Configurer des règles de pare-feu

Cette page explique quand configurer les règles de pare-feu pour activer le verrouillage de fichier NFS.

Conditions nécessitant une configuration de la règle d'entrée de pare-feu

Vous devez créer une règle d'entrée de pare-feu pour activer le trafic des instances Filestore vers vos clients dans les cas suivants:

  • Vous utilisez le verrouillage de fichier NFS dans les applications qui accèdent à l'instance Cloud Filestore.
  • Le réseau VPC que vous utilisez comporte des règles de pare-feu qui bloquent le port TCP 111 ou les ports utilisés par les daemons statdou nlockmgr. Pour déterminer les ports que les daemons statd et nlockmgr utilisent sur le client, vérifiez les paramètres de port actuels.

    Si les ports statd et nlockmgr ne sont pas définis et que vous pensez devoir configurer des règles de pare-feu à un moment donné, nous vous recommandons vivement de définir ces ports de manière cohérente sur toutes les instances de VM clientes. Pour en savoir plus, consultez la section Définir les ports NFS.

Conditions nécessitant une configuration de la règle de sortie de pare-feu

Vous devez créer une règle de sortie de pare-feu pour activer le trafic de vos clients vers vos instances Filestore si:

  • Le réseau VPC que vous utilisez possède une règle de sortie de pare-feu pour les plages d'adresses IP utilisées par vos instances Filestore.
  • La règle de sortie du pare-feu bloque le trafic vers les ports TCP 111, 2046, 2049, 2050 ou 4045.

Vous pouvez obtenir la plage d'adresses IP réservée pour toute instance Filestore à partir de la page des instances Filestore ou en exécutant gcloud filestore instances describe. Pour en savoir plus, consultez la section Obtenir des informations sur une instance spécifique.

Pour plus d'informations sur les règles de pare-feu de réseau VPC, consultez la section Utiliser les règles de pare-feu.

Créer une règle d'entrée de pare-feu

Procédez comme suit pour créer une règle de pare-feu afin d'activer le trafic à partir des instances Filestore.

  1. Avant de commencer, vérifiez les éléments suivants :

    Windows

    1. Vérifiez que le client est autorisé à communiquer avec l'instance Filestore et que le pare-feu local ne bloque pas les ports requis. Pour ouvrir tous les ports NFS requis, exécutez la commande suivante dans PowerShell:

         '111','2046','2049','2050','4045' | % {
            C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
         }
      
    2. Vérifiez les paramètres de port actuels pour déterminer les ports que les daemons statd et nlockmgr utilisent sur le client. Notez-les pour une utilisation ultérieure.

    Linux

    Aucune condition préalable n'est requise pour effectuer cette tâche.

    MacOS

    Aucune condition préalable n'est requise pour effectuer cette tâche.

  2. Accédez à la page Pare-feu de la console Google Cloud.
    Accéder à la page "Pare-feu"

  3. Cliquez sur Créer une règle de pare-feu.

  4. Entrez un nom pour la règle de pare-feu. Ce nom doit être unique pour le projet.

  5. Spécifiez le réseau dans lequel vous souhaitez mettre en œuvre la règle de pare-feu.

  6. Spécifiez la priorité de la règle.

    Si cette règle n'entre en conflit avec aucune autre règle, vous pouvez conserver la valeur par défaut 1000. Si une règle d'entrée existante comporte une action en cas de correspondance: refuser pour la même plage d'adresses IP, les mêmes protocoles et ports, définissez une priorité inférieure à celle de la règle d'entrée existante.

  7. Choisissez Entrée pour Direction du trafic.

  8. Choisissez Autoriser pour Action en cas de correspondance.

  9. Pour Cibles, effectuez l'une des actions suivantes :

    • Si vous souhaitez autoriser le trafic vers tous les clients du réseau à partir des instances Filestore, sélectionnez Toutes les instances du réseau.
    • Si vous souhaitez autoriser le trafic vers des clients spécifiques à partir d'instances Filestore, choisissez Tags cibles spécifiées. Saisissez les noms d'instance des clients dans Tags cibles.
  10. Conservez la valeur par défaut des plages d'adresses IP pour Filtre source.

  11. Pour Plages IP source, saisissez les plages d'adresses IP des instances Filestore dont vous souhaitez autoriser l'accès au format CIDR. Vous pouvez entrer les plages d'adresses IP internes que vous utilisez avec vos instances Filestore pour activer tout le trafic Filestore. Vous pouvez également saisir les adresses IP d'instances Filestore spécifiques.

  12. Conservez la valeur par défaut Aucun pour le Deuxième filtre source.

  13. Pour Protocoles et ports, sélectionnez Protocoles et ports spécifiés, puis procédez comme suit :

    • Cochez la case tcp et saisissez 111,STATDOPTS,nlm_tcpport dans le champ associé, où :
      • STATDOPTS est le port utilisé par le daemon statd sur le client.
      • nlm_tcpport est le port tcp utilisé par le daemon nlockmgr sur le client.
    • Cochez la case udp et saisissez la valeur de nlm_udpport, qui correspond au port udp utilisé par nlockmgr. Notez que ces spécifications ne s'appliquent qu'aux tiers de service suivants :
      • Zonal
      • Régional
      • Entreprise
  14. Choisissez Créer.

Créer une règle de sortie de pare-feu

Utilisez la procédure suivante pour créer une règle de pare-feu afin d'activer le trafic vers des instances Filestore.

  1. Avant de commencer, vérifiez les éléments suivants :

    Windows

    Vérifiez que le client est autorisé à communiquer avec l'instance Filestore et que le pare-feu local ne bloque pas les ports requis. Pour ouvrir tous les ports NFS requis, exécutez la commande suivante dans PowerShell:

       '111','2046','2049','2050','4045' | % {
           C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
          }
    

    Linux

    Aucune condition préalable n'est requise pour effectuer cette tâche.

    MacOS

    Aucune condition préalable n'est requise pour effectuer cette tâche.

  2. Accédez à la page Pare-feu de la console Google Cloud.
    Accéder à la page "Pare-feu"

  3. Cliquez sur Créer une règle de pare-feu.

  4. Entrez un nom pour la règle de pare-feu. Ce nom doit être unique pour le projet.

  5. Spécifiez le réseau dans lequel vous souhaitez mettre en œuvre la règle de pare-feu.

  6. Spécifiez la priorité de la règle.

    Si cette règle n'entre en conflit avec aucune autre règle, vous pouvez conserver la valeur par défaut 1000. Si une règle de sortie existante comporte une Action on match: Deny (Action en cas de correspondance : Refuser) pour la même plage d'adresses IP, les mêmes protocoles et ports, définissez une priorité inférieure à celle de la règle d'entrée existante.

  7. Choisissez Sortie pour Direction du trafic.

  8. Choisissez Autoriser pour Action en cas de correspondance.

  9. Pour Cibles, effectuez l'une des actions suivantes :

    • Si vous souhaitez autoriser le trafic provenant de tous les clients du réseau vers les instances Filestore, sélectionnez Toutes les instances du réseau.
    • Si vous souhaitez autoriser le trafic de clients spécifiques vers des instances Filestore, choisissez Tags cibles spécifiés. Saisissez les noms d'instance des clients dans Tags cibles.
  10. Pour Plages d'adresses IP de destination, saisissez les plages d'adresses IP des instances Filestore auxquelles vous souhaitez autoriser l'accès au format CIDR. Vous pouvez entrer les plages d'adresses IP internes que vous utilisez avec vos instances Filestore pour activer le trafic vers toutes les instances Filestore. Vous pouvez également saisir les adresses IP d'instances Filestore spécifiques.

  11. Dans Protocoles et ports, sélectionnez Protocoles et ports spécifiés. Cochez la case TCP et saisissez 111,2046,2049,2050,4045 dans le champ associé.

  12. Choisissez Créer.

Vérifier les ports NFS

Nous vous recommandons de vérifier si vos ports NFS ont été correctement ouverts. Pour en savoir plus, consultez la section Configurer des ports NFS sur les VM clientes.

Étape suivante