Firewallregeln konfigurieren

Erforderliche Firewallregeln ermitteln

Die Workstations stellen über Private Service Connect eine Verbindung zur Steuerungsebene her. Die folgenden Unterabschnitte enthalten Beispiele für gcloud-Befehlszeilenbefehle, mit denen ein- und ausgehender Traffic zugelassen wird. Weitere Informationen zu diesen Befehlen finden Sie in der Referenzinformationen zu gcloud compute firewall-rules.

Eingehenden Traffic zulassen

Erstellen Sie für die Verbindung eine Firewallregel, die eingehenden Traffic von den Workstation-VMs zur IP-Adresse der Steuerungsebene zulässt. Cloud Workstations wendet das Netzwerk-Tag cloud-workstations-instance automatisch auf die Workstation-VMs an, das beim Erstellen von Firewallregeln für Workstation-VMs verwendet werden kann. Hier ein Beispiel für einen gcloud-Befehlszeilenbefehl:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Ersetzen Sie Folgendes:

• RULE_NAME: der Name der zu erstellenden Firewallregel
• NETWORK: das für die Workstationclusterressource angegebene Netzwerk

• CONTROL_PLANE_IP: die interne IP-Adresse der Steuerungsebene für den Workstationcluster.

  Führen Sie den folgenden Befehl aus, um diese IP-Adresse zu ermitteln:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Ersetzen Sie Folgendes:

  • CLUSTER: die ID des Clusters oder die voll qualifizierte Kennzeichnung für den Cluster.
  • PROJECT: das Projekt, das den Workstationcluster hostet.
  • REGION: Regionsstandort der Workstation, z. B. us-central1

Ausgehenden Traffic zulassen

Außerdem benötigen Sie Firewallregeln, die ausgehenden Traffic von VMs mit dem Tag cloud-workstations-instance für das TCP-Protokoll an den Ports 980 und 443 zur IP-Adresse der Steuerungsebene zulassen, wie im folgenden gcloud-Befehlszeilenbefehl gezeigt:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Ersetzen Sie Folgendes:

• RULE_NAME: der Name der zu erstellenden Firewallregel
• NETWORK: das Netzwerk, mit dem diese Regel verknüpft ist Wenn nicht angegeben, wird die Regel mit dem Standardnetzwerk verbunden.

• CONTROL_PLANE_IP: die interne IP-Adresse der Steuerungsebene für den Workstationcluster.

  Führen Sie den folgenden Befehl aus, um diese IP-Adresse zu ermitteln:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Ersetzen Sie Folgendes:

  • CLUSTER: die ID des Clusters oder die voll qualifizierte Kennzeichnung für den Cluster.
  • PROJECT: das Projekt, das den Workstationcluster hostet.
  • REGION: Regionsstandort der Workstation, z. B. us-central1

Weitere Informationen finden Sie auch in den folgenden Themen:

• WorkstationCluster REST API

• Interne eingehende Verbindungen zwischen VMs zulassen

Firewallregeln mithilfe von benutzerdefinierten Netzwerk-Tags hinzufügen

Sie können benutzerdefinierte Netzwerk-Tags für Ihre Workstation-VMs in der Google Cloud Console konfigurieren. Wenn Sie eine Workstationkonfiguration erstellen oder bearbeiten, aktualisieren Sie die Maschinenkonfiguration, um Ihre Netzwerktags in das Feld Netzwerk-Tags aufzunehmen. Weitere Informationen zum Hinzufügen von Netzwerk-Tags finden Sie in der Anleitung zum Angeben erweiterter Optionen beim Erstellen der Maschinenkonfiguration. Wenn Sie die API verwenden, können Sie alternativ benutzerdefinierte Netzwerktags über die Option host.gceInstance.tags auf die Workstation-Konfigurationsressource anwenden.

Weitere Informationen zu VPC-Firewallregeln (Virtual Private Cloud) in Google Cloud finden Sie in der VPC-Dokumentation unter VPC-Firewallregeln erstellen.