Como configurar regras de firewall

Esta página explica quando você precisa configurar regras de firewall para ativar o bloqueio de arquivos NFS.

Se você estiver usando a rede VPC padrão que acompanha o projeto do Google Cloud (GCP) e não tiver alterado ou adicionado regras de firewall para essa rede, não será necessário criar regras de firewall.

Condições que exigem configuração de regra de entrada de firewall

Você precisa criar uma regra de entrada de firewall para ativar o tráfego de instâncias do Filestore para seus clientes se:

  • Você está usando o bloqueio de arquivos NFS nos aplicativos que acessam a instância do Filestore.
  • A rede VPC que você está usando tem regras de firewall que bloqueiam a porta TCP 111 ou as portas usadas pelos daemons statd ou nlockmgr. Para determinar quais portas os daemons statd e nlockmgr usam no cliente, verifique as configurações atuais da porta.

    Se as portas statd e nlockmgr não estiverem definidas e você achar que pode precisar configurar regras de firewall a qualquer momento, recomendamos definir as portas consistentemente em todas as instâncias de VM do cliente. Para mais informações, consulte Como definir portas de NFS.

Condições que exigem configuração de regra de saída de firewall

Se a rede VPC que você está usando tiver uma regra de saída de firewall que bloqueie o tráfego para as portas TCP 111, 2046, 2049, 2050 ou 4045 e segmente os intervalos de endereços IP usados pelas instâncias do Filestore, você também precisará criar uma regra de saída de firewall para ativar o tráfego dos clientes para as instâncias do Filestore.

Você pode obter o intervalo de endereços IP reservados para qualquer instância do Filestore da página de instâncias do Filestore ou executando gcloud filestore instances describe. Para mais informações, consulte como Receber informações sobre uma instância específica.

Para mais informações sobre regras de firewall da rede VPC, consulte Como usar regras de firewall.

Como criar uma regra de entrada de firewall

Use o procedimento a seguir para criar uma regra de firewall para ativar o tráfego de instâncias do Filestore.

  1. Verifique as configurações de porta atuais para determinar quais portas os daemons statd e nlockmgr usam no cliente. Anote-as. Você as usará na etapa 13.
  2. Acesse a página Firewall no Console do Google Cloud.
    Acesse a página "Firewall"
  3. Clique em Create firewall rule.
  4. Digite um Nome para a regra do firewall. Este nome precisa ser exclusivo para o projeto.
  5. Especifique a Rede onde você quer implementar a regra de firewall.
  6. Especifique a Prioridade da regra.

    Caso esta regra não entre em conflito com outras, deixe o padrão 1000. Se houver outra regra de entrada que segmente o mesmo intervalo de endereços IP, protocolos e portas e também tenha um valor Negar para o campo Ação na correspondência, defina que a prioridade da nova regra de entrada seja um valor menor que o da regra de entrada existente para que o Google Cloud a aplique.

  7. Escolha Entrada para Direção do tráfego.

  8. Escolha a opção Permitir para Ação se houver correspondência.

  9. Para Destinos, escolha uma destas opções:

    • Se você quiser permitir o tráfego para todos os clientes na rede a partir de instâncias do Filestore, escolha Todas as instâncias na rede .
    • Se você quiser permitir o tráfego para clientes específicos das instâncias do Filestore, escolha Tags de destino especificado. Digite os nomes das instâncias dos clientes nas Tags de destino.
  10. Mantenha o valor padrão de Intervalos de IP para Filtro de origem.

  11. Em Intervalos de IP de origem, digite os intervalos de endereços IP das instâncias do Filestore de onde você quer permitir o acesso. Você pode inserir os intervalos de endereços IP internos que está usando com as instâncias do Filestore para ativar todo o tráfego do Filestore, ou pode inserir os endereços IP de instâncias específicas do Filestore. Use a notação CIDR.

  12. Deixe o valor padrão Nenhum em Segundo filtro de origem.

  13. Em Protocolos e portas, escolha Protocolos e portas especificados e, em seguida:

    • Marque a caixa de seleção tcp e insira 111,STATDOPTS,nlm_tcpport no campo associado, em que:
      • STATDOPTS é a porta usada pelo daemon statd no cliente.
      • nlm_tcpport é a porta tcp usada pelo daemon nlockmgr no cliente.
    • (Somente SSD de alto escalonamento): marque a caixa de seleção udp e insira o valor de nlm_udpport, que é a porta udp usada por nlockmgr.
  14. Escolha Criar.

Como criar uma regra de saída de firewall

Use o procedimento a seguir para criar uma regra de firewall para ativar o tráfego para instâncias do Filestore.

  1. Acesse a página Firewall no Console do Google Cloud.
    Acesse a página "Firewall"
  2. Clique em Create firewall rule.
  3. Digite um Nome para a regra do firewall. Este nome precisa ser exclusivo para o projeto.
  4. Especifique a Rede onde você quer implementar a regra de firewall.
  5. Especifique a Prioridade da regra.

    Caso esta regra não entre em conflito com outras, deixe o padrão 1000. Se houver outra regra de saída que segmente o mesmo intervalo de endereços IP, protocolos e portas e também tenha um valor Negar para o campo Ação na correspondência, defina que a prioridade da nova regra de saída seja um valor menor que a da regra de saída existente para que o Google Cloud a aplique.

  6. Escolha Saída para Direção do tráfego.

  7. Escolha a opção Permitir para Ação se houver correspondência.

  8. Para Destinos, escolha uma destas opções:

    • Se você quiser permitir o tráfego de todos os clientes na rede para instâncias do Filestore, escolha Todas as instâncias na rede.
    • Se você quiser permitir o tráfego de clientes específicos para instâncias do Filestore, escolha Tags de destino especificadas. Digite os nomes das instâncias dos clientes nas Tags de destino.
  9. Para intervalos de IP de destino, digite os intervalos de endereços IP das instâncias do Filestore aos quais você quer permitir o acesso. Você pode inserir os intervalos de endereços IP internos que está usando com as instâncias do Filestore para ativar o tráfego para todas as instâncias do Filestore ou inserir os endereços IP de instâncias específicas do Filestore. Use a notação CIDR.

  10. Em Protocolos e portas, escolha Protocolos e portas especificados. Em seguida, marque a caixa de seleção tcp e digite 111,2046,2049,2050,4045 no campo associado.

  11. Escolha Criar.