הגדרת כללים לחומת אש

בדף הזה מוסבר מתי צריך להגדיר כללי חומת אש כדי להפעיל נעילת קבצים ב-NFS.

תנאים שמחייבים הגדרה של כלל חומת אש לתעבורת נתונים נכנסת

אם מתקיימים התנאים הבאים, צריך ליצור כלל חומת אש לתעבורת נתונים נכנסת כדי לאפשר תעבורת נתונים ממופעי Filestore ללקוחות:

  • אתם משתמשים בנעילת קבצים ב-NFS באפליקציות שניגשות למופע Filestore.

  • ברשת ה-VPC שבה אתם משתמשים יש כללים בחומת האש שחוסמים את יציאת TCP מספר 111 או את היציאות שבהן משתמשים הדמונים statd או nlockmgr. כדי לדעת באילו יציאות משתמשים שדימונים statd ו-nlockmgr בלקוח, צריך לבדוק את הגדרות היציאות הנוכחיות.

    אם לא הגדרתם את הפורטים statd ו-nlockmgr, ואתם חושבים שאולי תצטרכו להגדיר כללי חומת אש בשלב כלשהו, מומלץ מאוד להגדיר את הפורטים האלה באופן עקבי בכל המכונות הווירטואליות של הלקוחות. מידע נוסף מופיע במאמר בנושא הגדרת יציאות NFS.

תנאים שדורשים הגדרה של כלל יציאה בחומת האש

אם מתקיימים התנאים הבאים, צריך ליצור כלל של חומת אש ליציאה כדי לאפשר תעבורת נתונים מהלקוחות אל מופעי Filestore:

  • ברשת ה-VPC שבה אתם משתמשים יש כלל יציאה של חומת אש לטווח כתובות ה-IP שמשמשות את מופעי Filestore.
  • כלל חומת האש לתעבורת נתונים יוצאת (egress) חוסם תעבורה ליציאות TCP ‏111, 2046, 2049, 2050 או 4045.

אפשר לקבל את טווח כתובות ה-IP השמורות לכל מופע של Filestore מהדף Filestore instances או על ידי הפעלת הפקודה gcloud filestore instances describe. מידע נוסף מופיע במאמר בנושא קבלת מידע על מופע ספציפי.

מידע נוסף על הכללים של חומת האש ברשת VPC

יצירת כלל תעבורת נתונים נכנסת (ingress) בחומת האש

כדי ליצור כלל חומת אש שיאפשר תעבורת נתונים ממופעי Filestore, פועלים לפי השלבים הבאים.

  1. לפני שמתחילים, חשוב לוודא את הפרטים הבאים:

    Windows

    1. מוודאים שללקוח יש הרשאה לתקשר עם מופע Filestore ושהחומת האש המקומית לא חוסמת את היציאות הנדרשות. כדי לפתוח את כל יציאות ה-NFS הנדרשות, מריצים את הפקודה הבאה ב-PowerShell:

         '111','2046','2049','2050','4045' | % {
      C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
   }

    2. בודקים את הגדרות היציאה הנוכחיות כדי לדעת באילו יציאות משתמשים הדמונים statd ו-nlockmgr בלקוח. כדאי לרשום אותם כדי להשתמש בהם בהמשך.

    Linux

    אין תנאים מוקדמים להשלמת המשימה הזו.

    MacOS

    אין תנאים מוקדמים להשלמת המשימה הזו.

  2. נכנסים לדף Firewall במסוף Google Cloud .
    כניסה לדף Firewall

  3. לוחצים על יצירת כלל לחומת האש.

  4. מזינים שם לכלל חומת האש. השם הזה חייב להיות ייחודי בפרויקט.

  5. מציינים את הרשת שבה רוצים להטמיע את כלל חומת האש.

  6. מציינים את העדיפות של הכלל.

    אם הכלל הזה לא מתנגש עם כללים אחרים, אפשר להשאיר את ברירת המחדל 1000. אם כלל קיים של תעבורת כניסה מוגדר עם פעולה בהתאמה: דחייה עבור אותו טווח כתובות IP, פרוטוקולים ויציאות, צריך להגדיר עדיפות נמוכה יותר מזו של כלל תעבורת הכניסה הקיים.

  7. בוחרים באפשרות Ingress (כניסה) בשדה Direction of traffic (כיוון התנועה).

  8. בוחרים באפשרות אישור בשדה פעולה בהתאמה.

  9. בקטע יעדים, מבצעים אחת מהפעולות הבאות:

    • אם רוצים לאפשר תעבורה לכל הלקוחות ברשת מתוך מכונות Filestore, בוחרים באפשרות כל המכונות ברשת.
    • אם רוצים לאפשר תנועה ללקוחות ספציפיים ממופעי Filestore, בוחרים באפשרות תגי יעד ספציפיים. מקלידים את שמות המופעים של הלקוחות בתגי יעד.

  10. משאירים את ערך ברירת המחדל של טווח כתובות IP בשדה מסנן מקור.

  11. בקטע Source IP ranges (טווח כתובות IP של המקור), מזינים את טווחי כתובות ה-IP של מופעי Filestore שרוצים לאפשר גישה מהם בסימון CIDR. אתם יכולים להזין את טווח כתובות ה-IP הפנימיות שבהן אתם משתמשים עם מופעי Filestore כדי לאפשר את כל התנועה ב-Filestore. אפשר גם להזין את כתובות ה-IP של מופעי Filestore ספציפיים.

  12. משאירים את ערך ברירת המחדל ללא בשדה מסנן מקור שני.

  13. בקטע פרוטוקולים ויציאות, בוחרים באפשרות פרוטוקולים ויציאות שצוינו ואז:

    • מסמנים את תיבת הסימון tcp ומזינים את הערך 111,STATDOPTS,nlm_tcpport בשדה המתאים, כאשר:
      • STATDOPTS היא היציאה שבה נעשה שימוש על ידי דמון statd בלקוח.
      • nlm_tcpport היא היציאה של tcp שבה משתמש הדמון nlockmgr בלקוח.
    • מסמנים את תיבת הסימון udp ומזינים את הערך nlm_udpport, שהוא היציאה udp שמשמשת את nlockmgr. הערה: המפרטים האלה חלים רק על רמות השירות הבאות:
      • אזורי
      • אזורי
      • Enterprise

  14. בוחרים באפשרות יצירה.

יצירת כלל ליציאה מחומת האש

כדי ליצור כלל חומת אש שיאפשר תעבורת נתונים אל מופעי Filestore, פועלים לפי השלבים הבאים.

  1. לפני שמתחילים, חשוב לוודא את הפרטים הבאים:

    Windows

    מוודאים שללקוח יש הרשאה לתקשר עם מופע Filestore ושהחומת האש המקומית לא חוסמת את היציאות הנדרשות. כדי לפתוח את כל יציאות ה-NFS הנדרשות, מריצים את הפקודה הבאה ב-PowerShell:

       '111','2046','2049','2050','4045' | % {
       C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
      }

    Linux

    אין תנאים מוקדמים להשלמת המשימה הזו.

    MacOS

    אין תנאים מוקדמים להשלמת המשימה הזו.

  2. נכנסים לדף Firewall במסוף Google Cloud .
    כניסה לדף Firewall

  3. לוחצים על יצירת כלל לחומת האש.

  4. מזינים שם לכלל חומת האש. השם הזה חייב להיות ייחודי בפרויקט.

  5. מציינים את הרשת שבה רוצים להטמיע את כלל חומת האש.

  6. מציינים את העדיפות של הכלל.

    אם הכלל הזה לא מתנגש עם כללים אחרים, אפשר להשאיר את ברירת המחדל 1000. אם לכלל יציאה קיים מוגדר Action on match: Deny עבור אותו טווח כתובות IP, פרוטוקולים ויציאות, צריך להגדיר עדיפות נמוכה יותר מזו של כלל הכניסה הקיים.

  7. בוחרים באפשרות תעבורת נתונים יוצאת (egress) בשדה כיוון התנועה.

  8. בוחרים באפשרות אישור בשדה פעולה בהתאמה.

  9. בקטע יעדים, מבצעים אחת מהפעולות הבאות:

    • אם רוצים לאפשר תעבורה מכל הלקוחות ברשת למכונות של Filestore, בוחרים באפשרות כל המכונות ברשת.
    • אם רוצים לאפשר תנועה מלקוחות ספציפיים למופעי Filestore, בוחרים באפשרות Specified target tags (תגי יעד ספציפיים). מקלידים את שמות המופעים של הלקוחות בתגי יעד.

  10. בקטע טווח כתובות IP של היעד, מזינים את טווחי כתובות ה-IP של מופעי Filestore שרוצים לאפשר להם גישה בסימון CIDR. אתם יכולים להזין את טווח כתובות ה-IP הפנימיות שבהן אתם משתמשים עם מכונות Filestore כדי לאפשר תנועה לכל מכונות Filestore. אפשר גם להזין את כתובות ה-IP של מופעי Filestore ספציפיים.

  11. בקטע פרוטוקולים ויציאות, בוחרים באפשרות פרוטוקולים ויציאות שצוינו. לאחר מכן מסמנים את תיבת הסימון tcp ומזינים את הערך 111,2046,2049,2050,4045 בשדה שמופיע.

  12. בוחרים באפשרות יצירה.

אימות של יציאות NFS

מומלץ לוודא שהיציאות של NFS נפתחו בצורה תקינה. מידע נוסף זמין במאמר הגדרת יציאות NFS במכונות וירטואליות של לקוחות.

המאמרים הבאים