Configurar reglas de cortafuegos

Identificar las reglas de cortafuegos necesarias

Tus estaciones de trabajo se conectan al plano de control a través de Private Service Connect. En las siguientes subsecciones se proporcionan ejemplos de comandos de la CLI de gcloud para permitir el tráfico de entrada y salida. Para obtener más información sobre estos comandos, consulta la información de referencia de gcloud compute firewall-rules.

Permitir el tráfico de entrada

Para que la conexión se realice correctamente, crea una regla de cortafuegos que permita el acceso a la dirección IP del plano de control desde las VMs de la estación de trabajo. Cloud Workstations aplica automáticamente la etiqueta de red cloud-workstations-instance a las VMs de la estación de trabajo, que se puede usar al crear reglas de cortafuegos que se apliquen a las VMs de la estación de trabajo. Consulta el siguiente ejemplo de comando gcloud de la CLI:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Haz los cambios siguientes:

  • RULE_NAME: el nombre de la regla de cortafuegos que se va a crear
  • NETWORK: la red especificada en el recurso de clúster de estaciones de trabajo

  • CONTROL_PLANE_IP: la dirección IP interna del plano de control del clúster de estaciones de trabajo.

    Para encontrar esta dirección IP, ejecuta el siguiente comando:

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION

    Haz los cambios siguientes:

    • CLUSTER: el ID del clúster o el identificador completo del clúster.
    • PROJECT: el proyecto que aloja el clúster de estaciones de trabajo.
    • REGION: la ubicación de la región de la estación de trabajo. Por ejemplo, us-central1.

Permitir salida

También necesitas reglas de cortafuegos que permitan el tráfico saliente a la dirección IP del plano de control desde las VMs con la etiqueta cloud-workstations-instance para el protocolo TCP en los puertos 980 y 443, tal como se muestra en el siguiente comando de la CLI gcloud:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

Haz los cambios siguientes:

  • RULE_NAME: el nombre de la regla de cortafuegos que se va a crear
  • NETWORK: la red a la que está asociada esta regla. Si se omite, la regla se adjunta a la red predeterminada.

  • CONTROL_PLANE_IP: la dirección IP interna del plano de control del clúster de estaciones de trabajo.

    Para encontrar esta dirección IP, ejecuta el siguiente comando:

    gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION

    Haz los cambios siguientes:

    • CLUSTER: el ID del clúster o el identificador completo del clúster.
    • PROJECT: el proyecto que aloja el clúster de estaciones de trabajo.
    • REGION: la ubicación de la región de la estación de trabajo. Por ejemplo, us-central1.

Para obtener más información, consulta también los siguientes temas:

Añadir reglas de cortafuegos con etiquetas de red personalizadas

Puedes configurar etiquetas de red personalizadas para tus máquinas virtuales de estación de trabajo en laGoogle Cloud consola. Cuando crees o edites una configuración de estación de trabajo, actualiza la configuración de tu máquina para incluir tus etiquetas de red en el campo Etiquetas de red. Para obtener información sobre cómo añadir etiquetas de red, consulta las instrucciones para especificar opciones avanzadas al crear la configuración de tu máquina. Si usa la API, puede aplicar etiquetas de red personalizadas mediante la opción host.gceInstance.tags del recurso de configuración de la estación de trabajo.

Para obtener más información sobre las reglas de cortafuegos de la nube privada virtual (VPC) enGoogle Cloud, consulta el artículo Crear reglas de cortafuegos de VPC de la documentación de VPC.