Identifica le regole firewall necessarie
Le tue workstation si connettono al piano di controllo tramite
Private Service Connect. Le seguenti sottosezioni forniscono esempi
Comandi dell'interfaccia a riga di comando gcloud
per consentire il traffico in entrata e in uscita.
Per ulteriori informazioni su questi comandi, consulta
gcloud compute firewall-rules
informazioni di riferimento.
Consenti traffico in entrata
Affinché la connessione vada a buon fine, crea una regola firewall per consentire il traffico in entrata nel piano di controllo
l'indirizzo IP delle VM delle workstation. Cloud Workstations si applica automaticamente
il tag di rete cloud-workstations-instance
alle VM della workstation,
da utilizzare durante la creazione di regole firewall che si applicano alle VM delle workstation. Consulta le
il seguente esempio di comando dell'interfaccia a riga di comando gcloud
:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Sostituisci quanto segue:
RULE_NAME
: il nome della regola firewall da creareNETWORK
: la rete specificata nella risorsa cluster di workstationCONTROL_PLANE_IP
: indirizzo IP interno del controllo per il cluster di workstation.Per trovare questo indirizzo IP, esegui questo comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
Sostituisci quanto segue:
CLUSTER
: l'ID del cluster o dei dati completi per il cluster.PROJECT
: il progetto che ospita il cluster di workstation.REGION
: la posizione della regione della stazione di lavoro, ad esempious-central1
.
Consenti traffico in uscita
Sono necessarie anche le regole firewall che consentano il traffico in uscita verso l'indirizzo IP del piano di controllo.
dalle VM con il tag cloud-workstations-instance
per il protocollo TCP attivato
porte 980
e 443
come mostrato nel seguente comando dell'interfaccia a riga di comando gcloud
:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Sostituisci quanto segue:
RULE_NAME
: il nome della regola firewall da creareNETWORK
: la rete a cui è collegata questa regola. Se viene omessa, la regola si applica alla rete predefinita.CONTROL_PLANE_IP
: indirizzo IP interno del controllo per il cluster di workstation.Per trovare questo indirizzo IP, esegui questo comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
Sostituisci quanto segue:
CLUSTER
: l'ID del cluster o dei dati completi per il cluster.PROJECT
: il progetto che ospita il cluster di workstation.REGION
: la località della regione della workstation, per ad esempious-central1
.
Per ulteriori informazioni, consulta anche i seguenti argomenti:
Aggiungi regole firewall utilizzando tag di rete personalizzati
Puoi configurare tag di rete personalizzati per le VM della tua workstation nella console Google Cloud. Quando crei o modifichi una configurazione di workstation, aggiorna
della configurazione della macchina per includere i tuoi tag di rete nei tag di rete
. Per maggiori dettagli su come aggiungere tag di rete, consulta le istruzioni per
specificando Opzioni avanzate durante la creazione della macchina
configurazione.
In alternativa, quando utilizzi l'API, applica i tag di rete personalizzati tramite la
Opzione host.gceInstance.tags
sulla risorsa di configurazione della workstation.
Per saperne di più sulle regole firewall Virtual Private Cloud (VPC) in per Google Cloud, consulta Crea regole firewall VPC nella documentazione del VPC.