Como configurar regras de firewall

Nesta página, explicamos quando você precisa configurar regras de firewall para ativar o bloqueio de arquivos do NFS.

Se você usa a rede VPC padrão que acompanha o projeto com as regras de firewall inalteradas, não será necessário criar regras de firewall.

Condições que exigem configuração de regra de entrada de firewall

Você precisa criar uma regra de entrada de firewall para ativar o tráfego das instâncias do Filestore para os clientes se:

  • Você está usando o bloqueio de arquivos NFS nos aplicativos que acessam a instância do Filestore.
  • A rede VPC que você está usando tem regras de firewall que bloqueiam a porta TCP 111 ou as portas usadas pelos daemons statd ou nlockmgr. Para determinar quais portas os daemons statd e nlockmgr usam no cliente, verifique as configurações atuais da porta.

    Se as portas statd e nlockmgr não estiverem definidas e você achar que pode precisar configurar regras de firewall a qualquer momento, recomendamos definir as portas consistentemente em todas as instâncias de VM do cliente. Para mais informações, consulte Como definir portas de NFS.

Condições que exigem configuração de regra de saída de firewall

É necessário criar uma regra de saída de firewall para permitir o tráfego dos clientes para as instâncias do Filestore se:

  • a rede VPC que você usa tem uma regra de saída de firewall para os intervalos de endereços IP usados pelas instâncias do Filestore;
  • a regra de saída de firewall bloqueia o tráfego para as portas TCP 111, 2046, 2049, 2050 ou 4045.

Você pode obter o intervalo de endereços IP reservados para qualquer instância do Filestore da página de instâncias do Filestore ou executando gcloud filestore instances describe. Para mais informações, consulte como Receber informações sobre uma instância específica.

Para mais informações sobre regras de firewall da rede VPC, consulte Como usar regras de firewall.

Como criar uma regra de entrada de firewall

Use o procedimento a seguir para criar uma regra de firewall para ativar o tráfego de instâncias do Filestore.

  1. Verifique as configurações de porta atuais para determinar as portas que os daemons statd e nlockmgr usam no cliente. Anote-as para usar mais tarde.
  2. Acesse a página Firewall no Console do Google Cloud.
    Acesse a página "Firewall"
  3. Clique em Criar regra de firewall.
  4. Digite um Nome para a regra do firewall. Este nome precisa ser exclusivo para o projeto.
  5. Especifique a Rede onde você quer implementar a regra de firewall.
  6. Especifique a Prioridade da regra.

    Caso essa regra não entre em conflito com outras, mantenha o padrão de 1000. Se uma regra de entrada atual tiver Ação na correspondência: Negar definida para o mesmo intervalo de endereços IP, protocolos e portas, defina uma prioridade mais baixa do que a regra de entrada atual.

  7. Escolha Entrada para Direção do tráfego.

  8. Escolha a opção Permitir para Ação se houver correspondência.

  9. Para Destinos, escolha uma destas opções:

    • Se você quiser permitir o tráfego para todos os clientes na rede a partir de instâncias do Filestore, escolha Todas as instâncias na rede .
    • Se você quiser permitir o tráfego para clientes específicos das instâncias do Filestore, escolha Tags de destino especificado. Digite os nomes das instâncias dos clientes nas Tags de destino.
  10. Mantenha o valor padrão de Intervalos de IP para Filtro de origem.

  11. Em Intervalos de IPs de origem, insira os intervalos de endereços IP das instâncias do Filestore que você quer permitir o acesso na notação CIDR. Insira os intervalos de endereços IP internos que você usa com suas instâncias do Filestore para ativar todo o tráfego do Filestore. Também é possível inserir os endereços IP das instâncias específicas do Filestore.

  12. Deixe o valor padrão Nenhum em Segundo filtro de origem.

  13. Em Protocolos e portas, escolha Protocolos e portas especificados e, em seguida:

    • Marque a caixa de seleção tcp e insira 111,STATDOPTS,nlm_tcpport no campo associado, em que:
      • STATDOPTS é a porta usada pelo daemon statd no cliente.
      • nlm_tcpport é a porta tcp usada pelo daemon nlockmgr no cliente.
    • (Somente SSD de alto escalonamento): marque a caixa de seleção udp e insira o valor de nlm_udpport, que é a porta udp usada por nlockmgr.
  14. Escolha Criar.

Como criar uma regra de saída de firewall

Use o procedimento a seguir para criar uma regra de firewall para ativar o tráfego para instâncias do Filestore.

  1. Acesse a página Firewall no Console do Google Cloud.
    Acesse a página "Firewall"
  2. Clique em Criar regra de firewall.
  3. Digite um Nome para a regra do firewall. Este nome precisa ser exclusivo para o projeto.
  4. Especifique a Rede onde você quer implementar a regra de firewall.
  5. Especifique a Prioridade da regra.

    Caso essa regra não entre em conflito com outras, mantenha o padrão de 1000. Se uma regra de saída atual tiver Ação na correspondência: Negar definida para o mesmo intervalo de endereços IP, protocolos e portas, defina uma prioridade mais baixa do que a regra de entrada atual.

  6. Escolha Saída para Direção do tráfego.

  7. Escolha a opção Permitir para Ação se houver correspondência.

  8. Para Destinos, escolha uma destas opções:

    • Se você quiser permitir o tráfego de todos os clientes na rede para instâncias do Filestore, escolha Todas as instâncias na rede.
    • Se você quiser permitir o tráfego de clientes específicos para instâncias do Filestore, escolha Tags de destino especificadas. Digite os nomes das instâncias dos clientes nas Tags de destino.
  9. Em Intervalos de IPs de destino, insira os intervalos de endereços IP das instâncias do Filestore que você quer permitir o acesso na notação CIDR. Insira os intervalos de endereços IP internos que você usa com suas instâncias do Filestore para ativar o tráfego para todas as instâncias do Filestore. Também é possível inserir os endereços IP das instâncias específicas do Filestore.

  10. Em Protocolos e portas, escolha Protocolos e portas especificados. Em seguida, marque a caixa de seleção tcp e digite 111,2046,2049,2050,4045 no campo associado.

  11. Escolha Criar.