ファイアウォール ルールの構成

必要なファイアウォール ルールを特定する

ワークステーションは、Private Service Connect を介してコントロール プレーンに接続します。以下のサブセクションでは、上り(内向き)と下り(外向き)を許可する gcloud CLI コマンドの例を紹介します。これらのコマンドの詳細については、gcloud compute firewall-rules リファレンス情報をご覧ください。

上り(内向き)を許可する

接続を成功させるには、ワークステーション VM からコントロール プレーンの IP アドレスへの上り(内向き)を許可するファイアウォール ルールを作成します。Cloud Workstations は、cloud-workstations-instance ネットワーク タグをワークステーション VM に自動的に適用します。このタグは、ワークステーション VM に適用されるファイアウォール ルールを作成する際に使用できます。次の gcloud CLI コマンドの例をご覧ください。

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

以下を置き換えます。

  • RULE_NAME: 作成するファイアウォール ルールの名前
  • NETWORK: ワークステーション クラスタ リソースで指定されたネットワーク
  • CONTROL_PLANE_IP: ワークステーション クラスタのコントロール プレーンの内部 IP アドレス。

    この IP アドレスを確認するには、次のコマンドを実行します。

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
    

    次のように置き換えます。

    • CLUSTER: クラスタの ID またはクラスタの完全修飾識別子。
    • PROJECT: ワークステーション クラスタをホストするプロジェクト。
    • REGION: ワークステーションのリージョンのロケーション(例: us-central1)。

下り(外向き)を許可する

以下の gcloud CLI コマンドで示すように、ポート 980443 の TCP プロトコルに対して cloud-workstations-instance タグが付加された VM からコントロール プレーンの IP アドレスへの下り(外向き)を許可するファイアウォール ルールも必要となります。

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

以下を置き換えます。

  • RULE_NAME: 作成するファイアウォール ルールの名前
  • NETWORK: このルールが接続されるネットワーク。省略した場合、ルールはデフォルトのネットワークに接続されます。
  • CONTROL_PLANE_IP: ワークステーション クラスタのコントロール プレーンの内部 IP アドレス。

    この IP アドレスを確認するには、次のコマンドを実行します。

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
    

    次のように置き換えます。

    • CLUSTER: クラスタの ID またはクラスタの完全修飾識別子。
    • PROJECT: ワークステーション クラスタをホストするプロジェクト。
    • REGION: ワークステーションのリージョンのロケーション(例: us-central1)。

詳しくは次のトピックをご覧ください。

カスタム ネットワーク タグを使用してファイアウォール ルールを追加する

ワークステーション VM のカスタム ネットワーク タグは、Google Cloud コンソールで構成できます。ワークステーション構成を作成または編集するときは、マシン構成を更新して、[ネットワーク タグ] フィールドにネットワーク タグを含めます。ネットワーク タグの追加方法について詳しくは、マシン構成の作成時に詳細オプションを指定する手順をご覧ください。 また、API を使用する場合は、ワークステーション構成リソースの host.gceInstance.tags オプションを使用してカスタム ネットワーク タグを適用します。

Google Cloud の Virtual Private Cloud(VPC)ファイアウォール ルールの詳細については、VPC のドキュメントの VPC ファイアウォール ルールを作成するをご覧ください。