必要なファイアウォール ルールを特定する
ワークステーションは Private Service Connect を介してコントロール プレーンに接続します。以下のサブセクションでは、上り(内向き)と下り(外向き)を許可する gcloud
CLI コマンドの例を紹介します。これらのコマンドの詳細については、gcloud compute firewall-rules
のリファレンス情報をご覧ください。
上り(内向き)を許可する
接続を成功させるには、ワークステーション VM からコントロール プレーンの IP アドレスへの上り(内向き)を許可するファイアウォール ルールを作成します。Cloud Workstations は、cloud-workstations-instance
ネットワーク タグをワークステーション VM に自動的に適用します。このタグは、ワークステーション VM に適用されるファイアウォール ルールを作成する際に使用できます。次の gcloud
CLI コマンドの例をご覧ください。
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
以下を置き換えます。
RULE_NAME
: 作成するファイアウォール ルールの名前NETWORK
: ワークステーション クラスタ リソースで指定されたネットワークCONTROL_PLANE_IP
: ワークステーション クラスタのコントロール プレーンの内部 IP アドレス。この IP アドレスを確認するには、次のコマンドを実行します。
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
以下を置き換えます。
CLUSTER
: クラスタの ID またはクラスタの完全修飾識別子。PROJECT
: ワークステーション クラスタをホストするプロジェクト。REGION
: ワークステーションのリージョンのロケーション(例:us-central1
)。
下り(外向き)を許可する
以下の gcloud
CLI コマンドで示すように、ポート 980
と 443
の TCP プロトコルに対して cloud-workstations-instance
タグが付加された VM からコントロール プレーンの IP アドレスへの下り(外向き)を許可するファイアウォール ルールも必要となります。
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
以下を置き換えます。
RULE_NAME
: 作成するファイアウォール ルールの名前NETWORK
: このルールが接続されるネットワーク。省略した場合、ルールはデフォルトのネットワークに接続されます。CONTROL_PLANE_IP
: ワークステーション クラスタのコントロール プレーンの内部 IP アドレス。この IP アドレスを確認するには、次のコマンドを実行します。
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
以下を置き換えます。
CLUSTER
: クラスタの ID またはクラスタの完全修飾識別子。PROJECT
: ワークステーション クラスタをホストするプロジェクト。REGION
: ワークステーションのリージョンのロケーション(例:us-central1
)。
詳しくは次のトピックをご覧ください。
WorkstationCluster REST API
カスタム ネットワーク タグを使用してファイアウォール ルールを追加する
ワークステーション VM のカスタム ネットワーク タグは、Google Cloud コンソールで構成できます。ワークステーション構成を作成または編集するときに、マシン構成を更新して、[ネットワーク タグ] フィールドにネットワーク タグを配置します。ネットワーク タグの追加方法について詳しくは、マシン構成の作成時に詳細オプションを指定する手順をご覧ください。
また、API を使用する場合は、ワークステーション構成リソースの host.gceInstance.tags
オプションを使用してカスタム ネットワーク タグを適用します。
Google Cloud の Virtual Private Cloud(VPC)ファイアウォール ルールの詳細については、VPC のドキュメントの VPC ファイアウォール ルールを作成するをご覧ください。