确定所需的防火墙规则
您的工作站通过
Private Service Connect。以下各小节提供了示例
gcloud CLI 命令,用于允许入站流量和出站流量。
有关这些命令的详细信息,请参阅
gcloud compute firewall-rules
参考信息。
允许入站流量
为了成功建立连接,请创建一个防火墙规则,以允许从工作站虚拟机向控制平面 IP 地址发起入站连接。Cloud Workstations 会自动应用
将 cloud-workstations-instance 网络标记添加到工作站虚拟机,
在创建适用于工作站虚拟机的防火墙规则时使用。请参阅
以下示例 gcloud CLI 命令:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
替换以下内容:
RULE_NAME:要创建的防火墙规则的名称NETWORK:在工作站集群资源上指定的网络CONTROL_PLANE_IP:控件的内部 IP 地址 平面于工作站集群的如需查找此 IP 地址,请运行以下命令:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION替换以下内容:
CLUSTER:集群的 ID 或集群的完全限定标识符。PROJECT:托管工作站集群的项目。REGION:工作站的区域位置,适用于 示例:us-central1。
允许出站流量
您还需要允许流向控制平面 IP 地址的出站流量的防火墙规则
从带有 cloud-workstations-instance 标记(适用于 TCP 协议)的虚拟机发送
端口 980 和 443,如以下 gcloud CLI 命令所示:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
替换以下内容:
RULE_NAME:要创建的防火墙规则的名称NETWORK:此规则将连接到的网络。如果 则规则会连接到默认网络。CONTROL_PLANE_IP:工作站集群控制平面的内部 IP 地址。如需查找此 IP 地址,请运行以下命令:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION替换以下内容:
CLUSTER:集群的 ID 或集群的完全限定标识符。PROJECT:托管工作站集群的项目。REGION:工作站的区域位置,适用于 示例:us-central1。
如需了解详情,另请参阅以下主题:
WorkstationCluster REST API
使用自定义网络标记添加防火墙规则
您可以在以下位置为工作站虚拟机配置自定义网络标记:
Google Cloud 控制台。创建或修改工作站配置时,请更新机器配置,以便在网络标记字段中添加网络标记。如需详细了解如何添加网络标记,请参阅
在创建机器时指定高级选项
配置。
或者,在使用 API 时,通过工作站配置资源上的 host.gceInstance.tags 选项应用自定义网络标记。
如需详细了解虚拟私有云 (VPC) 防火墙规则,请参阅 请参阅 创建 VPC 防火墙规则 。