Firewallregeln konfigurieren

Erforderliche Firewallregeln identifizieren

Ihre Workstations stellen über Private Service Connect eine Verbindung zur Steuerungsebene her. In den folgenden Unterabschnitten finden Sie Beispiele gcloud-Kommandozeilenbefehle zum Zulassen von eingehendem und ausgehendem Traffic. Weitere Informationen zu diesen Befehlen finden Sie in der gcloud compute firewall-rules Referenzinformationen.

Eingehenden Traffic zulassen

Erstellen Sie eine Firewallregel, um eingehenden Traffic zur Steuerungsebene zuzulassen, damit die Verbindung hergestellt werden kann IP-Adresse von den Workstation-VMs. Cloud Workstations wird automatisch angewendet das Netzwerk-Tag cloud-workstations-instance an die Workstation-VMs, die auf werden beim Erstellen von Firewallregeln für Workstation-VMs verwendet. Weitere Informationen finden Sie in der folgenden Beispielbefehl für die gcloud-Befehlszeile:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Ersetzen Sie Folgendes:

• RULE_NAME: der Name der zu erstellenden Firewallregel
• NETWORK: das in der Workstationclusterressource angegebene Netzwerk

• CONTROL_PLANE_IP: die interne IP-Adresse der Steuerungsebene für den Workstation-Cluster.

  Führen Sie den folgenden Befehl aus, um diese IP-Adresse zu ermitteln:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Ersetzen Sie Folgendes:

  • CLUSTER: die ID des Clusters oder eine voll qualifizierte Kennzeichnung für den Cluster.
  • PROJECT: das Projekt, in dem der Workstation-Cluster gehostet wird.
  • REGION: der Standort der Workstation, z. B. us-central1.

Ausgehenden Traffic zulassen

Sie benötigen außerdem Firewallregeln, die ausgehenden Traffic an die IP-Adresse der Steuerungsebene zulassen von VMs mit dem Tag cloud-workstations-instance für das TCP-Protokoll auf Ports 980 und 443, wie im folgenden gcloud-Befehlszeilenbefehl gezeigt:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Ersetzen Sie Folgendes:

• RULE_NAME: der Name der zu erstellenden Firewallregel
• NETWORK: das Netzwerk, dem diese Regel zugeordnet ist. Wird dieser Parameter weggelassen, wird die Regel dem Standardnetzwerk zugeordnet.

• CONTROL_PLANE_IP: die interne IP-Adresse der Steuerungsebene für den Workstation-Cluster.

  Führen Sie den folgenden Befehl aus, um diese IP-Adresse zu ermitteln:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Ersetzen Sie Folgendes:

  • CLUSTER: die ID des Clusters oder eine voll qualifizierte Kennzeichnung für den Cluster.
  • PROJECT: das Projekt, in dem der Workstation-Cluster gehostet wird.
  • REGION: der Standort der Workstation, z. B. us-central1.

Weitere Informationen finden Sie auch in den folgenden Themen:

• WorkstationCluster REST API

• Interne eingehende Verbindungen zwischen VMs zulassen

Firewallregeln mit benutzerdefinierten Netzwerk-Tags hinzufügen

Sie können benutzerdefinierte Netzwerk-Tags für Ihre Workstation-VMs in der Google Cloud Console konfigurieren. Wenn Sie eine Workstationkonfiguration erstellen oder bearbeiten, aktualisieren Sie die Maschinenkonfiguration, indem Sie Ihre Netzwerk-Tags in das Feld Netzwerk-Tags einfügen. Weitere Informationen zum Hinzufügen von Netzwerk-Tags finden Sie in der Anleitung für Angabe von Erweiterte Optionen beim Erstellen Ihrer Maschine Konfiguration. Alternativ können Sie bei Verwendung der API benutzerdefinierte Netzwerk-Tags über die Option host.gceInstance.tags auf die Workstation-Konfigurationsressource anwenden.

Weitere Informationen zu VPC-Firewallregeln (Virtual Private Cloud) in Google Cloud finden Sie in der VPC-Dokumentation unter VPC-Firewallregeln erstellen.