Configurazione delle regole del firewall

Identifica le regole firewall necessarie

Le workstation si connettono al piano di controllo tramite Private Service Connect. Le sottosezioni seguenti forniscono comandi gcloud CLI di esempio per consentire l'ingresso e l'uscita. Per ulteriori informazioni su questi comandi, consulta le informazioni di riferimento di gcloud compute firewall-rules.

Consenti l'ingresso

Affinché la connessione vada a buon fine, crea una regola firewall per consentire l'accesso all'indirizzo IP del control plane dalle VM delle workstation. Cloud Workstations applica automaticamente il tag di rete cloud-workstations-instance alle VM workstation, che può essere utilizzato per creare regole firewall da applicare alle VM workstation. Vedi l'esempio di comando gcloud CLI che segue:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Sostituisci quanto segue:

• RULE_NAME: il nome della regola firewall da creare
• NETWORK: la rete specificata nella risorsa cluster di workstation

• CONTROL_PLANE_IP: l'indirizzo IP interno del piano di controllo per il cluster di workstation.

  Per trovare questo indirizzo IP, esegui il seguente comando:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Sostituisci quanto segue:

  • CLUSTER: l'ID del cluster o l'identificatore completamente qualificato del cluster.
  • PROJECT: il progetto che ospita il cluster di workstation.
  • REGION: la posizione della regione della stazione di lavoro, ad esempio us-central1.

Consenti uscita

Sono inoltre necessarie regole firewall che consentano l'uscita all'indirizzo IP del piano di controllo dalle VM con il tag cloud-workstations-instance per il protocollo TCP sulle porte 980 e 443 come mostrato nel seguente comando gcloud CLI:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Sostituisci quanto segue:

• RULE_NAME: il nome della regola firewall da creare
• NETWORK: la rete a cui è collegata questa regola. Se viene omessa, la regola si applica alla rete predefinita.

• CONTROL_PLANE_IP: l'indirizzo IP interno del piano di controllo per il cluster di workstation.

  Per trovare questo indirizzo IP, esegui il seguente comando:

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  Sostituisci quanto segue:

  • CLUSTER: l'ID del cluster o l'identificatore completamente qualificato del cluster.
  • PROJECT: il progetto che ospita il cluster di workstation.
  • REGION: la posizione della regione della stazione di lavoro, ad esempio us-central1.

Per ulteriori informazioni, consulta anche i seguenti argomenti:

• API REST WorkstationCluster

• Consenti le connessioni in entrata interne tra le VM

Aggiungere regole firewall utilizzando tag di rete personalizzati

Puoi configurare tag di rete personalizzati per le VM della tua workstation nella console Google Cloud. Quando crei o modifichi una configurazione della workstation, aggiorna la configurazione della macchina in modo da includere i tag di rete nel campo Tag di rete. Per informazioni dettagliate su come aggiungere i tag di rete, consulta le istruzioni per specificare le Opzioni avanzate durante la creazione della configurazione della macchina. In alternativa, quando utilizzi l'API, applica i tag di rete personalizzati tramite l'opzione host.gceInstance.tags nella risorsa di configurazione della stazione di lavoro.

Per ulteriori informazioni sulle regole firewall VPC (Virtual Private Cloud) in Google Cloud, consulta Creare regole firewall VPC nella documentazione di VPC.