Identifique as regras de firewall necessárias
As estações de trabalho ligam-se ao plano de controlo através do Private Service Connect. As subsecções seguintes fornecem exemplos de comandos da CLI gcloud para permitir a entrada e a saída.
Para mais informações sobre estes comandos, consulte as
gcloud compute firewall-rules
informações de referência.
Permitir entrada
Para que a ligação seja bem-sucedida, crie uma regra de firewall para permitir a entrada no endereço IP do plano de controlo a partir das VMs da estação de trabalho. O Cloud Workstations aplica automaticamente a etiqueta de rede cloud-workstations-instance às VMs da estação de trabalho, que pode ser usada quando cria regras de firewall que se aplicam às VMs da estação de trabalho. Veja o comando da CLI gcloud no exemplo seguinte:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Substitua o seguinte:
RULE_NAME: o nome da regra de firewall a criarNETWORK: a rede especificada no recurso do cluster de estações de trabalhoCONTROL_PLANE_IP: o endereço IP interno do plano de controlo do cluster da estação de trabalho.Para encontrar este endereço IP, execute o seguinte comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONSubstitua o seguinte:
CLUSTER: o ID do cluster ou o identificador totalmente qualificado do cluster.PROJECT: o projeto que aloja o cluster de estações de trabalho.REGION: a localização da região da estação de trabalho, por exemplo,us-central1.
Permitir saída
Também precisa de regras de firewall que permitam a saída para o endereço IP do plano de controlo
de VMs com a etiqueta cloud-workstations-instance para o protocolo TCP nas portas 980 e 443, conforme mostrado no seguinte comando da CLI gcloud:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
Substitua o seguinte:
RULE_NAME: o nome da regra de firewall a criarNETWORK: a rede à qual esta regra está anexada. Se for omitido, a regra é anexada à rede predefinida.CONTROL_PLANE_IP: o endereço IP interno do plano de controlo do cluster da estação de trabalho.Para encontrar este endereço IP, execute o seguinte comando:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGIONSubstitua o seguinte:
CLUSTER: o ID do cluster ou o identificador totalmente qualificado do cluster.PROJECT: o projeto que aloja o cluster de estações de trabalho.REGION: a localização da região da estação de trabalho, por exemplo,us-central1.
Para mais informações, consulte também os seguintes tópicos:
Adicione regras de firewall com etiquetas de rede personalizadas
Pode configurar etiquetas de rede personalizadas para as VMs da estação de trabalho na
Google Cloud consola. Quando cria ou edita uma configuração de estação de trabalho, atualize a configuração da máquina para incluir as etiquetas de rede no campo Etiquetas de rede. Para ver detalhes sobre como adicionar etiquetas de rede, consulte as instruções para especificar opções avançadas quando criar a configuração do computador.
Em alternativa, quando usar a API, aplique etiquetas de rede personalizadas através da opção host.gceInstance.tags no recurso de configuração da estação de trabalho.
Para mais informações sobre as regras de firewall da nuvem virtual privada (VPC) no Google Cloud, consulte o artigo Crie regras de firewall da VPC na documentação da VPC.