Configurar regras de firewall

Identifique as regras de firewall necessárias

Suas estações de trabalho se conectam ao plano de controle por meio do Private Service Connect. As subseções a seguir fornecem exemplos de comandos da CLI gcloud para permitir entrada e saída. Para mais informações sobre esses comandos, consulte as informações de referência gcloud compute firewall-rules.

Permitir a entrada

Para que a conexão funcione, crie uma regra de firewall que permita a entrada das VMs da estação de trabalho no endereço IP do plano de controle. O Cloud Workstations aplica automaticamente a tag de rede cloud-workstations-instance às VMs da estação de trabalho, que podem ser usadas ao criar regras de firewall que se aplicam às VMs da estação de trabalho. Confira o exemplo a seguir de gcloud comando da CLI:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Substitua:

• RULE_NAME: o nome da regra de firewall a ser criada
• NETWORK: a rede especificada no recurso do cluster de estações de trabalho

• CONTROL_PLANE_IP: o endereço IP interno do plano de controle do cluster de estações de trabalho.

  Para encontrar esse endereço IP, execute o seguinte comando:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Substitua:

  • CLUSTER: o ID do cluster ou o identificador totalmente qualificado do cluster.
  • PROJECT: o projeto que hospeda o cluster de estação de trabalho.
  • REGION: o local da região da estação de trabalho, por exemplo, us-central1.

Permitir saída

Também é necessário ter regras de firewall que permitam a saída do endereço IP do plano de controle das VMs com a tag cloud-workstations-instance para o protocolo TCP nas portas 980 e 443, conforme mostrado no seguinte comando da CLI gcloud:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Substitua:

• RULE_NAME: o nome da regra de firewall a ser criada
• NETWORK: a rede a que a regra está anexada. Se omitida, a regra será anexada à rede padrão.

• CONTROL_PLANE_IP: o endereço IP interno do plano de controle do cluster de estações de trabalho.

  Para encontrar esse endereço IP, execute o seguinte comando:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Substitua:

  • CLUSTER: o ID do cluster ou o identificador totalmente qualificado do cluster.
  • PROJECT: o projeto que hospeda o cluster de estação de trabalho.
  • REGION: o local da região da estação de trabalho, por exemplo, us-central1.

Para mais informações, consulte também os seguintes tópicos:

• API REST WorkstationCluster

• Permitir conexões de entrada internas entre VMs

Adicionar regras de firewall usando tags de rede personalizadas

É possível configurar tags de rede personalizadas para as VMs da estação de trabalho no console do Google Cloud. Ao criar ou editar uma configuração de estação de trabalho, atualize a configuração da sua máquina para incluir as tags de rede no campo Tags de rede. Para mais detalhes sobre como adicionar tags de rede, consulte as instruções de especificação das Opções avançadas ao criar a configuração da máquina. Como alternativa, ao usar a API, aplique tags de rede personalizadas usando a opção host.gceInstance.tags no recurso de configuração da estação de trabalho.

Para mais informações sobre as regras de firewall da nuvem privada virtual (VPC) no Google Cloud, consulte Criar regras de firewall da VPC na documentação da VPC.