Configurar regras de firewall

Identificar as regras de firewall necessárias

As estações de trabalho se conectam ao plano de controle pelo Private Service Connect. As subseções a seguir fornecem exemplos de comandos da CLI gcloud para permitir entrada e saída. Para mais informações sobre esses comandos, consulte as informações de referência do gcloud compute firewall-rules.

Permitir entrada

Para que a conexão seja bem-sucedida, crie uma regra de firewall para permitir a entrada no endereço IP do plano de controle das VMs da estação de trabalho. O Cloud Workstations aplica automaticamente a tag de rede cloud-workstations-instance às VMs da estação de trabalho, que pode ser usada ao criar regras de firewall aplicáveis a VMs da estação de trabalho. Confira o exemplo de comando da CLI gcloud a seguir:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Substitua:

• RULE_NAME: o nome da regra de firewall a ser criada
• NETWORK: a rede especificada no recurso de cluster de estação de trabalho

• CONTROL_PLANE_IP: o endereço IP interno do plano de controle do cluster de estações de trabalho.

  Para encontrar esse endereço IP, execute o seguinte comando:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Substitua:

  • CLUSTER: o ID do cluster ou do identificador totalmente qualificado do cluster.
  • PROJECT: o projeto que hospeda o cluster de estações de trabalho.
  • REGION: o local da região da estação de trabalho. Por exemplo, us-central1.

Permitir saída

Você também precisa de regras de firewall que permitam a saída para o endereço IP do plano de controle de VMs com a tag cloud-workstations-instance para o protocolo TCP nas portas 980 e 443, conforme mostrado no seguinte comando da CLI gcloud:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Substitua:

• RULE_NAME: o nome da regra de firewall a ser criada
• NETWORK: a rede a que essa regra está anexada. Se omitido, a regra é anexada à rede padrão.

• CONTROL_PLANE_IP: o endereço IP interno do plano de controle do cluster de estações de trabalho.

  Para encontrar esse endereço IP, execute o seguinte comando:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Substitua:

  • CLUSTER: o ID do cluster ou do identificador totalmente qualificado do cluster.
  • PROJECT: o projeto que hospeda o cluster de estações de trabalho.
  • REGION: o local da região da estação de trabalho. Por exemplo, us-central1.

Para mais informações, consulte também os seguintes tópicos:

• API REST WorkstationCluster

• Permitir conexões de entrada internas entre VMs

Adicionar regras de firewall usando tags de rede personalizadas

É possível configurar tags de rede personalizadas para as VMs da estação de trabalho no Console do Google Cloud. Ao criar ou editar uma configuração de estação de trabalho, atualize a configuração da máquina para incluir as tags de rede no campo Tags de rede. Para saber como adicionar tags de rede, consulte as instruções para especificar Opções avançadas ao criar a configuração da máquina. Como alternativa, ao usar a API, aplique tags de rede personalizadas usando a opção host.gceInstance.tags no recurso de configuração da estação de trabalho.

Para mais informações sobre as regras de firewall da nuvem privada virtual (VPC) no Google Cloud, consulte Criar regras de firewall da VPC na documentação da VPC.