Identifique as regras de firewall necessárias
Suas estações de trabalho se conectam ao plano de controle por meio do
Private Service Connect. As subseções a seguir fornecem exemplos de
comandos da CLI gcloud
para permitir entrada e saída.
Para mais informações sobre esses comandos, consulte as
informações de referência
gcloud compute firewall-rules
.
Permitir a entrada
Para que a conexão funcione, crie uma regra de firewall que permita a entrada das VMs da estação de trabalho no endereço IP do plano de controle. O Cloud Workstations aplica automaticamente
a tag de rede cloud-workstations-instance
às VMs da estação de trabalho, que podem
ser usadas ao criar regras de firewall que se aplicam às VMs da estação de trabalho. Confira o
exemplo a seguir de gcloud
comando da CLI:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Substitua:
RULE_NAME
: o nome da regra de firewall a ser criadaNETWORK
: a rede especificada no recurso do cluster de estações de trabalhoCONTROL_PLANE_IP
: o endereço IP interno do plano de controle do cluster de estações de trabalho.Para encontrar esse endereço IP, execute o seguinte comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
Substitua:
CLUSTER
: o ID do cluster ou o identificador totalmente qualificado do cluster.PROJECT
: o projeto que hospeda o cluster de estação de trabalho.REGION
: o local da região da estação de trabalho, por exemplo,us-central1
.
Permitir saída
Também é necessário ter regras de firewall que permitam a saída do endereço IP do plano de controle
das VMs com a tag cloud-workstations-instance
para o protocolo TCP nas
portas 980
e 443
, conforme mostrado no seguinte comando da CLI gcloud
:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Substitua:
RULE_NAME
: o nome da regra de firewall a ser criadaNETWORK
: a rede a que a regra está anexada. Se omitida, a regra será anexada à rede padrão.CONTROL_PLANE_IP
: o endereço IP interno do plano de controle do cluster de estações de trabalho.Para encontrar esse endereço IP, execute o seguinte comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
Substitua:
CLUSTER
: o ID do cluster ou o identificador totalmente qualificado do cluster.PROJECT
: o projeto que hospeda o cluster de estação de trabalho.REGION
: o local da região da estação de trabalho, por exemplo,us-central1
.
Para mais informações, consulte também os seguintes tópicos:
Adicionar regras de firewall usando tags de rede personalizadas
É possível configurar tags de rede personalizadas para as VMs da estação de trabalho no
console do Google Cloud. Ao criar ou editar uma configuração de estação de trabalho, atualize
a configuração da sua máquina para incluir as tags de rede no campo
Tags de rede. Para mais detalhes sobre como adicionar tags de rede, consulte as instruções de especificação das Opções avançadas ao criar a configuração da máquina.
Como alternativa, ao usar a API, aplique tags de rede personalizadas usando a opção host.gceInstance.tags
no recurso de configuração da estação de trabalho.
Para mais informações sobre as regras de firewall da nuvem privada virtual (VPC) no Google Cloud, consulte Criar regras de firewall da VPC na documentação da VPC.