Identifica le regole firewall necessarie
Le workstation si connettono al piano di controllo tramite Private Service Connect. Le sottosezioni seguenti forniscono comandi dell'interfaccia a riga di comando gcloud di esempio per consentire il traffico in entrata e in uscita.
Per ulteriori informazioni su questi comandi, consulta le informazioni di riferimento di gcloud compute firewall-rules.
Consenti traffico in entrata
Affinché la connessione vada a buon fine, crea una regola firewall per consentire l'accesso all'indirizzo IP del control plane dalle VM delle workstation. Cloud Workstations si applica automaticamente
il tag di rete cloud-workstations-instance alle VM della workstation,
da utilizzare durante la creazione di regole firewall che si applicano alle VM delle workstation. Consulta le
il seguente esempio di comando dell'interfaccia a riga di comando gcloud:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Sostituisci quanto segue:
RULE_NAME: il nome della regola firewall da creareNETWORK: la rete specificata nella risorsa cluster di workstationCONTROL_PLANE_IP: l'indirizzo IP interno del piano di controllo per il cluster di workstation.Per trovare questo indirizzo IP, esegui questo comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONSostituisci quanto segue:
CLUSTER: l'ID del cluster o l'identificatore completamente qualificato del cluster.PROJECT: il progetto che ospita il cluster di workstation.REGION: la posizione della regione della stazione di lavoro, ad esempious-central1.
Consenti uscita
Sono necessarie anche le regole firewall che consentano il traffico in uscita verso l'indirizzo IP del piano di controllo.
dalle VM con il tag cloud-workstations-instance per il protocollo TCP attivato
porte 980 e 443 come mostrato nel seguente comando dell'interfaccia a riga di comando gcloud:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Sostituisci quanto segue:
RULE_NAME: il nome della regola firewall da creareNETWORK: la rete a cui è collegata questa regola. Se omessa, la regola viene collegata alla rete predefinita.CONTROL_PLANE_IP: indirizzo IP interno del controllo per il cluster di workstation.Per trovare questo indirizzo IP, esegui questo comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONSostituisci quanto segue:
CLUSTER: l'ID del cluster o l'identificatore completamente qualificato del cluster.PROJECT: il progetto che ospita il cluster di workstation.REGION: la località della regione della workstation, per ad esempious-central1.
Per ulteriori informazioni, consulta anche i seguenti argomenti:
Aggiungere regole firewall utilizzando tag di rete personalizzati
Puoi configurare tag di rete personalizzati per le VM delle workstation nel
nella console Google Cloud. Quando crei o modifichi una configurazione di workstation, aggiorna
della configurazione della macchina per includere i tuoi tag di rete nei tag di rete
. Per maggiori dettagli su come aggiungere tag di rete, consulta le istruzioni per
specificando Opzioni avanzate durante la creazione della macchina
configurazione.
In alternativa, quando utilizzi l'API, applica i tag di rete personalizzati tramite l'opzione host.gceInstance.tags nella risorsa di configurazione della stazione di lavoro.
Per ulteriori informazioni sulle regole firewall VPC (Virtual Private Cloud) in Google Cloud, consulta Creare regole firewall VPC nella documentazione di VPC.