Configura le regole firewall

Questa pagina spiega quando devi configurare le regole firewall per abilitare il blocco dei file NFS.

Condizioni che richiedono la configurazione della regola di ingresso del firewall

Devi creare una regola di ingresso firewall per abilitare il traffico dalle istanze Filestore ai tuoi client se:

• Stai utilizzando il blocco dei file NFS nelle applicazioni che accedono all'istanza Filestore.

• La rete VPC che utilizzi ha regole firewall che bloccano la porta TCP 111 o le porte utilizzate dai daemon statd o nlockmgr. Per determinare quali porte utilizzano i daemon statd e nlockmgr sul client, controlla le impostazioni delle porte correnti.

  Se le porte statd e nlockmgr non sono impostate e ritieni che potresti dover configurare le regole firewall in qualsiasi momento, ti consigliamo vivamente di impostare queste porte in modo coerente su tutte le istanze VM client. Per saperne di più, consulta Impostazione delle porte NFS.

Condizioni che richiedono la configurazione della regola di uscita del firewall

Devi creare una regola di uscita firewall per abilitare il traffico dai client alle istanze Filestore se:

• La rete VPC che utilizzi ha una regola di uscita firewall per gli intervalli di indirizzi IP utilizzati dalle tue istanze Filestore.
• La regola di uscita del firewall blocca il traffico verso le porte TCP 111, 2046, 2049, 2050 o 4045.

Puoi ottenere l'intervallo di indirizzi IP riservati per qualsiasi istanza Filestore dalla pagina delle istanze Filestore o eseguendo gcloud filestore instances describe. Per saperne di più, vedi Ottenere informazioni su un'istanza specifica.

Per saperne di più sulle regole firewall della rete VPC, consulta Utilizzo delle regole firewall.

Crea una regola in entrata del firewall

Utilizza la seguente procedura per creare una regola firewall per attivare il traffico dalle istanze Filestore.

1. Prima di iniziare, verifica quanto segue:

   Windows

   1. Verifica che al client sia consentito comunicare con l'istanza Filestore e che il firewall locale non blocchi le porte richieste. Per aprire tutte le porte NFS richieste, esegui questo comando in PowerShell:

         '111','2046','2049','2050','4045' | % {
            C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
         }
      

   2. Controlla le impostazioni della porta attuali per determinare quali porte utilizzano i daemon statd e nlockmgr sul client. Prendi nota di questi valori per utilizzarli in un secondo momento.

   Linux

   Non sono previsti prerequisiti per completare questa attività.

   MacOS

   Non sono previsti prerequisiti per completare questa attività.

2. Vai alla pagina Firewall nella console Google Cloud .
   Vai alla pagina Firewall

3. Fai clic su Crea regola firewall.

4. Inserisci un nome per la regola firewall. Questo nome deve essere univoco per il progetto.

5. Specifica la Rete in cui vuoi implementare la regola firewall.

6. Specifica la Priorità della regola.

   Se questa regola non è in conflitto con altre regole, puoi lasciare il valore predefinito di 1000. Se una regola di ingresso esistente ha impostato Azione in caso di corrispondenza: Nega per gli stessi intervalli di indirizzi IP, protocolli e porte, imposta una priorità inferiore rispetto alla regola di ingresso esistente.

7. Scegli In entrata per Direzione del traffico.

8. Scegli Consenti per Azione in caso di corrispondenza.

9. Per i target, esegui una delle seguenti azioni:

   • Se vuoi consentire il traffico a tutti i client nella rete dalle istanze Filestore, scegli Tutte le istanze nella rete.
   • Se vuoi consentire il traffico a client specifici dalle istanze Filestore, scegli Tag di destinazione specificati. Digita i nomi delle istanze dei client in Tag di destinazione.

10. Lascia il valore predefinito Intervalli IP per Filtro di origine.

11. In Intervalli IP di origine, inserisci gli intervalli di indirizzi IP delle istanze Filestore da cui vuoi consentire l'accesso in notazione CIDR. Puoi inserire gli intervalli di indirizzi IP interni che utilizzi con le tue istanze Filestore per attivare tutto il traffico Filestore. Puoi anche inserire gli indirizzi IP di istanze Filestore specifiche.

12. Lascia il valore predefinito Nessuno per Filtro seconda origine.

13. In Protocolli e porte, scegli Protocolli e porte specificati e poi:

    • Seleziona la casella di controllo tcp e inserisci 111,STATDOPTS,nlm_tcpport nel campo associato, dove:
      • STATDOPTS è la porta utilizzata dal daemon statd sul client.
      • nlm_tcpport è la porta tcp utilizzata dal daemon nlockmgr sul client.
    • Seleziona la casella di controllo udp e inserisci il valore nlm_udpport, che è la porta udp utilizzata da nlockmgr. Tieni presente che queste specifiche si applicano solo ai seguenti livelli di servizio:
      • A livello di zona
      • Regionale
      • Aziende

14. Scegli Crea.

Crea una regola di uscita del firewall

Utilizza la seguente procedura per creare una regola firewall per attivare il traffico verso le istanze Filestore.

1. Prima di iniziare, verifica quanto segue:

   Windows

   Verifica che al client sia consentito comunicare con l'istanza Filestore e che il firewall locale non blocchi le porte richieste. Per aprire tutte le porte NFS richieste, esegui questo comando in PowerShell:

      '111','2046','2049','2050','4045' | % {
          C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
         }
   

   Linux

   Non sono previsti prerequisiti per completare questa attività.

   MacOS

   Non sono previsti prerequisiti per completare questa attività.

2. Vai alla pagina Firewall nella console Google Cloud .
   Vai alla pagina Firewall

3. Fai clic su Crea regola firewall.

4. Inserisci un nome per la regola firewall. Questo nome deve essere univoco per il progetto.

5. Specifica la Rete in cui vuoi implementare la regola firewall.

6. Specifica la Priorità della regola.

   Se questa regola non è in conflitto con altre regole, puoi lasciare il valore predefinito di 1000. Se una regola di uscita esistente ha Azione in caso di corrispondenza: Nega impostata per lo stesso intervallo di indirizzi IP, protocolli e porte, imposta una priorità inferiore rispetto alla regola di ingresso esistente.

7. Scegli In uscita per Direzione del traffico.

8. Scegli Consenti per Azione in caso di corrispondenza.

9. Per i target, esegui una delle seguenti azioni:

   • Se vuoi consentire il traffico da tutti i client della rete alle istanze Filestore, scegli Tutte le istanze nella rete.
   • Se vuoi consentire il traffico da client specifici alle istanze Filestore, scegli Tag di destinazione specificati. Digita i nomi delle istanze dei client in Tag di destinazione.

10. Per Intervalli IP di destinazione, inserisci gli intervalli di indirizzi IP delle istanze Filestore a cui vuoi consentire l'accesso in notazione CIDR. Puoi inserire gli intervalli di indirizzi IP interni che utilizzi con le tue istanze Filestore per attivare il traffico verso tutte le istanze Filestore. Puoi anche inserire gli indirizzi IP di istanze Filestore specifiche.

11. In Protocolli e porte, scegli Protocolli e porte specificati. Quindi, seleziona la casella di controllo tcp e inserisci 111,2046,2049,2050,4045 nel campo associato.

12. Scegli Crea.

Verificare le porte NFS

Ti consigliamo di verificare se le porte NFS sono state aperte correttamente. Per maggiori informazioni, consulta Configurare le porte NFS sulle VM client.

Passaggi successivi

• Scopri di più sui requisiti delle risorse di rete e IP per l'utilizzo di Filestore.
• Configura le porte NFS sulle VM client.