Configurazione delle regole del firewall

Identifica le regole firewall necessarie

Le tue workstation si connettono al piano di controllo tramite Private Service Connect. Le seguenti sottosezioni forniscono esempi Comandi dell'interfaccia a riga di comando gcloud per consentire il traffico in entrata e in uscita. Per ulteriori informazioni su questi comandi, consulta gcloud compute firewall-rules informazioni di riferimento.

Consenti traffico in entrata

Affinché la connessione vada a buon fine, crea una regola firewall per consentire il traffico in entrata nel piano di controllo l'indirizzo IP delle VM delle workstation. Cloud Workstations si applica automaticamente il tag di rete cloud-workstations-instance alle VM della workstation, da utilizzare durante la creazione di regole firewall che si applicano alle VM delle workstation. Consulta le il seguente esempio di comando dell'interfaccia a riga di comando gcloud:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Sostituisci quanto segue:

• RULE_NAME: il nome della regola firewall da creare
• NETWORK: la rete specificata nella risorsa cluster di workstation

• CONTROL_PLANE_IP: indirizzo IP interno del controllo per il cluster di workstation.

  Per trovare questo indirizzo IP, esegui questo comando:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Sostituisci quanto segue:

  • CLUSTER: l'ID del cluster o dei dati completi per il cluster.
  • PROJECT: il progetto che ospita il cluster di workstation.
  • REGION: la posizione della regione della stazione di lavoro, ad esempio us-central1.

Consenti traffico in uscita

Sono necessarie anche le regole firewall che consentano il traffico in uscita verso l'indirizzo IP del piano di controllo. dalle VM con il tag cloud-workstations-instance per il protocollo TCP attivato porte 980 e 443 come mostrato nel seguente comando dell'interfaccia a riga di comando gcloud:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Sostituisci quanto segue:

• RULE_NAME: il nome della regola firewall da creare
• NETWORK: la rete a cui è collegata questa regola. Se viene omessa, la regola si applica alla rete predefinita.

• CONTROL_PLANE_IP: indirizzo IP interno del controllo per il cluster di workstation.

  Per trovare questo indirizzo IP, esegui questo comando:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Sostituisci quanto segue:

  • CLUSTER: l'ID del cluster o dei dati completi per il cluster.
  • PROJECT: il progetto che ospita il cluster di workstation.
  • REGION: la località della regione della workstation, per ad esempio us-central1.

Per ulteriori informazioni, consulta anche i seguenti argomenti:

• WorkstationCluster API REST

• Consenti connessioni interne in entrata tra le VM

Aggiungi regole firewall utilizzando tag di rete personalizzati

Puoi configurare tag di rete personalizzati per le VM della tua workstation nella console Google Cloud. Quando crei o modifichi una configurazione di workstation, aggiorna della configurazione della macchina per includere i tuoi tag di rete nei tag di rete . Per maggiori dettagli su come aggiungere tag di rete, consulta le istruzioni per specificando Opzioni avanzate durante la creazione della macchina configurazione. In alternativa, quando utilizzi l'API, applica i tag di rete personalizzati tramite la Opzione host.gceInstance.tags sulla risorsa di configurazione della workstation.

Per saperne di più sulle regole firewall Virtual Private Cloud (VPC) in per Google Cloud, consulta Crea regole firewall VPC nella documentazione del VPC.