스턴스에 사용 중인 내부 IP 주소 범위를 입력하거나 특정 Filestore 인스턴스의 IP 주소를 입력할 수 있습니다. CIDR 표기를 사용해야 합니다.

  10. 프로토콜 및 포트에서 지정된 프로토콜 및 포트를 선택합니다. 그런 다음 tcp 체크박스를 선택하고 연결된 필드에 111,2046,2049,2050,4045를 입력합니다.

  11. 만들기를 선택합니다.