Firewallregeln konfigurieren

Erforderliche Firewallregeln identifizieren

Ihre Workstations stellen über Private Service Connect eine Verbindung zur Steuerungsebene her. In den folgenden Abschnitten finden Sie Beispiele für gcloud-Befehle, mit denen ein- und ausgehender Traffic zugelassen wird. Weitere Informationen zu diesen Befehlen finden Sie in der Referenz zu gcloud compute firewall-rules.

Ingress zulassen

Damit die Verbindung erfolgreich ist, müssen Sie eine Firewallregel erstellen, die den Zugriff auf die IP-Adresse der Steuerungsebene von den Workstation-VMs zulässt. Bei Cloud Workstations wird das Netzwerk-Tag cloud-workstations-instance automatisch auf die Workstation-VMs angewendet. Dieses Tag kann beim Erstellen von Firewallregeln verwendet werden, die für Workstation-VMs gelten. Hier ein Beispiel für einen gcloud-Befehl:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Ersetzen Sie Folgendes:

• RULE_NAME: der Name der zu erstellenden Firewallregel
• NETWORK: das Netzwerk, das in der Clusterressource der Workstation angegeben ist

• CONTROL_PLANE_IP: die interne IP-Adresse der Steuerungsebene für den Workstation-Cluster.

  Führen Sie den folgenden Befehl aus, um diese IP-Adresse zu ermitteln:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Ersetzen Sie Folgendes:

  • CLUSTER: die ID des Clusters oder eine voll qualifizierte Kennzeichnung für den Cluster.
  • PROJECT: das Projekt, in dem der Workstation-Cluster gehostet wird.
  • REGION: der Standort der Workstation, z. B. us-central1.

Ausgehende Verbindungen zulassen

Außerdem benötigen Sie Firewallregeln, die ausgehenden Traffic von VMs mit dem cloud-workstations-instance-Tag für das TCP-Protokoll auf den Ports 980 und 443 zur IP-Adresse der Steuerungsebene zulassen, wie im folgenden gcloud-Befehl gezeigt:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Ersetzen Sie Folgendes:

• RULE_NAME: der Name der zu erstellenden Firewallregel
• NETWORK: das Netzwerk, dem diese Regel zugeordnet ist. Wenn Sie diesen Parameter weglassen, wird die Regel dem Standardnetzwerk zugeordnet.

• CONTROL_PLANE_IP: die interne IP-Adresse der Steuerungsebene für den Workstation-Cluster.

  Führen Sie den folgenden Befehl aus, um diese IP-Adresse zu ermitteln:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Ersetzen Sie Folgendes:

  • CLUSTER: die ID des Clusters oder eine voll qualifizierte Kennzeichnung für den Cluster.
  • PROJECT: das Projekt, in dem der Workstation-Cluster gehostet wird.
  • REGION: der Standort der Workstation, z. B. us-central1.

Weitere Informationen finden Sie unter folgenden Links:

• WorkstationCluster-REST API

• Interne eingehende Verbindungen zwischen VMs zulassen

Firewallregeln mit benutzerdefinierten Netzwerk-Tags hinzufügen

Sie können benutzerdefinierte Netzwerk-Tags für Ihre Workstation-VMs in der Google Cloud Console konfigurieren. Wenn Sie eine Workstationkonfiguration erstellen oder bearbeiten, aktualisieren Sie die Maschinenkonfiguration, indem Sie Ihre Netzwerk-Tags in das Feld Netzwerk-Tags einfügen. Weitere Informationen zum Hinzufügen von Netzwerk-Tags finden Sie in der Anleitung zum Angeben von erweiterten Optionen beim Erstellen der Maschinenkonfiguration. Alternativ können Sie bei Verwendung der API benutzerdefinierte Netzwerk-Tags über die Option host.gceInstance.tags auf die Workstation-Konfigurationsressource anwenden.

Weitere Informationen zu VPC-Firewallregeln (Virtual Private Cloud) in Google Cloud finden Sie in der VPC-Dokumentation unter VPC-Firewallregeln erstellen.