Identifica las reglas de firewall necesarias
Tus estaciones de trabajo se conectan al plano de control a través de Private Service Connect. Las siguientes subsecciones proporcionan ejemplos
Comandos de la CLI de gcloud para permitir la entrada y la salida.
Para obtener más información sobre estos comandos, consulta la
gcloud compute firewall-rules
información de referencia.
Permitir la entrada
Para que la conexión se establezca correctamente, crea una regla de firewall que permita la entrada al plano de control
IP interna de las VMs de la estación de trabajo. Cloud Workstations aplica automáticamente
la etiqueta de red cloud-workstations-instance a las VMs de la estación de trabajo, que pueden
usarse cuando se crean reglas de firewall que se aplican a las VMs de la estación de trabajo. Consulta la
siguiente comando de CLI de gcloud de ejemplo:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Reemplaza lo siguiente:
RULE_NAME: Es el nombre de la regla de firewall que se creará.NETWORK: Es la red especificada en el recurso del clúster de la estación de trabajo.CONTROL_PLANE_IP: Es la dirección IP interna del plano de control del clúster de estaciones de trabajo.Para encontrar esta dirección IP, ejecuta el siguiente comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONReemplaza lo siguiente:
CLUSTER: Es el ID del clúster o completamente calificado. identificador del clúster.PROJECT: Es el proyecto que aloja el clúster de la estación de trabajo.REGION: Es la ubicación de la región de la estación de trabajo para Por ejemplo,us-central1.
Permitir salida
También necesitas reglas de firewall que permitan la salida a la dirección IP del plano de control
desde VMs con la etiqueta cloud-workstations-instance para el protocolo TCP activado
los puertos 980 y 443, como se muestra en el siguiente comando gcloud de la CLI:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Reemplaza lo siguiente:
RULE_NAME: Es el nombre de la regla de firewall que se creará.NETWORK: Es la red a la que se adjunta esta regla. Si si se omite, la regla se adjunta a la red predeterminada.CONTROL_PLANE_IP: La dirección IP interna del control para el clúster de la estación de trabajo.Para encontrar esta dirección IP, ejecuta el siguiente comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONReemplaza lo siguiente:
CLUSTER: Es el ID del clúster o completamente calificado. identificador del clúster.PROJECT: Es el proyecto que aloja el clúster de la estación de trabajo.REGION: Es la ubicación de la región de la estación de trabajo para Por ejemplo,us-central1.
Para obtener más información, consulta los siguientes temas:
Agrega reglas de firewall con etiquetas de red personalizadas
Puedes configurar etiquetas de red personalizadas para las VMs de tu estación de trabajo en el
Consola de Google Cloud Cuando crees o edites la configuración de una estación de trabajo, actualiza
la configuración de la máquina para incluir tus etiquetas de red en el feed Etiquetas de red
. Para obtener información detallada sobre cómo agregar etiquetas de red, consulta las instrucciones para
especifica Opciones avanzadas cuando crees tu máquina
configuración.
Como alternativa, cuando uses la API, aplica etiquetas de red personalizadas a través del
La opción host.gceInstance.tags en el recurso de configuración de la estación de trabajo
Para obtener más información sobre las reglas de firewall de la nube privada virtual (VPC) en Google Cloud, consulta Cómo crear reglas de firewall de VPC en la documentación de VPC.