配置防火墙规则

在某些情况下,可能必须要先配置防火墙规则,然后才能启用 NFS 文件锁定。

如果您使用的是 Google Cloud Platform (GCP) 项目附带的默认 VPC 网络,并且没有为该网络更改或添加任何防火墙规则,则无需创建任何防火墙规则。

如果同时存在以下两个条件,则需要先创建防火墙入站规则,然后才能允许流量从 Cloud Filestore 实例流入客户端:

  • 您在访问 Cloud Filestore 实例的应用中使用了 NFS 文件锁定。
  • 您使用的 VPC 网络具有可屏蔽 TCP 端口 111 或者 statdnlockmgr 守护程序所使用的端口的防火墙规则。要确定 statdnlockmgr 守护程序在客户端上所使用的端口,请检查当前端口设置

    如果未设置 statdnlockmgr 端口,并且您认为可能需要随时配置防火墙规则,那么我们强烈建议在所有客户端虚拟机实例上采用一致方式设置这些端口。如需了解详情,请参阅设置 NFS 端口

如果您使用的 VPC 网络配置了如下防火墙出站规则,那么您还需要创建一条防火墙出站规则,以便允许从客户端发往 Cloud Filestore 实例的流量:禁止发往 TCP 端口 111、2046、2049、2050 或 4045 的流量,而允许发往 Cloud Filestore 实例所使用的 IP 地址范围的流量。

要获取任何 Cloud Filestore 实例的预留 IP 地址范围,您可以访问“Cloud Filestore 实例”页面或运行 gcloud filestore instances describe 命令。如需了解详情,请参阅获取特定实例的相关信息

要详细了解 VPC 网络防火墙规则,请参阅使用防火墙规则

创建防火墙入站规则

使用以下过程创建防火墙规则,以实现从 Cloud Filestore 实例传入流量。

  1. 检查当前端口设置,以确定 statdnlockmgr 守护程序在客户端上所使用的端口。记下这些端口,您将在第 13 步中用到它们。
  2. 转到 Google Cloud Platform Console 中的防火墙规则页面。
    转到“防火墙规则”页面
  3. 点击创建防火墙规则
  4. 输入防火墙规则的名称。该名称在项目中必须是唯一的。
  5. 指定要实行防火墙规则的网络
  6. 指定规则的优先级

    如果此规则不与任何其他规则冲突,则可以保留默认值 1000。如果存在面向相同 IP 地址范围、协议和端口的另一个入站规则,并且对匹配项执行的操作字段的值也为拒绝,则将新入站规则的优先级值设置为低于现有入站规则的值,以便 GCP 可以应用该值。

  7. 选择入站作为流量方向

  8. 对于对匹配项执行的操作,选择允许

  9. 对于目标,请执行以下操作之一:

    • 如果要允许从 Cloud Filestore 实例到网络中的所有客户端的流量通过,请选择网络中的所有实例
    • 如果要允许从 Cloud Filestore 实例到特定客户端的流量通过,请选择指定的目标标记。在目标标记中输入客户端的实例名称。
  10. 保留来源过滤条件IP 地址范围的默认值。

  11. 对于来源 IP 地址范围,输入要允许作为访问来源的 Cloud Filestore 实例的 IP 地址范围。您可以输入 Cloud Filestore 实例所用的内部 IP 地址范围以允许来自所有 Cloud Filestore 实例的流量通过,也可以输入特定的 Cloud Filestore 实例的 IP 地址。您必须使用 CIDR 表示法。

  12. 保留次要来源过滤条件的默认值

  13. 对于协议和端口,选择指定的协议和端口,然后在关联字段中输入 tcp:111,[STATD_PORT],[NLOCKMGR_PORT],其中:

    • [STATD_PORT]statd 守护程序在客户端上使用的端口。
    • [NLOCKMGR_PORT]nlockmgr 守护程序在客户端上使用的端口。

    例如,tcp:111,2046,4045

  14. 选择创建

创建防火墙出站规则

使用以下过程创建防火墙规则,以实现流量流入 Cloud Filestore 实例。

  1. 转到 Google Cloud Platform Console 中的防火墙规则页面。
    转到“防火墙规则”页面
  2. 点击创建防火墙规则
  3. 输入防火墙规则的名称。该名称在项目中必须是唯一的。
  4. 指定要实行防火墙规则的网络
  5. 指定规则的优先级

    如果此规则不与任何其他规则冲突,则可以保留默认值 1000。如果存在面向相同 IP 地址范围、协议和端口的另一个出站规则,并且对匹配项执行的操作字段的值也为拒绝,则将新出站规则的优先级值设置为低于现有出站规则的值,以便 GCP 可以应用该值。

  6. 选择出站作为流量方向

  7. 对于对匹配项执行的操作,选择允许

  8. 对于目标,请执行以下操作之一:

    • 如果要允许从网络中的所有客户端到 Cloud Filestore 实例的流量通过,请选择网络中的所有实例
    • 如果要允许从特定客户端到 Cloud Filestore 实例的流量通过,请选择指定的目标标记。在目标标记中输入客户端的实例名称。
  9. 对于目标 IP 地址范围,输入要允许作为访问目标的 Cloud Filestore 实例的 IP 地址范围。您可以输入用于 Cloud Filestore 实例的内部 IP 地址范围以允许流向所有 Cloud Filestore 实例的流量通过,也可以输入特定的 Cloud Filestore 实例的 IP 地址。您必须使用 CIDR 表示法。

  10. 对于协议和端口,选择指定的协议和端口,然后在关联字段中输入 tcp:111,2046,2049,2050,4045

  11. 选择创建

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud Filestore 文档