Identifier les règles de pare-feu nécessaires
Vos stations de travail se connectent au plan de contrôle via Private Service Connect. Les sous-sections suivantes fournissent des exemples de commandes CLI gcloud pour autoriser l'entrée et la sortie.
Pour en savoir plus sur ces commandes, consultez les informations de référence sur gcloud compute firewall-rules.
Autoriser le trafic d'entrée
Pour que la connexion aboutisse, créez une règle de pare-feu autorisant l'entrée vers l'adresse IP du plan de contrôle à partir des VM de la station de travail. Cloud Workstations applique automatiquement le tag réseau cloud-workstations-instance aux VM des stations de travail, ce qui peut être utilisé lors de la création de règles de pare-feu qui s'appliquent aux VM des stations de travail. Consultez l'exemple de commande CLI gcloud suivant:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Remplacez les éléments suivants :
RULE_NAME: nom de la règle de pare-feu à créerNETWORK: réseau spécifié sur la ressource de cluster de stations de travailCONTROL_PLANE_IP: adresse IP interne du plan de contrôle du cluster de stations de travail.Pour trouver cette adresse IP, exécutez la commande suivante:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONRemplacez les éléments suivants :
CLUSTER: ID du cluster ou identifiant complet du cluster.PROJECT: projet hébergeant le cluster de stations de travail.REGION: emplacement de la région de la station de travail (par exemple,us-central1).
Autoriser la sortie
Vous avez également besoin de règles de pare-feu autorisant la sortie vers l'adresse IP du plan de contrôle à partir des VM avec le tag cloud-workstations-instance pour le protocole TCP sur les ports 980 et 443, comme indiqué dans la commande CLI gcloud suivante:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Remplacez les éléments suivants :
RULE_NAME: nom de la règle de pare-feu à créerNETWORK: réseau auquel cette règle est associée. En cas d'omission, la règle est associée au réseau par défaut.CONTROL_PLANE_IP: adresse IP interne du plan de contrôle du cluster de stations de travail.Pour trouver cette adresse IP, exécutez la commande suivante:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONRemplacez les éléments suivants :
CLUSTER: ID du cluster ou identifiant complet du cluster.PROJECT: projet hébergeant le cluster de stations de travail.REGION: emplacement de la région de la station de travail (par exemple,us-central1).
Pour en savoir plus, consultez également les articles suivants:
Ajouter des règles de pare-feu à l'aide de tags réseau personnalisés
Vous pouvez configurer des tags réseau personnalisés pour les VM de votre poste de travail dans la console Google Cloud. Lorsque vous créez ou modifiez une configuration de station de travail, mettez-la à jour pour inclure vos tags réseau dans le champ Tags réseau. Pour en savoir plus sur l'ajout de tags réseau, consultez les instructions pour spécifier les options avancées lors de la création de la configuration de votre machine.
Lorsque vous utilisez l'API, vous pouvez également appliquer des tags réseau personnalisés via l'option host.gceInstance.tags sur la ressource de configuration de la station de travail.
Pour en savoir plus sur les règles de pare-feu de cloud privé virtuel (VPC) dans Google Cloud, consultez la page Créer des règles de pare-feu VPC dans la documentation sur les VPC.