Cette page a été traduite par l'API Cloud Translation.

Configurer des domaines personnalisés pour Cloud Workstations

Pour accéder à vos stations de travail, vous pouvez spécifier un domaine personnalisé approuvé plutôt que d'utiliser le domaine cloudworkstations.dev.

Architecture

Pour utiliser des Cloud Workstations avec un nom d'hôte personnalisé, configurez un cluster privé et configurez le point de terminaison Private Service Connect (PSC) pour l'entrée HTTP de votre cluster privé. Vous devez également créer un équilibreur de charge d'application avec un backend PSC qui cible le point de terminaison PSC créé pour votre cluster privé. Cet équilibreur de charge d'application peut être externe ou interne, et gère le certificat SSL de votre domaine personnalisé.

Le schéma suivant illustre un cluster avec un domaine personnalisé:

Figure 1. Cluster avec domaine personnalisé

Avant de commencer

Pour configurer un domaine personnalisé Cloud Workstations, procédez comme suit:

Créez un cluster privé et spécifiez un domaine personnalisé approuvé à l'aide de la CLI gcloud ou des commandes de l'API REST.
Important
- Le domaine est un champ immuable et ne peut pas être modifié après sa création.
- Veillez à ajouter l'indicateur --enable-private-endpoint, car pour utiliser des domaines personnalisés, vous devez activer les clusters privés.
- Nous vous recommandons de spécifier un domaine qui sera utilisé exclusivement pour le cluster de stations de travail. Si vous prévoyez d'héberger plusieurs clusters de stations de travail, nous vous recommandons d'utiliser un domaine distinct pour chaque cluster (par exemple, us-west1-cluster1.example.com).
Créez un équilibreur de charge d'application externe global avec un backend Private Service Connect (PSC) dans le même projet que celui que vous avez utilisé pour le projet de cluster de stations de travail. Veuillez noter les points suivants :
1. Si vous souhaitez que vos stations de travail soient privées (inaccessibles via l'Internet public), assurez-vous de créer un équilibreur de charge interne. Pour ce faire, créez une zone DNS privée et ajoutez un enregistrement qui mappe le domaine à l'adresse IP interne utilisée par l'équilibreur de charge. Pour en savoir plus sur la création d'un équilibreur de charge interne, consultez la page Cloud privé virtuel (VPC).
2. L'attachement de service que vous devez référencer dans l'équilibreur de charge peut être obtenu sur la ressource de cluster de la station de travail après avoir créé le cluster.
3. Assurez-vous d'obtenir un certificat et de le spécifier sur l'équilibreur de charge en tant que certificat générique pour votre domaine (par exemple, *.us-west1-cluster1.example.com). Consultez la section Certificats et équilibreurs de charge Google Cloud pour connaître les types de certificats compatibles avec l'équilibreur de charge que vous avez sélectionné.
4. Vous pouvez également créer l'équilibreur de charge dans un autre projet, à condition de l'ajouter à la liste PrivateClusterConfig.allowedProjects.
5. Si votre organisation compte plusieurs clusters de stations de travail, vous pouvez utiliser un seul équilibreur de charge avec des services de backend, des certificats et des règles de routage distincts.
Configurez un système de noms de domaine (DNS). Comme il s'agit d'un domaine que vous gérez, configurez un DNS pour ce domaine en mappant tous les sous-domaines du domaine fourni sur l'équilibreur de charge. Par exemple, créez une zone DNS pour us-west1-cluster1.example.com et ajoutez une entrée mappant *.us-west1-cluster1.example.com à l'adresse IP externe utilisée par votre équilibreur de charge.
Pour accéder aux stations de travail à l'aide du domaine personnalisé, utilisez le cluster que vous avez créé pour créer une configuration de station de travail, puis créer une station de travail à l'aide de cette configuration.
Démarrez votre station de travail et vérifiez l'URL. Lorsque vous spécifiez un domaine personnalisé, l'URL de la station de travail se présente sous la forme suivante:
```
https://PORT-WORKSTATION_NAME.DOMAIN
```
Les parties suivantes de l'URL dépendent de votre configuration:
- PORT: numéro de port, qui est le port 80 par défaut.
- WORKSTATION_NAME: nom de votre station de travail.
- DOMAIN: nom de domaine spécifique à votre cluster

Créer un cluster privé

Créez un cluster de stations de travail privé avec un point de terminaison privé:

gcloud

Avant de commencer, assurez-vous d'avoir initialisé la CLI gcloud en exécutant gcloud init et d'avoir spécifié un projet par défaut. Les exemples suivants supposent que vous avez défini votre projet par défaut.
Pour créer un cluster de stations de travail privées, exécutez la commande suivante:
```
gcloud workstations clusters create WORKSTATION_CLUSTER \
  --region=REGION \
  --domain=DOMAIN \
  --network=NETWORK \
  --subnetwork=SUBNETWORK \
  --enable-private-endpoint
```
Remplacez les éléments suivants :
- WORKSTATION_CLUSTER: nom du cluster de stations de travail à créer.
- REGION: nom de la région du cluster.
- DOMAIN: nom de domaine utilisé par Cloud Workstations pour l'entrée HTTP. Utilisez un sous-domaine propre à ce cluster (par exemple, us-west1-cluster1.example.com).
- NETWORK : nom du réseau VPC. S'il est omis, le VPC par défaut est utilisé.
- SUBNETOWRK: nom du sous-réseau dans le réseau VPC. Si le réseau et le sous-réseau sont tous deux omis, le VPC par défaut est utilisé, et le sous-réseau par défaut dans la région REGION spécifiée est utilisé.

Pour en savoir plus sur cette commande de la CLI gcloud, consultez la documentation de référence sur gcloud workstations clusters create.

curl

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json"  -d '{"domain_config": {"domain": "DOMAIN"}, "private_cluster_config": {"enable_private_endpoint":true}, "network": "NETWORK", "subnetwork": "SUBNETWORK"}'  https://workstations.googleapis.com/v1/projects/PROJECT_NAME/locations/REGION/workstationClusters?workstation_cluster_id=WORKSTATION_CLUSTER

Remplacez les éléments suivants :

DOMAIN: nom de domaine utilisé par Cloud Workstations pour l'entrée HTTP. Il doit s'agir d'un sous-domaine propre à ce cluster (par exemple, us-west1-cluster1.example.com).
NETWORK : nom du réseau VPC. S'il est omis, le VPC par défaut est utilisé.
SUBNETOWRK: nom du sous-réseau dans le réseau VPC. Si le réseau et le sous-réseau sont tous deux omis, le VPC par défaut est utilisé, et le sous-réseau par défaut dans la région REGION spécifiée est utilisé.
PROJECT_NAME : nom du projet.
REGION: nom de la région du cluster.
WORKSTATION_CLUSTER: nom du cluster de stations de travail à créer.

Pour en savoir plus sur cette méthode d'API, consultez la documentation de référence de workstationClusters.create.

REST

POST https://workstations.googleapis.com/v1/projects/PROJECT_NAME/locations/REGION/workstationClusters?workstationClusterId=WORKSTATION_CLUSTER
{
  "domainConfig": {
    "domain": "DOMAIN"
  },
  "privateClusterConfig": {
    "enablePrivateEndpoint": true
  }
  "network": "NETWORK"
  "subnetwork": "SUBNETWORK"
}

Remplacez les éléments suivants :

PROJECT_NAME : nom du projet.
REGION: nom de la région du cluster.
WORKSTATION_CLUSTER: nom du cluster de stations de travail à créer.
DOMAIN: nom de domaine utilisé par Cloud Workstations pour l'entrée HTTP. Il doit s'agir d'un sous-domaine propre à ce cluster (par exemple, us-west1-cluster1.example.com).
NETWORK : nom du réseau VPC. S'il est omis, le VPC par défaut est utilisé.
SUBNETOWRK: nom du sous-réseau dans le réseau VPC. Si le réseau et le sous-réseau sont tous deux omis, le VPC par défaut est utilisé, et le sous-réseau par défaut dans la région REGION spécifiée est utilisé.

Pour en savoir plus sur cette méthode d'API, consultez la documentation de référence de workstationClusters.create.

Créer un équilibreur de charge d'application externe mondial avec un backend PSC

Suivez ces étapes de la CLI gcloud et de l'API REST pour créer un équilibreur de charge d'application externe mondial avec un backend PSC:

Créer un NEG pour se connecter à un service publié
Ajouter un backend à un équilibreur de charge d'application externe global
Créer un mappage d'URL pour acheminer les requêtes entrantes vers le service de backend
Créer un proxy HTTPS cible
Créer une adresse globale
Créer une règle de transfert

Créer un NEG pour se connecter à un service publié

Lorsque vous créez un NEG qui pointe vers un service publié, vous avez besoin de l'URI du rattachement de service pour le service. Le rattachement de service a le format suivant : projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME. Vous trouverez l'URI sur la ressource du cluster de stations de travail.

gcloud

gcloud compute network-endpoint-groups create NEG_NAME \
  --network-endpoint-type=private-service-connect \
  --psc-target-service=TARGET_SERVICE \
  --region=REGION \
  --network=NETWORK \
  --subnet=SUBNET

Remplacez les éléments suivants :

NEG_NAME : nom du groupe de points de terminaison du réseau.
TARGET_SERVICE : URI du rattachement de service.
REGION : région dans laquelle créer le groupe de points de terminaison du réseau. La région doit être la même que celle du service cible.
NETWORK : réseau dans lequel créer le groupe de points de terminaison du réseau. S'il n'est pas spécifié, le réseau par défaut est utilisé.
SUBNET: sous-réseau dans lequel créer le groupe de points de terminaison du réseau. Le sous-réseau doit se trouver dans la même région que celle du service cible. Si vous spécifiez le réseau, un sous-réseau doit être spécifié. En cas d'omission du réseau et du sous-réseau, le réseau par défaut est utilisé, et le sous-réseau par défaut dans la région REGION spécifiée est utilisé.

Pour en savoir plus sur cette commande de la CLI gcloud, consultez la documentation de référence sur gcloud compute network-endpoint-groups create.

REST

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/REGION/networkEndpointGroups
{
  "pscTargetService": "TARGET_SERVICE",
  "networkEndpointType": "PRIVATE_SERVICE_CONNECT",
  "name": "NEG_NAME"
}

Remplacez les éléments suivants :

PROJECT_NAME : nom du projet.
REGION : région dans laquelle créer le groupe de points de terminaison du réseau. La région doit être la même que celle du service cible.
NEG_NAME : nom du groupe de points de terminaison du réseau.
TARGET_SERVICE : URI du rattachement de service.

Ajouter un backend à un équilibreur de charge d'application externe global

gcloud

Créez un service de backend pour le service cible:

gcloud compute backend-services create BACKEND_SERVICE_NAME \
--load-balancing-scheme=EXTERNAL_MANAGED \
--protocol=HTTPS \
--global

Remplacez BACKEND_SERVICE_NAME par le nom du service de backend.

Ajoutez le NEG Private Service Connect qui pointe vers le service cible.
```
gcloud compute backend-services add-backend BACKEND_SERVICE_NAME \
--network-endpoint-group=NEG_NAME \
--network-endpoint-group-region=NEG_REGION \
--global
```
Remplacez les éléments suivants :
- BACKEND_SERVICE_NAME : nom du service de backend.
- NEG_NAME : nom du groupe de points de terminaison du réseau.
- NEG_REGION : région du groupe de points de terminaison du réseau.

Pour en savoir plus sur cette commande de la CLI gcloud, consultez la documentation de référence sur gcloud compute backend-services create et gcloud compute backend-services add-backend.

REST

Créez un service de backend pour le service cible:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_NAME/global/backendServices
{
  "protocol": "HTTPS",
  "loadBalancingScheme": "EXTERNAL_MANAGED",
  "name": "BACKEND_SERVICE_NAME"
}

Remplacez BACKEND_SERVICE_NAME par le nom du service de backend.

Ajoutez le NEG Private Service Connect qui pointe vers le service cible.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_NAME/global/backendServices/BACKEND_SERVICE_NAME
{
  "backends": [
    {
      "group": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/regions/NEG_REGION/networkEndpointGroups/NEG_NAME "
    }
  ]
}
```
Remplacez les éléments suivants :
- PROJECT_NAME : nom du projet.
- BACKEND_SERVICE_NAME : nom du service de backend.
- NEG_REGION : région du groupe de points de terminaison du réseau.
- NEG_NAME : nom du groupe de points de terminaison du réseau.

Créer un mappage d'URL pour acheminer les requêtes entrantes vers le service de backend

gcloud

gcloud compute url-maps create URL_MAP_NAME \
  --default-service=BACKEND_SERVICE_NAME \
  --global

Remplacez les éléments suivants :

URL_MAP_NAME: nom du mappage d'URL à créer.
BACKEND_SERVICE_NAME: nom du service de backend à utiliser pour les requêtes lorsque ce mappage d'URL ne comporte aucun mappage.

Pour en savoir plus sur cette commande de la CLI gcloud, consultez la documentation de référence sur gcloud compute url-maps create.

REST

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_NAME/global/urlMaps
{
  "name": "URL_MAP_NAME",
  "defaultService": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/backendServices/BACKEND_SERVICE_NAME "
}

Remplacez les éléments suivants :

PROJECT_NAME : nom du projet.
URL_MAP_NAME: nom du mappage d'URL à créer.
BACKEND_SERVICE_NAME: nom du service de backend à utiliser pour les requêtes lorsque ce mappage d'URL ne comporte aucun mappage.

Créer un proxy HTTPS cible

Créez un proxy HTTPS cible pour rediriger les requêtes vers votre mappage d'URL. Le proxy est la partie de l'équilibreur de charge qui contient le certificat SSL pour l'équilibrage de charge HTTPS. Vous chargez donc également votre certificat à cette étape:

gcloud

gcloud compute target-https-proxies create TARGET_HTTPS_PROXY_NAME \
  --ssl-certificates=SSL_CERTIFICATE_NAME \
  --url-map=URL_MAP_NAME \
  --global

Remplacez les éléments suivants :

TARGET_HTTPS_PROXY_NAME: nom du proxy HTTPS cible à créer.
SSL_CERTIFICATE_NAME: certificat SSL associé à l'équilibreur de charge.
URL_MAP_NAME: ressource de mappage d'URL.

Pour en savoir plus sur cette commande de la CLI gcloud, consultez la documentation de référence sur gcloud compute target-https-proxies create.

REST

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_NAME/global/targetHttpsProxies
{
  "sslCertificates": [
    "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/sslCertificates/SSL_CERTIFICATE_NAME"
  ],
  "urlMap": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/urlMaps/URL_MAP_NAME",
  "name": "TARGET_HTTPS_PROXY_NAME"
}

Remplacez les éléments suivants :

PROJECT_NAME : nom du projet.
SSL_CERTIFICATE_NAME: certificat SSL associé à l'équilibreur de charge.
URL_MAP_NAME: ressource de mappage d'URL.
TARGET_HTTPS_PROXY_NAME: nom du proxy HTTPS cible à créer.

Créer une adresse globale

Réservez une adresse IP statique à utiliser par votre équilibreur de charge:

gcloud

gcloud compute addresses create LB_IP_ADDRESS_NAME \
  --global

Remplacez les éléments suivants :

LB_IP_ADDRESS_NAME: nom de l'adresse IP externe ou interne statique réservée de l'équilibreur de charge.

Pour en savoir plus sur cette commande de la CLI gcloud, consultez la documentation de référence sur gcloud compute addresses create.

REST

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_NAME/global/addresses
{
  "name": "LB_IP_ADDRESS_NAME"
}

Remplacez les éléments suivants :

PROJECT_NAME : nom du projet.
LB_IP_ADDRESS_NAME: nom de l'adresse IP externe ou interne statique réservée de l'équilibreur de charge.

Créer une règle de transfert

Créez une règle de transfert pour acheminer les requêtes entrantes vers le proxy :

gcloud

gcloud compute forwarding-rules create HTTPS_FORWARDING_RULE_NAME \
  --load-balancing-scheme=EXTERNAL_MANAGED \
  --network-tier=PREMIUM \
  --address=LB_IP_ADDRESS_NAME  \
  --target-https-proxy=TARGET_HTTPS_PROXY_NAME  \
  --global \
  --ports=443

Remplacez les éléments suivants :

HTTPS_FORWARDING_RULE_NAME: nom de la règle de transfert à créer.
LB_IP_ADDRESS_NAME: nom de l'adresse IP externe ou interne statique réservée de l'équilibreur de charge.
TARGET_HTTPS_PROXY_NAME: proxy HTTPS cible qui reçoit le trafic.

Pour en savoir plus sur cette commande de la CLI gcloud, consultez la documentation de référence sur gcloud compute forwarding-rules create.

REST

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_NAME/global/forwardingRules
{
  "loadBalancingScheme": "EXTERNAL_MANAGED",
  "networkTier": "PREMIUM",
  "IPAddress": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/addresses/LB_IP_ADDRESS_NAME",
  "target": "https://www.googleapis.com/compute/v1/projects/PROJECT_NAME/global/targetHttpsProxies/TARGET_HTTPS_PROXY_NAME",
  "name": "HTTPS_FORWARDING_RULE_NAME",
  "portRange": "443-443"
}

Remplacez les éléments suivants :

PROJECT_NAME : nom du projet.
LB_IP_ADDRESS_NAME: nom de l'adresse IP externe ou interne statique réservée de l'équilibreur de charge.
TARGET_HTTPS_PROXY_NAME: proxy HTTPS cible qui reçoit le trafic.
HTTPS_FORWARDING_RULE_NAME: nom de la règle de transfert à créer.

Configurer un DNS

Configurez un DNS et ajoutez un enregistrement qui mappe *.DOMAIN (par exemple, *.example.com) à l'adresse IP réservée à l'étape précédente. Si vous utilisez Cloud DNS pour gérer le DNS de votre domaine, consultez la section Ajouter un enregistrement DNS.

Créer votre configuration et votre station de travail

Pour accéder aux stations de travail à l'aide du domaine personnalisé, procédez comme suit:

Utilisez le cluster avec le domaine personnalisé pour créer une configuration de station de travail.
Créez une station de travail à l'aide de la configuration de la station de travail avec le domaine personnalisé.

Étape suivante

Pour en savoir plus sur la configuration de domaines personnalisés et de clusters privés, consultez les pages suivantes: