Identifier les règles de pare-feu requises
Vos stations de travail se connectent au plan de contrôle via Private Service Connect. Les sous-sections suivantes fournissent des exemples de commandes CLI gcloud pour autoriser l'entrée et la sortie.
Pour en savoir plus sur ces commandes, consultez la documentation de référence sur gcloud compute firewall-rules.
Autoriser l'entrée
Pour que la connexion aboutisse, créez une règle de pare-feu pour autoriser l'entrée à l'adresse IP du plan de contrôle à partir des VM de la station de travail. Cloud Workstations applique automatiquement le tag réseau cloud-workstations-instance aux VM de la station de travail, qui peut être utilisé lors de la création de règles de pare-feu qui s'appliquent aux VM de la station de travail. Consultez l'exemple de commande CLI gcloud suivant:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Remplacez les éléments suivants :
RULE_NAME: nom de la règle de pare-feu à créerNETWORK: réseau spécifié sur la ressource de cluster de la station de travailCONTROL_PLANE_IP: adresse IP interne du plan de contrôle du cluster de stations de travail.Pour trouver cette adresse IP, exécutez la commande suivante:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONRemplacez les éléments suivants :
CLUSTER: ID du cluster ou identifiant complet du cluster.PROJECT: projet hébergeant le cluster de stations de travail.REGION: région de la station de travail (par exemple,us-central1)
Autoriser la sortie
Vous avez également besoin de règles de pare-feu qui autorisent la sortie vers l'adresse IP du plan de contrôle à partir des VM avec la balise cloud-workstations-instance pour le protocole TCP sur les ports 980 et 443, comme indiqué dans la commande de CLI gcloud suivante:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Remplacez les éléments suivants :
RULE_NAME: nom de la règle de pare-feu à créerNETWORK: réseau auquel cette règle est associée. Si ce champ est omis, la règle est associée au réseau par défaut.CONTROL_PLANE_IP: adresse IP interne du plan de contrôle du cluster de stations de travail.Pour trouver cette adresse IP, exécutez la commande suivante:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONRemplacez les éléments suivants :
CLUSTER: ID du cluster ou identifiant complet du cluster.PROJECT: projet hébergeant le cluster de stations de travail.REGION: région de la station de travail (par exemple,us-central1)
Pour en savoir plus, consultez également les articles suivants:
Ajouter des règles de pare-feu à l'aide de tags réseau personnalisés
Vous pouvez configurer des tags réseau personnalisés pour vos VM de poste de travail dans la console Google Cloud. Lorsque vous créez ou modifiez une configuration de poste de travail, mettez à jour la configuration de votre machine pour inclure vos tags réseau dans le champ Tags réseau. Pour savoir comment ajouter des tags réseau, consultez les instructions pour spécifier des options avancées lorsque vous créez la configuration de votre machine.
Vous pouvez également appliquer des balises réseau personnalisées à l'aide de l'option host.gceInstance.tags sur la ressource de configuration de la station de travail lorsque vous utilisez l'API.
Pour en savoir plus sur les règles de pare-feu pour les clouds privés virtuels (VPC) dans Google Cloud, consultez la section Créer des règles de pare-feu VPC dans la documentation sur le VPC.