Identificar las reglas de firewall necesarias
Las estaciones de trabajo se conectan al plano de control a través de Private Service Connect. En las siguientes subsecciones, se proporcionan ejemplos de comandos de la CLI de gcloud para permitir la entrada y la salida.
Para obtener más información sobre estos comandos, consulta la información de referencia de gcloud compute firewall-rules.
Permitir el tráfico de entrada
Para que la conexión se realice de forma correcta, crea una regla de firewall que permita la entrada a la dirección IP del plano de control desde las VM de la estación de trabajo. Cloud Workstations aplica de forma automática la etiqueta de red cloud-workstations-instance a las VM de la estación de trabajo, que se puede usar cuando se crean reglas de firewall que se aplican a las VM de la estación de trabajo. Consulta el siguiente ejemplo del comando de la CLI de gcloud:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Reemplaza lo siguiente:
RULE_NAME: Es el nombre de la regla de firewall que se creará.NETWORK: Es la red especificada en el recurso del clúster de la estación de trabajo.CONTROL_PLANE_IP: Es la dirección IP interna del plano de control del clúster de la estación de trabajo.Para encontrar esta dirección IP, ejecuta el siguiente comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONReemplaza lo siguiente:
CLUSTER: Es el ID del clúster o el identificador completamente calificado del clúster.PROJECT: Es el proyecto que aloja el clúster de la estación de trabajo.REGION: Es la ubicación de la región de la estación de trabajo, por ejemplo,us-central1.
Permitir salida
También necesitas reglas de firewall que permitan la salida a la dirección IP del plano de control desde las VMs con la etiqueta cloud-workstations-instance para el protocolo TCP en los puertos 980 y 443, como se muestra en el siguiente comando de la CLI de gcloud:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Reemplaza lo siguiente:
RULE_NAME: Es el nombre de la regla de firewall que se creará.NETWORK: Es la red a la que se conecta esta regla. Si se omite, la regla se conecta a la red predeterminada.CONTROL_PLANE_IP: Es la dirección IP interna del plano de control del clúster de la estación de trabajo.Para encontrar esta dirección IP, ejecuta el siguiente comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONReemplaza lo siguiente:
CLUSTER: Es el ID del clúster o el identificador completamente calificado del clúster.PROJECT: Es el proyecto que aloja el clúster de la estación de trabajo.REGION: Es la ubicación de la región de la estación de trabajo, por ejemplo,us-central1.
Para obtener más información, consulta también los siguientes temas:
Agrega reglas de firewall con etiquetas de red personalizadas
Puedes configurar etiquetas de red personalizadas para las VM de tu estación de trabajo en Google Cloud Console. Cuando creas o editas la configuración de una estación de trabajo, actualiza la configuración de la máquina para incluir las etiquetas de red en el campo Etiquetas de red. Si quieres obtener detalles sobre cómo agregar etiquetas de red, consulta las instrucciones para especificar Opciones avanzadas cuando crees la configuración de la máquina.
Como alternativa, cuando uses la API, aplica etiquetas de red personalizadas a través de la opción host.gceInstance.tags en el recurso de configuración de la estación de trabajo.
Para obtener más información sobre las reglas de firewall de la nube privada virtual (VPC) en Google Cloud, consulta Crea reglas de firewall de VPC en la documentación de VPC.