방화벽 규칙 구성

필요한 방화벽 규칙 식별

워크스테이션은 Private Service Connect를 통해 제어 영역에 연결됩니다. 다음 하위 섹션에서는 인그레스 및 이그레스를 허용하는 gcloud CLI 명령어 예시를 제공합니다. 이러한 명령어에 대한 자세한 내용은 gcloud compute firewall-rules 참조 정보를 확인하세요.

인그레스 허용

연결에 성공하려면 방화벽 규칙을 만들어 워크스테이션 VM에서 제어 영역 IP 주소로 인그레스를 허용합니다. Cloud Workstations는 워크스테이션 VM에 적용하는 방화벽 규칙을 만들 때 사용할 수 있는 cloud-workstations-instance 네트워크 태그를 워크스테이션 VM에 자동으로 적용합니다. 다음 gcloud CLI 명령어 예시를 참조하세요.

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

다음을 바꿉니다.

  • RULE_NAME: 만들려는 방화벽 규칙 이름
  • NETWORK: 워크스테이션 클러스터 리소스에 지정된 네트워크

  • CONTROL_PLANE_IP: 워크스테이션 클러스터 제어 영역의 내부 IP 주소

    이 IP 주소를 찾으려면 다음 명령어를 실행하세요.

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION

    다음을 바꿉니다.

    • CLUSTER: 클러스터 ID 또는 클러스터의 정규화된 식별자입니다.
    • PROJECT: 워크스테이션 클러스터를 호스팅하는 프로젝트입니다.
    • REGION: 워크스테이션의 리전 위치입니다(예: us-central1).

이그레스 허용

다음 gcloud CLI 명령어에 표시된 것처럼 VM에서 제어 영역 IP 주소로의 이그레스를 허용하는 방화벽 규칙과 함께 포트 980, 443의 TCP 프로토콜에 cloud-workstations-instance 태그가 필요합니다.

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

다음을 바꿉니다.

  • RULE_NAME: 만들려는 방화벽 규칙 이름
  • NETWORK: 이 규칙이 연결된 네트워크 생략할 경우 규칙은 기본 네트워크에 연결됩니다.

  • CONTROL_PLANE_IP: 워크스테이션 클러스터 제어 영역의 내부 IP 주소

    이 IP 주소를 찾으려면 다음 명령어를 실행하세요.

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION

    다음을 바꿉니다.

    • CLUSTER: 클러스터 ID 또는 클러스터의 정규화된 식별자입니다.
    • PROJECT: 워크스테이션 클러스터를 호스팅하는 프로젝트입니다.
    • REGION: 워크스테이션의 리전 위치입니다(예: us-central1).

자세한 내용은 다음 주제도 참조하세요.

커스텀 네트워크 태그를 사용하여 방화벽 규칙 추가

Google Cloud 콘솔에서 워크스테이션 VM의 커스텀 네트워크 태그를 구성할 수 있습니다. 워크스테이션 구성을 만들거나 수정할 때 네트워크 태그 필드에 네트워크 태그를 포함하도록 머신 구성을 업데이트합니다. 네트워크 태그를 추가하는 방법에 대한 자세한 내용은 머신 구성을 만들 때 고급 옵션을 지정하는 방법을 참조하세요. 또는 API를 사용할 경우 워크스테이션 구성 리소스의 host.gceInstance.tags 옵션을 통해 커스텀 네트워크 태그를 적용합니다.

Google Cloud의 Virtual Private Cloud(VPC) 방화벽 규칙에 대한 자세한 내용은 VPC 문서의 VPC 방화벽 규칙 만들기를 참조하세요.