設定防火牆規則

找出所需的防火牆規則

工作站會透過 Private Service Connect 連線至控制平面。下列小節提供允許輸入和輸出內容的 gcloud CLI 指令範例。如要進一步瞭解這些指令,請參閱 gcloud compute firewall-rules 參考資訊。

允許進入

如要成功連線,請建立防火牆規則,允許從工作站 VM 輸入控制平面 IP 位址。Cloud Workstations 會自動將 cloud-workstations-instance 網路標記套用至工作站 VM,建立套用至工作站 VM 的防火牆規則時,即可使用這個標記。請參閱以下 gcloud CLI 指令範例:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

更改下列內容:

  • RULE_NAME:要建立的防火牆規則名稱
  • NETWORK:工作站叢集資源上指定的網路

  • CONTROL_PLANE_IP:工作站叢集控制層的內部 IP 位址。

    如要找出這個 IP 位址,請執行下列指令:

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION

    更改下列內容:

    • CLUSTER:叢集 ID 或叢集的完整 ID。
    • PROJECT:代管工作站叢集的專案。
    • REGION:工作站的區域位置,例如 us-central1

允許輸出

您也需要防火牆規則,允許從具有 cloud-workstations-instance 標記的 VM,透過通訊埠 980443 上的 TCP 通訊協定,輸出至控制平面 IP 位址,如下列 gcloud CLI 指令所示:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

更改下列內容:

  • RULE_NAME:要建立的防火牆規則名稱
  • NETWORK:此規則所附加的網路。如果省略此參數,規則會附加至預設網路。

  • CONTROL_PLANE_IP:工作站叢集控制層的內部 IP 位址。

    如要找出這個 IP 位址,請執行下列指令:

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION

    更改下列內容:

    • CLUSTER:叢集 ID 或叢集的完整 ID。
    • PROJECT:代管工作站叢集的專案。
    • REGION:工作站的區域位置,例如 us-central1

詳情請參閱下列主題:

使用自訂網路標記新增防火牆規則

您可以在Google Cloud 控制台中,為工作站 VM 設定自訂網路標記。建立或編輯工作站設定時,請更新機器設定,在「網路標記」欄位中加入網路標記。如要瞭解如何新增網路標記,請參閱建立機器設定時指定進階選項的操作說明。或者,使用 API 時,透過工作站設定資源的 host.gceInstance.tags 選項套用自訂網路標記。

如要進一步瞭解Google Cloud中的虛擬私有雲 (VPC) 防火牆規則,請參閱 VPC 說明文件中的「建立 VPC 防火牆規則」。