Elastifile FW-Regeln manuell konfigurieren – Elastifile-Hilfe [gg-elastifile-support-en]

Manuelles Konfigurieren der Elastifile-FW-Regeln

Einführung

Sie sollten diese Seite besuchen, falls Ihr Dienstkonto, das das Elastifile-System bereitstellt, nicht über die Berechtigung „roles/compute.securityAdmin" verfügt.

Wenn dies der Fall ist, wird Ihnen im Rahmen der Validierungsphase die folgende Warnmeldung angezeigt:

Elastifile erfordert 4 verschiedene FW-Regeln, die nur auf den Clusterbetrieb beschränkt sind:

1. elastifile-storage-management-<cluster_hash>
2. elastifile-storage-service-<cluster_hash>
3. elastifile-ra-service-<cluster_hash>
4. elastifile-storage-client-<cluster_hash>

Lösung

Um dieses Szenario zu überwinden, müssen Sie die FW-Regeln manuell konfigurieren.

Bitte befolgen Sie die nachstehenden Abschnitte „Voraussetzungen" und „Konfiguration".

Voraussetzungen

1. Der Benutzer, der die Befehle ausführt, sollte im erforderlichen Projekt über die Rolle „roles/compute.securityAdmin" verfügen.
2. Notieren Sie sich das Cluster-Hash-Label, indem Sie in der GCP-Konsole auf die Instanz des Elastifile-Verwaltungsservers klicken.

Aufbau

  # The following are examples only. Please modify per your own environment. $ HASH="8b77e1d1" $ PROJECT="support-team-a" $ VPC_NETWORK="snir-network" $ VPC_SUBNET_RANGE="10.164.0.0/20" $ gcloud compute --project=$PROJECT firewall-rules create elastifile-storage-management-$HASH --description="Elastifile Storage Management firewall rules" --direction=INGRESS --priority=1000 --network=$VPC_NETWORK --action=ALLOW --rules=tcp:22,tcp:53,tcp:80,tcp:443,tcp:10014-10017,udp:53,udp:123,udp:6667,icmp --source-ranges=$VPC_SUBNET_RANGE --source-tags=elastifile-storage-node-$HASH,elastifile-replication-node-$HASH,elastifile-management-node-$HASH --target-tags=elastifile-management-node-$HASH $ gcloud compute --project=$PROJECT firewall-rules create elastifile-storage-service-$HASH --description="Elastifile Storage Service firewall rules" --direction=INGRESS --priority=1000 --network=$VPC_NETWORK --action=ALLOW --rules=tcp:22,tcp:12121,tcp:10015-10018,tcp:1112-1132,tcp:2221-2241,tcp:8000-9224,tcp:10028,tcp:32768-60999,udp:6667,udp:8000-9224,udp:32768-60999,icmp --source-ranges=$VPC_SUBNET_RANGE --source-tags=elastifile-management-node-$HASH,elastifile-storage-node-$HASH,elastifile-replication-node-$HASH --target-tags=elastifile-storage-node-$HASH $ gcloud compute --project=$PROJECT firewall-rules create elastifile-ra-service-$HASH --description="Elastifile Replication Agent Service firewall rules" --direction=INGRESS --priority=1000 --network=$VPC_NETWORK --action=ALLOW --rules=tcp:22,tcp:80,tcp:443,tcp:10018,tcp:10015,tcp:10028,tcp:12121,icmp --source-ranges=$VPC_SUBNET_RANGE --source-tags=elastifile-storage-node-$HASH,elastifile-management-node-$HASH --target-tags=elastifile-replication-node-$HASH $ gcloud compute --project=$PROJECT firewall-rules create elastifile-storage-client-$HASH --description="Elastifile Client firewall rules" --direction=INGRESS --priority=1000 --network=$VPC_NETWORK --action=ALLOW --rules=tcp:111,tcp:644,tcp:2049,tcp:4040,tcp:4045,udp:111,udp:644,udp:2049,udp:4040,udp:4045,icmp --source-ranges=$VPC_SUBNET_RANGE --source-tags=elastifile-clients-$HASH,elastifile-replication-node-$HASH --target-tags=elastifile-storage-node-$HASH  

* Beachten Sie, dass jedes Elastifile-System seinen eigenen FW-Regelsatz für seinen eigenen Hash benötigt