配置防火墙规则

本页面介绍了何时需要配置防火墙规则以启用 NFS 文件锁定。

如果您使用的是 Google Cloud (GCP) 项目随附的默认 VPC 网络,并且您尚未更改或添加该网络的任何防火墙规则,则无需创建任何防火墙规则。

需要防火墙入站规则配置的条件

在以下情况中,您需要创建防火墙入站规则以启用从 Filestore 实例到客户端的流量:

  • 您在访问 Filestore 实例的应用中使用了 NFS 文件锁定。
  • 您使用的 VPC 网络具有阻止 TCP 端口 111 或者 statdnlockmgr 守护程序使用的端口的防火墙规则。要确定 statdnlockmgr 守护程序在客户端上使用的端口,请检查当前端口设置

    如果未设置 statdnlockmgr 端口,并且您在任何时候认为可能需要配置防火墙规则,我们强烈建议在所有客户端虚拟机实例上一致地设置这些端口。如需了解详情,请参阅设置 NFS 端口

需要防火墙出站规则配置的条件

如果您使用的 VPC 网络具有防火墙出站流量规则阻止流向 TCP 端口 111、2046、2049、2050 或 4045 的流量,并针对 Filestore 实例使用的 IP 地址范围,那么您还需要创建防火墙出站流量规则来启用从客户端到 Filestore 实例的流量。

您可以从 Filestore 实例页面或通过运行 gcloud filestore instances describe,获取任何 Filestore 实例的预留 IP 地址范围。如需了解详情,请参阅获取特定实例的相关信息

要详细了解 VPC 网络防火墙规则,请参阅使用防火墙规则

创建防火墙入站规则

使用以下过程创建防火墙规则,以实现流量流入 Filestore 实例。

  1. 检查当前端口设置以确定 statdnlockmgr 守护程序在客户端上使用的端口。记下这些端口,您将在第 13 步中用到它们。
  2. 转到 Google Cloud Console 中的“防火墙”页面。
    转到“防火墙”页面
  3. 点击创建防火墙规则
  4. 输入防火墙规则的名称。 该名称在项目中必须是唯一的。
  5. 指定要实行防火墙规则的网络
  6. 指定规则的优先级

    如果此规则不与任何其他规则冲突,则可以保留默认值 1000。如果存在针对相同 IP 地址范围、协议和端口的另一个入站流量规则,且对匹配项执行的操作字段的值也为拒绝,则将新入站流量规则的优先级设置为低于现有入站流量规则的值,以便 Google Cloud 应用该入站流量规则。

  7. 选择入站作为流量方向

  8. 对于对匹配项执行的操作,选择允许

  9. 对于目标,请执行以下操作之一:

    • 如果要允许从 Filestore 实例到网络中所有客户端的流量,请选择网络中的所有实例
    • 如果要允许来自 Filestore 实例的特定客户端的流量,请选择指定的目标标记。在目标标记中输入客户端的实例名称。
  10. 保留来源过滤条件IP 地址范围的默认值。

  11. 对于来源 IP 地址范围,输入要允许作为访问来源的 Filestore 实例的 IP 地址范围。您可以输入 Filestore 实例所用的内部 IP 地址范围以允许来自所有 Filestore 实例的流量通过,也可以输入特定的 Filestore 实例的 IP 地址。您必须使用 CIDR 表示法。

  12. 保留次要来源过滤条件的默认值

  13. 对于协议和端口,请选择指定的协议和端口,然后:

    • 选中 tcp 复选框并在关联字段中输入 111,STATDOPTS,nlm_tcpport,其中:
      • STATDOPTSstatd 守护程序在客户端上使用的端口。
      • nlm_tcpportnlockmgr 守护程序在客户端上使用的 tcp 端口。
    • (仅限大规模 SSD)选中 udp 复选框并输入值 nlm_udpport,即 nlockmgr 使用的 udp 端口。
  14. 选择创建

创建防火墙出站规则

使用以下过程创建防火墙规则,以实现流量流入 Filestore 实例。

  1. 转到 Google Cloud Console 中的“防火墙”页面。
    转到“防火墙”页面
  2. 点击创建防火墙规则
  3. 输入防火墙规则的名称。 该名称在项目中必须是唯一的。
  4. 指定要实行防火墙规则的网络
  5. 指定规则的优先级

    如果此规则不与任何其他规则冲突,则可以保留默认值 1000。如果存在针对相同 IP 地址范围、协议和端口的另一个出站流量规则,且对匹配项执行的操作字段的值也为拒绝,则将新出站流量规则的优先级设置为低于现有出站流量规则的值,以便 Google Cloud 应用该出站流量规则。

  6. 选择出站作为流量方向

  7. 对于对匹配项执行的操作,选择允许

  8. 对于目标,请执行以下操作之一:

    • 如果要允许从网络中所有客户端到 Filestore 实例的流量,请选择网络中的所有实例
    • 如果要允许从特定客户端到 Filestore 实例的流量通过,请选择指定的目标标记。在目标标记中输入客户端的实例名称。
  9. 对于目标 IP 地址范围,输入要允许作为访问目标的 Filestore 实例的 IP 地址范围。您可以输入用于 Cloud Filestore 实例的内部 IP 地址范围以允许所有 Filestore 流量,也可以输入特定 Filestore 实例的 IP 地址。您必须使用 CIDR 表示法。

  10. 对于协议和端口,请选择指定的协议和端口。然后,选中 tcp 复选框并在关联字段中输入 111,2046,2049,2050,4045

  11. 选择创建