配置防火墙规则

本页面介绍了何时必须配置防火墙规则以启用 NFS 文件锁定。

如果您使用的是项目随附的未修改防火墙规则的默认 VPC 网络,则无需创建任何防火墙规则。

需要防火墙入站规则配置的条件

在以下情况下,您必须创建防火墙入站规则,以允许从 Filestore 实例到客户端的流量:

  • 您在访问 Filestore 实例的应用中使用了 NFS 文件锁定。
  • 您使用的 VPC 网络具有阻止 TCP 端口 111 或者 statdnlockmgr 守护程序使用的端口的防火墙规则。如需确定 statdnlockmgr 守护程序在客户端上使用的端口,请检查当前端口设置

    如果未设置 statdnlockmgr 端口,并且您在任何时候认为可能需要配置防火墙规则,我们强烈建议在所有客户端虚拟机实例上一致地设置这些端口。如需了解详情,请参阅设置 NFS 端口

需要防火墙出站规则配置的条件

在以下情况下,您必须创建防火墙出站规则,以允许从客户端到 Filestore 实例的流量:

  • 您使用的 VPC 网络具有针对 Filestore 实例使用的 IP 地址范围设置的防火墙出站规则。
  • 该防火墙出站规则会阻止流向 TCP 端口 111、2046、2049、2050 或 4045 的流量。

您可以从 Filestore 实例页面或通过运行 gcloud filestore instances describe,获取任何 Filestore 实例的预留 IP 地址范围。如需了解详情,请参阅获取特定实例的相关信息

要详细了解 VPC 网络防火墙规则,请参阅使用防火墙规则

创建防火墙入站规则

使用以下过程创建防火墙规则,以实现流量流入 Filestore 实例。

  1. 检查当前端口设置以确定 statdnlockmgr 守护程序在客户端上使用的端口。记下它们供稍后使用。
  2. 转到 Google Cloud Console 中的“防火墙”页面。
    转到“防火墙”页面
  3. 点击创建防火墙规则
  4. 输入防火墙规则的名称。 该名称在项目中必须是唯一的。
  5. 指定要实行防火墙规则的网络
  6. 指定规则的优先级

    如果此规则不与任何其他规则冲突,则可以保留默认值 1000。如果现有入站规则已针对同一 IP 地址范围、协议和端口设置对匹配项执行的操作:拒绝,则设置低于现有入站规则的优先级。

  7. 选择入站作为流量方向

  8. 对于对匹配项执行的操作,选择允许

  9. 对于目标,请执行以下操作之一:

    • 如果要允许从 Filestore 实例到网络中所有客户端的流量,请选择网络中的所有实例
    • 如果要允许来自 Filestore 实例的特定客户端的流量,请选择指定的目标标记。在目标标记中输入客户端的实例名称。
  10. 保留来源过滤条件IP 地址范围的默认值。

  11. 来源 IP 地址范围部分,以 CIDR 表示法输入要允许作为访问来源的 Filestore 实例的 IP 地址范围。您可以输入 Filestore 实例所用的内部 IP 地址范围以允许所有 Filestore 流量。您还可以输入特定 Filestore 实例的 IP 地址。

  12. 保留次要来源过滤条件的默认值

  13. 对于协议和端口,请选择指定的协议和端口,然后:

    • 选中 tcp 复选框并在关联字段中输入 111,STATDOPTS,nlm_tcpport,其中:
      • STATDOPTSstatd 守护程序在客户端上使用的端口。
      • nlm_tcpportnlockmgr 守护程序在客户端上使用的 tcp 端口。
    • (仅限大规模 SSD)选中 udp 复选框并输入值 nlm_udpport,即 nlockmgr 使用的 udp 端口。
  14. 选择创建

创建防火墙出站规则

使用以下过程创建防火墙规则,以实现流量流入 Filestore 实例。

  1. 转到 Google Cloud Console 中的“防火墙”页面。
    转到“防火墙”页面
  2. 点击创建防火墙规则
  3. 输入防火墙规则的名称。 该名称在项目中必须是唯一的。
  4. 指定要实行防火墙规则的网络
  5. 指定规则的优先级

    如果此规则不与任何其他规则冲突,则可以保留默认值 1000。如果现有出站规则为同一 IP 地址范围、协议和端口设置了对匹配项执行的操作:拒绝,则设置低于现有入站规则的优先级。

  6. 选择出站作为流量方向

  7. 对于对匹配项执行的操作,选择允许

  8. 对于目标,请执行以下操作之一:

    • 如果要允许从网络中所有客户端到 Filestore 实例的流量,请选择网络中的所有实例
    • 如果要允许从特定客户端到 Filestore 实例的流量通过,请选择指定的目标标记。在目标标记中输入客户端的实例名称。
  9. 目标 IP 地址范围部分,以 CIDR 表示法输入要允许作为访问目标的 Filestore 实例的 IP 地址范围。您可以输入 Filestore 实例所用的内部 IP 地址范围,以允许流向所有 Filestore 实例的流量通过。您还可以输入特定 Filestore 实例的 IP 地址。

  10. 对于协议和端口,请选择指定的协议和端口。然后,选中 tcp 复选框并在关联字段中输入 111,2046,2049,2050,4045

  11. 选择创建