Erforderliche Firewallregeln ermitteln
Die Workstations stellen über Private Service Connect eine Verbindung zur Steuerungsebene her. Die folgenden Unterabschnitte enthalten Beispiele für gcloud
-Befehlszeilenbefehle, mit denen ein- und ausgehender Traffic zugelassen wird.
Weitere Informationen zu diesen Befehlen finden Sie in der Referenzinformationen zu gcloud compute firewall-rules
.
Eingehenden Traffic zulassen
Erstellen Sie für die Verbindung eine Firewallregel, die eingehenden Traffic von den Workstation-VMs zur IP-Adresse der Steuerungsebene zulässt. Cloud Workstations wendet das Netzwerk-Tag cloud-workstations-instance
automatisch auf die Workstation-VMs an, das beim Erstellen von Firewallregeln für Workstation-VMs verwendet werden kann. Hier ein Beispiel für einen gcloud
-Befehlszeilenbefehl:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Ersetzen Sie Folgendes:
RULE_NAME
: der Name der zu erstellenden FirewallregelNETWORK
: das für die Workstationclusterressource angegebene NetzwerkCONTROL_PLANE_IP
: die interne IP-Adresse der Steuerungsebene für den Workstationcluster.Führen Sie den folgenden Befehl aus, um diese IP-Adresse zu ermitteln:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
Ersetzen Sie Folgendes:
CLUSTER
: die ID des Clusters oder die voll qualifizierte Kennzeichnung für den Cluster.PROJECT
: das Projekt, das den Workstationcluster hostet.REGION
: Regionsstandort der Workstation, z. B.us-central1
Ausgehenden Traffic zulassen
Außerdem benötigen Sie Firewallregeln, die ausgehenden Traffic von VMs mit dem Tag cloud-workstations-instance
für das TCP-Protokoll an den Ports 980
und 443
zur IP-Adresse der Steuerungsebene zulassen, wie im folgenden gcloud
-Befehlszeilenbefehl gezeigt:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Ersetzen Sie Folgendes:
RULE_NAME
: der Name der zu erstellenden FirewallregelNETWORK
: das Netzwerk, mit dem diese Regel verknüpft ist Wenn nicht angegeben, wird die Regel mit dem Standardnetzwerk verbunden.CONTROL_PLANE_IP
: die interne IP-Adresse der Steuerungsebene für den Workstationcluster.Führen Sie den folgenden Befehl aus, um diese IP-Adresse zu ermitteln:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
Ersetzen Sie Folgendes:
CLUSTER
: die ID des Clusters oder die voll qualifizierte Kennzeichnung für den Cluster.PROJECT
: das Projekt, das den Workstationcluster hostet.REGION
: Regionsstandort der Workstation, z. B.us-central1
Weitere Informationen finden Sie auch in den folgenden Themen:
Firewallregeln mithilfe von benutzerdefinierten Netzwerk-Tags hinzufügen
Sie können benutzerdefinierte Netzwerk-Tags für Ihre Workstation-VMs in der Google Cloud Console konfigurieren. Wenn Sie eine Workstationkonfiguration erstellen oder bearbeiten, aktualisieren Sie die Maschinenkonfiguration, um Ihre Netzwerktags in das Feld Netzwerk-Tags aufzunehmen. Weitere Informationen zum Hinzufügen von Netzwerk-Tags finden Sie in der Anleitung zum Angeben erweiterter Optionen beim Erstellen der Maschinenkonfiguration.
Wenn Sie die API verwenden, können Sie alternativ benutzerdefinierte Netzwerktags über die Option host.gceInstance.tags
auf die Workstation-Konfigurationsressource anwenden.
Weitere Informationen zu VPC-Firewallregeln (Virtual Private Cloud) in Google Cloud finden Sie in der VPC-Dokumentation unter VPC-Firewallregeln erstellen.