Configurer des règles de pare-feu

Identifier les règles de pare-feu nécessaires

Vos stations de travail se connectent au plan de contrôle via Private Service Connect. Les sous-sections suivantes fournissent des exemples Commandes CLI gcloud pour autoriser l'entrée et la sortie. Pour en savoir plus sur ces commandes, consultez la documentation de référence sur gcloud compute firewall-rules.

Autoriser l'entrée

Pour que la connexion aboutisse, créez une règle de pare-feu pour autoriser l'entrée à l'adresse IP du plan de contrôle à partir des VM de la station de travail. Cloud Workstations applique automatiquement le tag réseau cloud-workstations-instance aux VM de la station de travail, qui peut être utilisé lors de la création de règles de pare-feu qui s'appliquent aux VM de la station de travail. Consultez le Voici l'exemple de commande CLI gcloud suivant:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Remplacez les éléments suivants :

• RULE_NAME : nom de la règle de pare-feu à créer
• NETWORK: réseau spécifié sur la ressource du cluster de stations de travail

• CONTROL_PLANE_IP : adresse IP interne du plan de contrôle du cluster de stations de travail.

  Pour trouver cette adresse IP, exécutez la commande suivante:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Remplacez les éléments suivants :

  • CLUSTER: ID du cluster ou ID complet pour le cluster.
  • PROJECT : projet hébergeant le cluster de stations de travail.
  • REGION : région de la station de travail (par exemple, us-central1)

Autoriser la sortie

Vous avez également besoin de règles de pare-feu qui autorisent la sortie vers l'adresse IP du plan de contrôle à partir des VM avec le tag cloud-workstations-instance pour le protocole TCP ports 980 et 443, comme indiqué dans la commande de CLI gcloud suivante:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Remplacez les éléments suivants :

• RULE_NAME : nom de la règle de pare-feu à créer
• NETWORK : réseau auquel cette règle est associée. Si ce champ est omis, la règle est associée au réseau par défaut.

• CONTROL_PLANE_IP: adresse IP interne du contrôle pour le cluster de stations de travail.

  Pour trouver cette adresse IP, exécutez la commande suivante:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Remplacez les éléments suivants :

  • CLUSTER: ID du cluster ou ID complet pour le cluster.
  • PROJECT : projet hébergeant le cluster de stations de travail.
  • REGION: emplacement régional du poste de travail, pour Exemple : us-central1.

Pour en savoir plus, consultez également les articles suivants:

• API REST WorkstationCluster

• Autoriser les connexions d'entrée internes entre les VM

Ajouter des règles de pare-feu à l'aide de tags réseau personnalisés

Vous pouvez configurer des tags réseau personnalisés pour les VM de votre station de travail dans le console Google Cloud. Lorsque vous créez ou modifiez une configuration de poste de travail, mettez à jour la configuration de votre machine pour inclure vos tags réseau dans le champ Tags réseau. Pour savoir comment ajouter des tags réseau, consultez les instructions pour spécifier des options avancées lorsque vous créez la configuration de votre machine. Lorsque vous utilisez l'API, vous pouvez également appliquer des tags réseau personnalisés via la Option host.gceInstance.tags sur la ressource de configuration de station de travail.

Pour en savoir plus sur les règles de pare-feu pour les clouds privés virtuels (VPC) dans Google Cloud, consultez la section Créer des règles de pare-feu VPC dans la documentation VPC.