Mengonfigurasi aturan firewall

Mengidentifikasi aturan firewall yang diperlukan

Workstation Anda terhubung ke bidang kontrol melalui Private Service Connect. Subbagian berikut memberikan contoh perintah CLI gcloud untuk mengizinkan traffic masuk dan keluar. Untuk informasi selengkapnya tentang perintah ini, lihat informasi referensi gcloud compute firewall-rules.

Mengizinkan ingress

Agar koneksi berhasil, buat aturan firewall untuk mengizinkan traffic masuk ke alamat IP control plane dari VM workstation. Cloud Workstation secara otomatis menerapkan tag jaringan cloud-workstations-instance ke VM workstation, yang dapat digunakan saat membuat aturan firewall yang berlaku untuk VM workstation. Lihat contoh perintah CLI gcloud berikut:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Ganti kode berikut:

  • RULE_NAME: nama aturan firewall yang akan dibuat
  • NETWORK: jaringan yang ditentukan di resource cluster workstation

  • CONTROL_PLANE_IP: alamat IP internal bidang kontrol untuk cluster workstation.

    Untuk menemukan alamat IP ini, jalankan perintah berikut:

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION

    Ganti kode berikut:

    • CLUSTER: ID cluster atau ID yang sepenuhnya memenuhi syarat untuk cluster.
    • PROJECT: project yang menghosting cluster workstation.
    • REGION: lokasi region workstation—misalnya, us-central1.

Mengizinkan traffic keluar

Anda juga memerlukan aturan firewall yang mengizinkan traffic keluar ke alamat IP panel kontrol dari VM dengan tag cloud-workstations-instance untuk protokol TCP di port 980 dan 443 seperti yang ditunjukkan dalam perintah CLI gcloud berikut:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Ganti kode berikut:

  • RULE_NAME: nama aturan firewall yang akan dibuat
  • NETWORK: jaringan tempat aturan ini dilampirkan. Jika dihilangkan, aturan akan dilampirkan ke jaringan default.

  • CONTROL_PLANE_IP: alamat IP internal bidang kontrol untuk cluster workstation.

    Untuk menemukan alamat IP ini, jalankan perintah berikut:

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION

    Ganti kode berikut:

    • CLUSTER: ID cluster atau ID yang sepenuhnya memenuhi syarat untuk cluster.
    • PROJECT: project yang menghosting cluster workstation.
    • REGION: lokasi region workstation—misalnya, us-central1.

Untuk informasi selengkapnya, lihat juga topik berikut:

Menambahkan aturan firewall menggunakan tag jaringan kustom

Anda dapat mengonfigurasi tag jaringan kustom untuk VM workstation di konsolGoogle Cloud . Saat membuat atau mengedit konfigurasi workstation, perbarui konfigurasi mesin untuk menyertakan tag jaringan di kolom Tag jaringan. Untuk mengetahui detail cara menambahkan Tag jaringan, lihat petunjuk untuk menentukan Opsi lanjutan saat membuat konfigurasi mesin. Atau, saat menggunakan API, terapkan tag jaringan kustom melalui opsi host.gceInstance.tags di resource konfigurasi workstation.

Untuk mengetahui informasi selengkapnya tentang aturan firewall Virtual Private Cloud (VPC) diGoogle Cloud, lihat Membuat aturan firewall VPC dalam dokumentasi VPC.