Cette page explique comment utiliser l'CLI gcloud pour vous connecter à votre poste de travail depuis une machine locale à l'aide de SSH (ou de tout autre protocole TCP).
Cloud Workstations utilise un tunnel pour transférer le trafic TCP entre un port de votre machine locale et un port de votre poste de travail, sans exposer ouvertement votre poste de travail à Internet. Les connexions sont authentifiées à l'aide des identifiants de l'CLI gcloud et autorisées en fonction des stratégies IAM du poste de travail cible.
Une fois le tunnel TCP établi entre votre port local et la station de travail, vous pouvez l'utiliser pour transférer le trafic depuis un client SSH, curl ou toute autre application utilisant TCP.
Pour plus de commodité, Cloud Workstations fournit la commande gcloud workstations ssh, qui établit le tunnel TCP et exécute un client SSH avec une seule commande CLI gcloud.
Pour tous les autres cas d'utilisation, utilisez la commande gcloud workstations start-tcp-tunnel pour établir le tunnel TCP et exécutez l'application qui utilisera le tunnel (par exemple, curl) dans un terminal distinct.
Avant de commencer
Si vous ne disposez pas encore d'un poste de travail auquel vous connecter, configurez-en un.
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the
gcloudCLI with your federated identity.Assurez-vous de disposer du rôle IAM Utilisateur Cloud Workstations sur la station de travail à laquelle vous allez vous connecter.
PROJECT_ID: ID du projet Google Cloud contenant la station de travail. Si elle est omise, le projet actuel est utilisé.REGION: région où se trouve le cluster de la station de travail (par exemple,us-central1).CLUSTER_NAME: nom du cluster de postes de travail contenant le poste de travail.CONFIG_NAME: nom de la configuration de poste de travail contenant ce poste de travail.WORKSTATION_PORT(facultatif) : port du poste de travail vers lequel le trafic doit être envoyé. En cas d'omission, le trafic sera envoyé au port22. Toutes les images Cloud Workstations préconfigurées incluent un serveur SSH qui s'exécute sur le port22de la station de travail.LOCAL_PORT(facultatif) : port localhost à partir duquel le trafic sera envoyé. Les numéros de port valides sont compris entre1024et65535. Si vous omettez l'indicateur--local-host-portou spécifiez un port de0, un port inutilisé est sélectionné automatiquement.WORKSTATION_NAME: nom du poste de travail.Exécutez la commande CLI
gcloudsuivante pour créer un tunnel TCP authentifié.Pour copier la commande dans le presse-papiers, cliquez sur Copier l'exemple de code, puis collez la commande dans une fenêtre de terminal local :
gcloud workstations start-tcp-tunnel \ --project=PROJECT_ID \ --region=REGION \ --cluster=CLUSTER_NAME \ --config=CONFIG_NAME \ --local-host-port=localhost:LOCAL_PORT \ WORKSTATION_NAME \ WORKSTATION_PORTRemplacez les valeurs suivantes :
PROJECT_ID: ID du projet Google Cloud contenant la station de travail. Si elle est omise, le projet actuel est utilisé.REGION: région où se trouve le cluster de la station de travail (par exemple,us-central1).CLUSTER_NAME: nom du cluster de postes de travail contenant le poste de travail.CONFIG_NAME: nom de la configuration de poste de travail contenant ces postes de travail.LOCAL_PORT(facultatif) : port localhost à partir duquel le trafic sera envoyé. Les numéros de port valides sont compris entre1024et65535. Si vous omettez l'indicateur--local-host-portou spécifiez un port de0, un port inutilisé est sélectionné automatiquement.WORKSTATION_NAME: nom du poste de travail.WORKSTATION_PORT: port du poste de travail vers lequel le trafic doit être envoyé. Les images Cloud Workstations préconfigurées incluent un serveur SSH qui s'exécute sur le port22de la station de travail.
La commande CLI
gcloudeffectue un test de connectivité avec la station de travail, ouvre un tunnel, puis affiche un numéro de port :Listening on port [LOCAL_PORT].Tout le trafic envoyé à
localhost:LOCAL_PORTest transféré vers la station de travail. Le port n'est accessible que par les applications exécutées sur votre ordinateur local.Laissez l'interface de CLI commande
gclouds'exécuter et ouvrez un autre terminal pour exécuter l'application qui se connecte à votre poste de travail.Par exemple, si vous exécutez un serveur sur votre poste de travail qui dessert le port WORKSTATION_PORT et que, lors de l'étape précédente, vous avez créé un tunnel TCP qui transfère le trafic entre votre port local LOCAL_PORT et le port WORKSTATION_PORT du poste de travail, vous pouvez exécuter
curlsur votre machine locale pour vous connecter au serveur sur votre poste de travail :curl localhost:LOCAL_PORT Hello, world!Lorsque vous avez terminé, revenez au terminal où vous avez démarré le tunnel TCP et interrompez l'CLI
gclouden appuyant sur Ctrl+C.- Définir des variables d'environnement de conteneur dans les sessions SSH pour les images de conteneurs personnalisées
- Activer le transfert X11 pour les images de conteneurs personnalisées
Se connecter à votre station de travail à l'aide de SSH
Pour établir une connexion SSH sécurisée à votre poste de travail, utilisez la commande gcloud workstations ssh, qui démarre un tunnel TCP et exécute un client SSH.
Pour copier la commande dans le presse-papiers, cliquez sur Copier l'exemple de code, puis collez la commande dans une fenêtre de terminal local :
gcloud workstations ssh \
--project=PROJECT_ID \
--region=REGION \
--cluster=CLUSTER_NAME \
--config=CONFIG_NAME \
--port=WORKSTATION_PORT \
--local-host-port=localhost:LOCAL_PORT \
WORKSTATION_NAME
Remplacez les valeurs suivantes :
Facultatif : Pour transmettre des indicateurs et des arguments positionnels à l'implémentation ssh sous-jacente, ajoutez-les à la commande après un double tiret (--).
Utiliser un tunnel TCP pour transférer du trafic TCP arbitraire vers votre station de travail
Pour vous connecter à un poste de travail à l'aide d'une application TCP autre que ssh, utilisez la commande gcloud workstations start-tcp-tunnel :
Utiliser des serveurs SSH sur différents ports
Les images de conteneurs personnalisées peuvent également utiliser des serveurs SSH sur n'importe quel port. Pour prendre en charge les connexions à partir du tunnel de CLI gcloud, vous devez configurer des serveurs SSH personnalisés pour autoriser l'authentification par mot de passe et définir l'utilisateur cible avec un mot de passe vide.
Cloud Workstations utilise Cloud IAM pour s'assurer que seul le trafic autorisé est envoyé au serveur SSH.