방화벽 규칙 구성

필요한 방화벽 규칙 식별

워크스테이션은 Private Service Connect를 통해 컨트롤 플레인에 연결됩니다. 다음 하위 섹션에서는 인그레스 및 이그레스를 허용하는 gcloud CLI 명령어 예시를 제공합니다. 이러한 명령어에 대한 자세한 내용은 gcloud compute firewall-rules 참조 정보를 확인하세요.

인그레스 허용

연결을 성공하려면 워크스테이션 VM에서 컨트롤 플레인 IP 주소로의 인그레스를 허용하는 방화벽 규칙을 만듭니다. Cloud Workstations는 워크스테이션 VM에 적용하는 방화벽 규칙을 만들 때 사용할 수 있는 cloud-workstations-instance 네트워크 태그를 워크스테이션 VM에 자동으로 적용합니다. 다음 gcloud CLI 명령어 예시를 참조하세요.

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

다음을 바꿉니다.

  • RULE_NAME: 만들려는 방화벽 규칙 이름
  • NETWORK: 워크스테이션 클러스터 리소스에 지정된 네트워크
  • CONTROL_PLANE_IP: 워크스테이션 클러스터 제어 영역의 내부 IP 주소

    이 IP 주소를 찾으려면 다음 명령어를 실행하세요.

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
    

    다음을 바꿉니다.

    • CLUSTER: 클러스터 ID 또는 클러스터의 정규화된 식별자입니다.
    • PROJECT: 워크스테이션 클러스터를 호스팅하는 프로젝트입니다.
    • REGION: 워크스테이션의 리전 위치입니다(예: us-central1).

이그레스 허용

다음 gcloud CLI 명령어에 표시된 것처럼 VM에서 제어 영역 IP 주소로의 이그레스를 허용하는 방화벽 규칙과 함께 포트 980, 443의 TCP 프로토콜에 cloud-workstations-instance 태그가 필요합니다.

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

다음을 바꿉니다.

  • RULE_NAME: 만들려는 방화벽 규칙 이름
  • NETWORK: 이 규칙이 연결된 네트워크 생략할 경우 규칙은 기본 네트워크에 연결됩니다.
  • CONTROL_PLANE_IP: 워크스테이션 클러스터 제어 영역의 내부 IP 주소

    이 IP 주소를 찾으려면 다음 명령어를 실행하세요.

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
    

    다음을 바꿉니다.

    • CLUSTER: 클러스터 ID 또는 클러스터의 정규화된 식별자입니다.
    • PROJECT: 워크스테이션 클러스터를 호스팅하는 프로젝트입니다.
    • REGION: 워크스테이션의 리전 위치입니다(예: us-central1).

자세한 내용은 다음 주제도 참조하세요.

커스텀 네트워크 태그를 사용하여 방화벽 규칙 추가

Google Cloud 콘솔에서 워크스테이션 VM의 커스텀 네트워크 태그를 구성할 수 있습니다. 워크스테이션 구성을 만들거나 수정할 때 네트워크 태그 필드에 네트워크 태그가 포함되도록 머신 구성을 업데이트합니다. 네트워크 태그를 추가하는 방법에 대한 자세한 내용은 머신 구성을 만들 때 고급 옵션 지정 방법에 대한 안내를 참조하세요. 또는 API를 사용할 때 워크스테이션 구성 리소스에 대한 host.gceInstance.tags 옵션을 통해 커스텀 네트워크 태그를 적용합니다.

Google Cloud의 Virtual Private Cloud(VPC) 방화벽 규칙에 대한 자세한 내용은 VPC 문서의 VPC 방화벽 규칙 만들기를 참조하세요.