Mengonfigurasi aturan firewall

Halaman ini menjelaskan kapan Anda harus mengonfigurasi aturan firewall untuk mengaktifkan penguncian file NFS.

Kondisi yang memerlukan konfigurasi aturan firewall masuk

Anda harus membuat aturan firewall masuk untuk mengaktifkan traffic dari instance Filestore ke klien jika:

• Anda menggunakan penguncian file NFS di aplikasi yang mengakses instance Filestore.

• Jaringan VPC yang Anda gunakan memiliki aturan firewall yang memblokir port TCP 111 atau port yang digunakan oleh daemon statd atau nlockmgr. Untuk menentukan port yang digunakan daemon statd dan nlockmgr di klien, periksa setelan port saat ini.

  Jika port statd dan nlockmgr tidak ditetapkan, dan Anda merasa mungkin perlu mengonfigurasi aturan firewall kapan saja, sebaiknya tetapkan port tersebut secara konsisten di semua instance VM klien. Untuk informasi selengkapnya, lihat Menetapkan port NFS.

Kondisi yang memerlukan konfigurasi aturan firewall keluar

Anda harus membuat aturan keluar firewall untuk mengaktifkan traffic dari klien ke instance Filestore jika:

• Jaringan VPC yang Anda gunakan memiliki aturan keluar firewall untuk rentang alamat IP yang digunakan oleh instance Filestore Anda.
• Aturan egress firewall memblokir traffic ke port TCP 111, 2046, 2049, 2050, atau 4045.

Anda bisa mendapatkan rentang alamat IP yang dicadangkan untuk instance Filestore apa pun dari halaman instance Filestore atau dengan menjalankan gcloud filestore instances describe. Untuk mengetahui informasi selengkapnya, lihat Mendapatkan informasi tentang instance tertentu.

Untuk mengetahui informasi selengkapnya tentang aturan firewall jaringan VPC, lihat Menggunakan Aturan Firewall.

Membuat aturan firewall masuk

Gunakan prosedur berikut untuk membuat aturan firewall guna mengaktifkan traffic dari instance Filestore.

1. Sebelum memulai, pastikan hal berikut:

   Windows

   1. Pastikan klien diizinkan untuk berkomunikasi dengan instance Filestore dan bahwa firewall lokal tidak memblokir port yang diperlukan. Untuk membuka semua port NFS yang diperlukan, jalankan perintah berikut di PowerShell:

         '111','2046','2049','2050','4045' | % {
            C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=IN action=ALLOW protocol=TCP,UDP localport=$($_)
         }
      

   2. Periksa setelan port saat ini untuk menentukan port yang digunakan daemon statd dan nlockmgr di klien. Catat untuk digunakan nanti.

   Linux

   Tidak ada prasyarat untuk menyelesaikan tugas ini.

   MacOS

   Tidak ada prasyarat untuk menyelesaikan tugas ini.

2. Buka halaman Firewall di Google Cloud konsol.
   Buka halaman Firewall

3. Klik Create firewall rule.

4. Masukkan Name untuk aturan firewall. Nama ini harus unik untuk project.

5. Tentukan Jaringan tempat Anda ingin menerapkan aturan firewall.

6. Tentukan Prioritas aturan.

   Jika aturan ini tidak bertentangan dengan aturan lainnya, Anda dapat membiarkan default 1000. Jika aturan masuk yang ada memiliki Tindakan saat cocok: Tolak yang ditetapkan untuk rentang alamat IP, protokol, dan port yang sama, tetapkan prioritas yang lebih rendah dari aturan masuk yang ada.

7. Pilih Ingress untuk Direction of traffic.

8. Pilih Allow untuk Action on match.

9. Untuk Target, lakukan salah satu tindakan berikut:

   • Jika Anda ingin mengizinkan traffic ke semua klien di jaringan dari instance Filestore, pilih All instances in the network.
   • Jika Anda ingin mengizinkan traffic ke klien tertentu dari instance Filestore, pilih Specified target tags. Ketik nama instance klien di Tag target.

10. Biarkan nilai default IP ranges untuk Source filter.

11. Untuk Source IP ranges, masukkan rentang alamat IP instance Filestore yang ingin Anda izinkan aksesnya dalam notasi CIDR. Anda dapat memasukkan rentang alamat IP internal yang Anda gunakan dengan instance Filestore untuk mengaktifkan semua traffic Filestore. Anda juga dapat memasukkan alamat IP instance Filestore tertentu.

12. Biarkan nilai default None untuk Second source filter.

13. Untuk Protocols and ports, pilih Specified protocols and ports, lalu:

    • Pilih kotak centang tcp dan masukkan 111,STATDOPTS,nlm_tcpport di kolom terkait, dengan:
      • STATDOPTS adalah port yang digunakan oleh daemon statd di klien.
      • nlm_tcpport adalah port tcp yang digunakan oleh daemon nlockmgr di klien.
    • Pilih kotak centang udp dan masukkan nilai nlm_udpport, yang adalah port udp yang digunakan oleh nlockmgr. Perhatikan bahwa spesifikasi ini hanya berlaku untuk tingkat layanan berikut:
      • Zonal
      • Regional
      • Enterprise

14. Pilih Buat.

Membuat aturan keluar firewall

Gunakan prosedur berikut untuk membuat aturan firewall guna mengaktifkan traffic ke instance Filestore.

1. Sebelum memulai, pastikan hal berikut:

   Windows

   Pastikan klien diizinkan untuk berkomunikasi dengan instance Filestore dan bahwa firewall lokal tidak memblokir port yang diperlukan. Untuk membuka semua port NFS yang diperlukan, jalankan perintah berikut di PowerShell:

      '111','2046','2049','2050','4045' | % {
          C:\Windows\system32\netsh.exe advfirewall firewall add rule name="NFS Shares allow TCP/UDP port $($_)" dir=OUT action=ALLOW protocol=TCP,UDP localport=$($_)
         }
   

   Linux

   Tidak ada prasyarat untuk menyelesaikan tugas ini.

   MacOS

   Tidak ada prasyarat untuk menyelesaikan tugas ini.

2. Buka halaman Firewall di Google Cloud konsol.
   Buka halaman Firewall

3. Klik Create firewall rule.

4. Masukkan Name untuk aturan firewall. Nama ini harus unik untuk project.

5. Tentukan Jaringan tempat Anda ingin menerapkan aturan firewall.

6. Tentukan Prioritas aturan.

   Jika aturan ini tidak bertentangan dengan aturan lainnya, Anda dapat membiarkan default 1000. Jika aturan keluar yang ada memiliki Tindakan saat cocok: Tolak yang ditetapkan untuk rentang alamat IP, protokol, dan port yang sama, tetapkan prioritas yang lebih rendah dari aturan masuk yang ada.

7. Pilih Egress untuk Direction of traffic.

8. Pilih Allow untuk Action on match.

9. Untuk Target, lakukan salah satu tindakan berikut:

   • Jika Anda ingin mengizinkan traffic dari semua klien di jaringan ke instance Filestore, pilih All instances in the network.
   • Jika Anda ingin mengizinkan traffic dari klien tertentu ke instance Filestore, pilih Specified target tags. Ketik nama instance klien di Tag target.

10. Untuk Rentang IP tujuan, masukkan rentang alamat IP instance Filestore yang ingin Anda izinkan aksesnya dalam notasi CIDR. Anda dapat memasukkan rentang alamat IP internal yang digunakan dengan instance Filestore untuk mengaktifkan traffic ke semua instance Filestore. Anda juga dapat memasukkan alamat IP instance Filestore tertentu.

11. Untuk Protocols and ports, pilih Specified protocols and ports. Kemudian, pilih kotak centang tcp dan masukkan 111,2046,2049,2050,4045 di kolom terkait.

12. Pilih Buat.

Memverifikasi port NFS

Sebaiknya verifikasi apakah port NFS Anda telah dibuka dengan benar. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi port NFS di VM klien.

Langkah berikutnya

• Pelajari lebih lanjut persyaratan jaringan dan resource IP untuk menggunakan Filestore.
• Mengonfigurasi port NFS di VM klien.