检查点
Remove the overly permissive rules
/ 10
Start the bastion host instance
/ 10
Create a firewall rule that allows SSH (tcp/22) from the IAP service and add network tag on bastion
/ 20
Create a firewall rule that allows traffic on HTTP (tcp/80) to any address and add network tag on juice-shop
/ 20
Create a firewall rule that allows traffic on SSH (tcp/22) from acme-mgmt-subnet network address and add network tag on juice-shop
/ 20
SSH to bastion host via IAP and juice-shop via bastion
/ 20
构建安全的 Google Cloud 网络:实验室挑战赛
GSP322
简介
在实验室挑战赛中,我们会为您提供一个场景和一系列任务。您将使用从课程的各个实验中学到的技能自行确定如何完成这些任务,而不是按照分步说明进行操作。自动评分系统(显示在本页面中)会提供有关您是否已正确完成任务的反馈。
在您参加实验室挑战赛期间,我们不会再教授新的 Google Cloud 概念知识。您需要拓展所学的技能,例如通过更改默认值和查看并研究错误消息来更正您自己所犯的错误。
要想获得满分,您必须在该时间段内成功完成所有任务!
我们建议已报名参加构建安全的 Google Cloud 网络技能徽章课程的学员参加此实验室挑战赛。准备好接受挑战了吗?
设置
点击“开始实验”按钮前的注意事项
请阅读以下说明。实验是计时的,并且您无法暂停实验。计时器在您点击开始实验后即开始计时,显示 Google Cloud 资源可供您使用多长时间。
此实操实验可让您在真实的云环境中开展实验活动,免受模拟或演示环境的局限。我们会为您提供新的临时凭据,让您可以在实验规定的时间内用来登录和访问 Google Cloud。
为完成此实验,您需要:
- 能够使用标准的互联网浏览器(建议使用 Chrome 浏览器)。
- 完成实验的时间 - 请注意,实验开始后无法暂停。
挑战场景
Jeff 在当地拥有一家小型公司并拥有一个很成功的网站 juiceshop,他聘请您作为安全顾问,帮助他运营该网站。Jeff 刚开始使用 Google Cloud,请邻居的儿子设置了最初的网站。邻居的儿子后来离家去上大学,但在离开之前,他确保了网站可以正常运作。
以下为当前的设置:
您的挑战
您需要为 Jeff 的网站创建合适的安全配置。您的第一项挑战是设置防火墙规则和虚拟机标记。您还需要确保通过 SSH 只能经由 IAP 连接堡垒主机。
对于防火墙规则,请确保:
- 堡垒主机没有公共 IP 地址。
- 您仅能通过 SSH 经由 IAP 连接至堡垒主机。
- 您仅能通过 SSH 经由堡垒主机连接至
juice-shop
。 - 外界仅可通过 HTTP 向
juice-shop
发送请求。
提示和技巧:
- 请密切注意网络标记和关联的 VPC 防火墙规则。
- 务必明确、具体并限制 VPC 防火墙规则来源范围的大小。
- 过于宽松的权限将标记为错误。
建议的操作顺序。
- 检查防火墙规则。移除过于宽松的规则。
- 在 Cloud 控制台中前往 Compute Engine 并找到堡垒主机。该实例应处于停止状态。启动该实例。
- 堡垒主机是经授权接收外部 SSH 流量的机器。创建一条防火墙规则,允许来自 IAP 服务的 SSH (TCP/22) 连接。必须启用该防火墙规则,让堡垒主机实例可以使用
的网络标记。
-
juice-shop
服务器会响应 HTTP 流量。创建一条允许 HTTP (TCP/80) 流量传送到任何地址的防火墙规则。必须启用该防火墙规则,让 juice-shop 实例可以使用的网络标记。
- 您需要使用 SSH 从堡垒主机连接至
juice-shop
。创建一条防火墙规则,允许来自acme-mgmt-subnet
网络地址的 SSH (TCP/22) 上的流量。必须启用该防火墙规则,让juice-shop
实例可以使用的网络标记。
- 在 Compute Engine 实例页面,点击堡垒主机的 SSH 按钮。连接后,通过 SSH 连接至
juice-shop
。
恭喜!
您已完成本实验室挑战赛,并帮助 Jeff 加强了安全性。
后续步骤/了解详情
此技能徽章课程是 Google Cloud 的网络工程师和安全工程师学习路线的组成部分。如果您已完成此学习路线中的其他技能徽章课程,可在 Google Cloud Skills Boost 目录中搜索您可以注册参加的 20 多项其他技能徽章课程。
Google Cloud 培训和认证
…可帮助您充分利用 Google Cloud 技术。我们的课程会讲解各项技能与最佳实践,可帮助您迅速上手使用并继续学习更深入的知识。我们提供从基础到高级的全方位培训,并有点播、直播和虚拟三种方式选择,让您可以按照自己的日程安排学习时间。各项认证可以帮助您核实并证明您在 Google Cloud 技术方面的技能与专业知识。
上次更新手册的时间:2024 年 4 月 2 日
上次测试实验的时间:2023 年 11 月 8 日
版权所有 2024 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。