Identificar as regras de firewall necessárias
As estações de trabalho se conectam ao plano de controle pelo
Private Service Connect. As subseções a seguir fornecem exemplos
Comandos da CLI gcloud
para permitir a entrada e a saída.
Para mais informações sobre esses comandos, consulte as
informações de referência do
gcloud compute firewall-rules
.
Permitir entrada
Para que a conexão funcione, crie uma regra de firewall para permitir a entrada no plano de controle
o endereço IP das VMs da estação de trabalho. O Cloud Workstations aplica automaticamente
a tag de rede cloud-workstations-instance
às VMs de estações de trabalho, que podem
ser usados ao criar regras de firewall que se aplicam a VMs de estações de trabalho. Consulte a
exemplo de comando da CLI gcloud
a seguir:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Substitua:
RULE_NAME
: o nome da regra de firewall a ser criadaNETWORK
: a rede especificada no recurso de cluster de estação de trabalhoCONTROL_PLANE_IP
: o endereço IP interno do controle para o cluster da estação de trabalho.Para encontrar esse endereço IP, execute o seguinte comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
Substitua:
CLUSTER
: o ID do cluster ou do identificador totalmente qualificado do cluster.PROJECT
: o projeto que hospeda o cluster de estações de trabalho.REGION
: o local da região da estação de trabalho, por exemplo,us-central1
.
Permitir saída
Você também precisa de regras de firewall que permitam a saída para o endereço IP do plano de controle
de VMs com a tag cloud-workstations-instance
para o protocolo TCP nas
portas 980
e 443
, conforme mostrado no seguinte comando da CLI gcloud
:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Substitua:
RULE_NAME
: o nome da regra de firewall a ser criadaNETWORK
: a rede a que esta regra está anexada. Se omitido, a regra é anexada à rede padrão.CONTROL_PLANE_IP
: o endereço IP interno do controle para o cluster da estação de trabalho.Para encontrar esse endereço IP, execute o seguinte comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
Substitua:
CLUSTER
: o ID do cluster ou do identificador totalmente qualificado do cluster.PROJECT
: o projeto que hospeda o cluster de estações de trabalho.REGION
: o local da região da estação de trabalho, para exemplo:us-central1
.
Para mais informações, consulte também os seguintes tópicos:
Adicionar regras de firewall usando tags de rede personalizadas
É possível configurar tags de rede personalizadas para as VMs da estação de trabalho no
console do Google Cloud. Ao criar ou editar a configuração de uma estação de trabalho,
A configuração da máquina para incluir as tags de rede em Tags de rede
. Para saber como adicionar tags de rede, consulte as instruções para
especificar Opções avançadas ao criar a configuração
da máquina.
Como alternativa, ao usar a API, aplique tags de rede personalizadas usando a
opção host.gceInstance.tags
no recurso de configuração da estação de trabalho.
Para mais informações sobre as regras de firewall da nuvem privada virtual (VPC) Google Cloud, consulte Crie regras de firewall de VPC na documentação da VPC.