Configurar regras de firewall

Identificar as regras de firewall necessárias

As estações de trabalho se conectam ao plano de controle pelo Private Service Connect. As subseções a seguir fornecem exemplos Comandos da CLI gcloud para permitir a entrada e a saída. Para mais informações sobre esses comandos, consulte as informações de referência do gcloud compute firewall-rules.

Permitir entrada

Para que a conexão funcione, crie uma regra de firewall para permitir a entrada no plano de controle o endereço IP das VMs da estação de trabalho. O Cloud Workstations aplica automaticamente a tag de rede cloud-workstations-instance às VMs de estações de trabalho, que podem ser usados ao criar regras de firewall que se aplicam a VMs de estações de trabalho. Consulte a exemplo de comando da CLI gcloud a seguir:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Substitua:

  • RULE_NAME: o nome da regra de firewall a ser criada
  • NETWORK: a rede especificada no recurso de cluster de estação de trabalho
  • CONTROL_PLANE_IP: o endereço IP interno do controle para o cluster da estação de trabalho.

    Para encontrar esse endereço IP, execute o seguinte comando:

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
    

    Substitua:

    • CLUSTER: o ID do cluster ou do identificador totalmente qualificado do cluster.
    • PROJECT: o projeto que hospeda o cluster de estações de trabalho.
    • REGION: o local da região da estação de trabalho, por exemplo, us-central1.

Permitir saída

Você também precisa de regras de firewall que permitam a saída para o endereço IP do plano de controle de VMs com a tag cloud-workstations-instance para o protocolo TCP nas portas 980 e 443, conforme mostrado no seguinte comando da CLI gcloud:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Substitua:

  • RULE_NAME: o nome da regra de firewall a ser criada
  • NETWORK: a rede a que esta regra está anexada. Se omitido, a regra é anexada à rede padrão.
  • CONTROL_PLANE_IP: o endereço IP interno do controle para o cluster da estação de trabalho.

    Para encontrar esse endereço IP, execute o seguinte comando:

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
    

    Substitua:

    • CLUSTER: o ID do cluster ou do identificador totalmente qualificado do cluster.
    • PROJECT: o projeto que hospeda o cluster de estações de trabalho.
    • REGION: o local da região da estação de trabalho, para exemplo: us-central1.

Para mais informações, consulte também os seguintes tópicos:

Adicionar regras de firewall usando tags de rede personalizadas

É possível configurar tags de rede personalizadas para as VMs da estação de trabalho no console do Google Cloud. Ao criar ou editar a configuração de uma estação de trabalho, A configuração da máquina para incluir as tags de rede em Tags de rede . Para saber como adicionar tags de rede, consulte as instruções para especificar Opções avançadas ao criar a configuração da máquina. Como alternativa, ao usar a API, aplique tags de rede personalizadas usando a opção host.gceInstance.tags no recurso de configuração da estação de trabalho.

Para mais informações sobre as regras de firewall da nuvem privada virtual (VPC) Google Cloud, consulte Crie regras de firewall de VPC na documentação da VPC.