Mengonfigurasi aturan firewall

Halaman ini menjelaskan kapan Anda harus mengonfigurasi aturan firewall untuk mengaktifkan penguncian file NFS.

Kondisi yang memerlukan konfigurasi aturan masuk firewall

Anda harus membuat aturan masuk firewall untuk mengaktifkan traffic dari instance Filestore ke klien jika:

• Anda menggunakan penguncian file NFS di aplikasi yang mengakses instance Filestore.

• Jaringan VPC yang Anda gunakan memiliki aturan firewall yang memblokir port TCP 111 atau port yang digunakan oleh daemon statd atau nlockmgr. Untuk menentukan port yang digunakan oleh daemon statd dan nlockmgr di klien, periksa setelan port saat ini.

  Jika port statd dan nlockmgr tidak ditetapkan, dan Anda merasa mungkin perlu mengonfigurasi aturan firewall kapan saja, sebaiknya tetapkan port tersebut secara konsisten di semua instance VM klien. Untuk mengetahui informasi selengkapnya, lihat Menetapkan port NFS.

Kondisi yang memerlukan konfigurasi aturan keluar firewall

Anda harus membuat aturan keluar firewall untuk mengaktifkan traffic dari klien ke instance Filestore jika:

• Jaringan VPC yang Anda gunakan memiliki aturan keluar firewall untuk rentang alamat IP yang digunakan oleh instance Filestore.
• Aturan keluar firewall memblokir traffic ke port TCP 111, 2046, 2049, 2050, atau 4045.

Anda bisa mendapatkan rentang alamat IP yang dicadangkan untuk instance Filestore apa pun dari halaman instance Filestore atau dengan menjalankan gcloud filestore instances describe. Untuk mengetahui informasi selengkapnya, lihat Mendapatkan informasi tentang instance tertentu.

Untuk mengetahui informasi selengkapnya tentang aturan firewall jaringan VPC, lihat Menggunakan Aturan Firewall.

Membuat aturan masuk firewall

Gunakan prosedur berikut untuk membuat aturan firewall guna mengaktifkan traffic dari instance Filestore.

1. Sebelum memulai, pastikan hal berikut:

   Windows

   1. Pastikan klien diizinkan untuk berkomunikasi dengan instance Filestore dan firewall lokal tidak memblokir port yang diperlukan. Untuk membuka semua port NFS yang diperlukan, jalankan perintah berikut di PowerShell:

         '111','2046','2049','2050','4045' | % {
            C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
         }
      

   2. Periksa setelan port saat ini untuk menentukan port yang digunakan oleh daemon statd dan nlockmgr di klien. Catat port tersebut untuk digunakan nanti.

   Linux

   Tidak ada prasyarat untuk menyelesaikan tugas ini.

   MacOS

   Tidak ada prasyarat untuk menyelesaikan tugas ini.

2. Buka halaman Firewall di Google Cloud konsol.
   Buka halaman Firewall

3. Klik Create firewall rule.

4. Masukkan Name untuk aturan firewall. Nama ini harus unik untuk project.

5. Tentukan Network tempat Anda ingin menerapkan aturan firewall.

6. Tentukan Priority aturan.

   Jika aturan ini tidak bertentangan dengan aturan lain, Anda dapat membiarkan nilai default 1000. Jika aturan masuk yang ada memiliki Action on match: Deny yang ditetapkan untuk rentang alamat IP, protokol, dan port yang sama, tetapkan prioritas yang lebih rendah daripada aturan masuk yang ada.

7. Pilih Ingress untuk Direction of traffic.

8. Pilih Allow untuk Action on match.

9. Untuk Targets, lakukan salah satu tindakan berikut:

   • Jika Anda ingin mengizinkan traffic ke semua klien di jaringan dari instance Filestore, pilih All instances in the network.
   • Jika Anda ingin mengizinkan traffic ke klien tertentu dari instance Filestore, pilih Specified target tags. Ketik nama instance klien di Target tags.

10. Biarkan nilai default IP ranges untuk Source filter.

11. Untuk Source IP ranges, masukkan rentang alamat IP instance Filestore yang ingin Anda izinkan aksesnya dalam notasi CIDR. Anda dapat memasukkan rentang alamat IP internal yang Anda gunakan dengan instance Filestore untuk mengaktifkan semua traffic Filestore. Anda juga dapat memasukkan alamat IP instance Filestore tertentu.

12. Biarkan nilai default None untuk Second source filter.

13. Untuk Protocols and ports, pilih Specified protocols and ports dan lalu:

    • Centang kotak tcp dan masukkan 111,STATDOPTS,nlm_tcpport di kolom terkait, dengan:
      • STATDOPTS adalah port yang digunakan oleh daemon statd di klien.
      • nlm_tcpport adalah port tcp yang digunakan oleh daemon nlockmgr di klien.
    • Centang kotak udp dan masukkan nilai nlm_udpport, yang merupakan port udp yang digunakan oleh nlockmgr. Perhatikan bahwa spesifikasi ini hanya berlaku untuk tingkat layanan berikut:
      • Zonal
      • Regional
      • Enterprise

14. Pilih Create.

Membuat aturan keluar firewall

Gunakan prosedur berikut untuk membuat aturan firewall guna mengaktifkan traffic ke instance Filestore.

1. Sebelum memulai, pastikan hal berikut:

   Windows

   Pastikan klien diizinkan untuk berkomunikasi dengan instance Filestore dan firewall lokal tidak memblokir port yang diperlukan. Untuk membuka semua port NFS yang diperlukan, jalankan perintah berikut di PowerShell:

      '111','2046','2049','2050','4045' | % {
          C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
         }
   

   Linux

   Tidak ada prasyarat untuk menyelesaikan tugas ini.

   MacOS

   Tidak ada prasyarat untuk menyelesaikan tugas ini.

2. Buka halaman Firewall di Google Cloud konsol.
   Buka halaman Firewall

3. Klik Create firewall rule.

4. Masukkan Name untuk aturan firewall. Nama ini harus unik untuk project.

5. Tentukan Network tempat Anda ingin menerapkan aturan firewall.

6. Tentukan Priority aturan.

   Jika aturan ini tidak bertentangan dengan aturan lain, Anda dapat membiarkan nilai default 1000. Jika aturan keluar yang ada memiliki Action on match: Deny yang ditetapkan untuk rentang alamat IP, protokol, dan port yang sama, tetapkan prioritas yang lebih rendah daripada aturan masuk yang ada.

7. Pilih Egress untuk Direction of traffic.

8. Pilih Allow untuk Action on match.

9. Untuk Targets, lakukan salah satu tindakan berikut:

   • Jika Anda ingin mengizinkan traffic dari semua klien di jaringan ke instance Filestore, pilih All instances in the network.
   • Jika Anda ingin mengizinkan traffic dari klien tertentu ke instance Filestore, pilih Specified target tags. Ketik nama instance klien di Target tags.

10. Untuk Destination IP ranges, masukkan rentang alamat IP instance Filestore yang ingin Anda izinkan aksesnya dalam notasi CIDR. Anda dapat memasukkan rentang alamat IP internal yang Anda gunakan dengan instance Filestore untuk mengaktifkan traffic ke semua instance Filestore. Anda juga dapat memasukkan alamat IP instance Filestore tertentu.

11. Untuk Protocols and ports, pilih Specified protocols and ports. Kemudian, centang kotak tcp dan masukkan 111,2046,2049,2050,4045 di kolom terkait.

12. Pilih Create.

Memverifikasi port NFS

Sebaiknya verifikasi apakah port NFS Anda telah dibuka dengan benar. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi port NFS di VM klien.

Langkah berikutnya

• Pelajari lebih lanjut persyaratan jaringan dan resource IP untuk menggunakan Filestore.
• Mengonfigurasi port NFS di VM klien.