Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת כללים לחומת אש

זיהוי הכללים הנדרשים לחומת האש

תחנות העבודה שלכם מתחברות למישור הבקרה דרך Private Service Connect. בסעיפי המשנה הבאים מופיעות דוגמאות לפקודות CLI של gcloud שמאפשרות תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress). מידע נוסף על הפקודות האלה זמין במאמר gcloud compute firewall-rules.

אישור כניסה

כדי שהחיבור יצליח, צריך ליצור כלל חומת אש שמאפשר תעבורת נתונים נכנסת מכתובת ה-IP של מישור הבקרה מהמכונות הווירטואליות של תחנת העבודה. ‫Cloud Workstations מחילה באופן אוטומטי את תג הרשת cloud-workstations-instance על המכונות הווירטואליות של תחנות העבודה. אפשר להשתמש בתג הזה כשיוצרים כללים לחומת אש שחלים על מכונות וירטואליות של תחנות עבודה. דוגמה לפקודת CLI של gcloud:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

מחליפים את מה שכתוב בשדות הבאים:

‫RULE_NAME: השם של כלל חומת האש שרוצים ליצור
‫NETWORK: הרשת שצוינה במשאב של אשכול תחנת העבודה
‫CONTROL_PLANE_IP: כתובת ה-IP הפנימית של מישור הבקרה של אשכול תחנות העבודה.

כדי למצוא את כתובת ה-IP הזו, מריצים את הפקודה הבאה:
```
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫CLUSTER: המזהה של האשכול או המזהה המוגדר במלואו של האשכול.
- ‫PROJECT: הפרויקט שמארח את אשכול תחנות העבודה.
- ‫REGION: מיקום האזור של תחנת העבודה, לדוגמה us-central1.

מתן הרשאה לתעבורת נתונים יוצאת

צריך גם כללי חומת אש שמאפשרים תעבורת נתונים יוצאת (egress) לכתובת ה-IP של מישור הבקרה ממכונות וירטואליות עם התג cloud-workstations-instance עבור פרוטוקול TCP ביציאות 980 ו-443, כמו שמוצג בפקודה הבאה ב-CLI של gcloud:

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

מחליפים את מה שכתוב בשדות הבאים:

‫RULE_NAME: השם של כלל חומת האש שרוצים ליצור
‫NETWORK: הרשת שאליה הכלל הזה מצורף. אם לא מציינים רשת, הכלל מצורף לרשת שמוגדרת כברירת מחדל.
‫CONTROL_PLANE_IP: כתובת ה-IP הפנימית של מישור הבקרה של אשכול תחנות העבודה.

כדי למצוא את כתובת ה-IP הזו, מריצים את הפקודה הבאה:
```
gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫CLUSTER: המזהה של האשכול או המזהה המוגדר במלואו של האשכול.
- ‫PROJECT: הפרויקט שמארח את אשכול תחנות העבודה.
- ‫REGION: מיקום האזור של תחנת העבודה, לדוגמה us-central1.

מידע נוסף זמין גם בנושאים הבאים:

‫WorkstationCluster API בארכיטקטורת REST
אישור של חיבורי Ingress פנימיים בין מכונות וירטואליות

הוספת כללים לחומת האש באמצעות תגי רשת בהתאמה אישית

אתם יכולים להגדיר תגי רשת מותאמים אישית למכונות וירטואליות של תחנות עבודה בGoogle Cloud מסוף. כשיוצרים או עורכים הגדרת תחנת עבודה, מעדכנים את הגדרת המכונה כך שתכלול את תגי הרשת בשדה Network tags. הוראות להוספת תגים לרשת מפורטות במאמר בנושא יצירת הגדרות מכונה, בקטע אפשרויות מתקדמות. אפשרות אחרת היא להשתמש ב-API כדי להחיל תגי רשת בהתאמה אישית באמצעות האפשרות host.gceInstance.tags במשאב ההגדרות של תחנת העבודה.

מידע נוסף על כללים של חומת אש בענן וירטואלי פרטי (VPC) ב-Google Cloudזמין במאמר יצירת כללים של חומת אש ב-VPC במסמכי ה-VPC.

הגדרת כללים לחומת אש קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

זיהוי הכללים הנדרשים לחומת האש

אישור כניסה

מתן הרשאה לתעבורת נתונים יוצאת

הוספת כללים לחומת האש באמצעות תגי רשת בהתאמה אישית

הגדרת כללים לחומת אש