Identifica le regole firewall necessarie
Le workstation si connettono al piano di controllo tramite Private Service Connect. Le seguenti sottosezioni forniscono comandi dell'interfaccia a riga di comando gcloud di esempio per consentire il traffico in entrata e in uscita.
Per ulteriori informazioni su questi comandi, consulta le informazioni di riferimento su gcloud compute firewall-rules.
Consenti traffico in entrata
Affinché la connessione abbia esito positivo, crea una regola firewall per consentire il traffico in entrata nell'indirizzo IP del piano di controllo dalle VM workstation. Cloud Workstations applica automaticamente il tag di rete cloud-workstations-instance alle VM workstation, che possono essere utilizzate durante la creazione di regole firewall applicabili alle VM workstation. Vedi il seguente esempio di comando dell'interfaccia a riga di comando gcloud:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Sostituisci quanto segue:
RULE_NAME: il nome della regola firewall da creareNETWORK: la rete specificata nella risorsa cluster di workstationCONTROL_PLANE_IP: l'indirizzo IP interno del piano di controllo per il cluster di workstation.Per trovare questo indirizzo IP, esegui questo comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONSostituisci quanto segue:
CLUSTER: l'ID del cluster o l'identificatore completo per il cluster.PROJECT: il progetto che ospita il cluster di workstation.REGION: la località della regione della workstation, ad esempious-central1.
Consenti traffico in uscita
Devi anche avere regole firewall che consentano il traffico in uscita verso l'indirizzo IP del piano di controllo dalle VM con il tag cloud-workstations-instance per il protocollo TCP sulle porte 980 e 443, come mostrato nel seguente comando dell'interfaccia a riga di comando gcloud:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Sostituisci quanto segue:
RULE_NAME: il nome della regola firewall da creareNETWORK: la rete a cui è associata la regola. Se omessa, la regola viene applicata alla rete predefinita.CONTROL_PLANE_IP: l'indirizzo IP interno del piano di controllo per il cluster di workstation.Per trovare questo indirizzo IP, esegui questo comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONSostituisci quanto segue:
CLUSTER: l'ID del cluster o l'identificatore completo per il cluster.PROJECT: il progetto che ospita il cluster di workstation.REGION: la località della regione della workstation, ad esempious-central1.
Per ulteriori informazioni, vedi anche i seguenti argomenti:
Aggiungere regole firewall utilizzando tag di rete personalizzati
Puoi configurare tag di rete personalizzati per le VM della tua workstation nella console Google Cloud. Quando crei o modifichi la configurazione di una workstation, aggiorna la configurazione della macchina in modo da includere i tag di rete nel campo Tag di rete. Per informazioni dettagliate su come aggiungere i tag di rete, consulta le istruzioni per specificare le Opzioni avanzate durante la creazione della configurazione della macchina.
In alternativa, quando utilizzi l'API, applica tag di rete personalizzati tramite l'opzione host.gceInstance.tags sulla risorsa di configurazione della workstation.
Per ulteriori informazioni sulle regole firewall VPC (Virtual Private Cloud) in Google Cloud, consulta Creare regole firewall VPC nella documentazione di VPC.