找出所需的防火牆規則
工作站會透過 Private Service Connect 連線至控制平面。下列小節提供允許輸入和輸出內容的 gcloud CLI 指令範例。如要進一步瞭解這些指令,請參閱 gcloud compute firewall-rules 參考資訊。
允許進入
如要成功連線,請建立防火牆規則,允許從工作站 VM 輸入控制平面 IP 位址。Cloud Workstations 會自動將 cloud-workstations-instance 網路標記套用至工作站 VM,建立套用至工作站 VM 的防火牆規則時,即可使用這個標記。請參閱以下 gcloud CLI 指令範例:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=INGRESS \
--network=NETWORK \
--rules=tcp\
--source-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
更改下列內容:
RULE_NAME:要建立的防火牆規則名稱NETWORK:工作站叢集資源上指定的網路CONTROL_PLANE_IP:工作站叢集控制層的內部 IP 位址。如要找出這個 IP 位址,請執行下列指令:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION更改下列內容:
CLUSTER:叢集 ID 或叢集的完整 ID。PROJECT:代管工作站叢集的專案。REGION:工作站的區域位置,例如us-central1。
允許輸出
您也需要防火牆規則,允許從具有 cloud-workstations-instance 標記的 VM,透過通訊埠 980 和 443 上的 TCP 通訊協定,輸出至控制平面 IP 位址,如下列 gcloud CLI 指令所示:
gcloud compute firewall-rules create RULE_NAME \
--action=ALLOW \
--direction=EGRESS \
--network=NETWORK \
--rules=tcp:980,tcp:443 \
--target-tags=cloud-workstations-instance \
--destination-ranges=CONTROL_PLANE_IP
更改下列內容:
RULE_NAME:要建立的防火牆規則名稱NETWORK:此規則所附加的網路。如果省略此參數,規則會附加至預設網路。CONTROL_PLANE_IP:工作站叢集控制層的內部 IP 位址。如要找出這個 IP 位址,請執行下列指令:
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION更改下列內容:
CLUSTER:叢集 ID 或叢集的完整 ID。PROJECT:代管工作站叢集的專案。REGION:工作站的區域位置,例如us-central1。
詳情請參閱下列主題:
WorkstationCluster REST API
使用自訂網路標記新增防火牆規則
您可以在Google Cloud 控制台中,為工作站 VM 設定自訂網路標記。建立或編輯工作站設定時,請更新機器設定,在「網路標記」欄位中加入網路標記。如要瞭解如何新增網路標記,請參閱建立機器設定時指定進階選項的操作說明。或者,使用 API 時,透過工作站設定資源的 host.gceInstance.tags 選項套用自訂網路標記。
如要進一步瞭解Google Cloud中的虛擬私有雲 (VPC) 防火牆規則,請參閱 VPC 說明文件中的「建立 VPC 防火牆規則」。