GSP342

Übersicht

In einem Challenge-Lab geht es um ein bestimmtes Szenario mit mehreren Aufgaben. Anders als bei einem normalen Lab erhalten Sie jedoch keine Schritt-für-Schritt-Anleitung, sondern nutzen die in den Labs des jeweiligen Kurses erlernten Fähigkeiten, um die Aufgaben selbst zu lösen. Ihre Lösungen werden automatisch bewertet. Die erzielten Punkte finden Sie rechts oben auf dieser Seite.

In Challenge-Labs werden keine neuen Grundlagen zu Google Cloud vermittelt. Sie sollen dabei Ihr Wissen erweitern und es wird erwartet, dass Sie beispielsweise Standardwerte ändern und Fehlermeldungen lesen und recherchieren, um Ihre eigenen Fehler zu beheben.

Die volle Punktzahl erreichen Sie nur, wenn Sie alle Aufgaben innerhalb der vorgegebenen Zeit lösen.

Dieses Lab empfehlen wir Lernenden, die sich für den Kurs Implement Cloud Security Fundamentals on Google Cloud angemeldet haben. Sind Sie bereit?

Themen

• Benutzerdefinierte Sicherheitsrolle erstellen
• Dienstkonto erstellen
• IAM-Sicherheitsrollen an ein Dienstkonto binden
• Privaten Kubernetes Engine-Cluster in einem benutzerdefinierten Subnetz erstellen
• Anwendung in einem privaten Kubernetes Engine-Cluster bereitstellen

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange die Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung selbst durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

• Einen Standardbrowser (empfohlen wird Chrome)

Hinweis: Nutzen Sie den privaten oder Inkognitomodus, um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.

• Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.

Hinweis: Wenn Sie über ein persönliches Google Cloud-Konto oder -Projekt verfügen, verwenden Sie es nicht für dieses Lab. So werden zusätzliche Kosten für Ihr Konto vermieden.

Das Szenario

Sie haben eine neue Stelle als Junior im Orca-Team bei Jooli Inc. übernommen. Ihr Team ist dafür verantwortlich, die Sicherheit der Cloud-Infrastruktur und der Dienste zu gewährleisten, von denen die Anwendungen des Unternehmens abhängen.

Das Know-how für diese Aufgaben wird vorausgesetzt, Sie erhalten daher keine detaillierte Anleitung.

Die Aufgabe

Sie wurden gebeten, einen neuen Kubernetes Engine-Cluster bereitzustellen, zu konfigurieren und zu testen, der vom Orca-Entwicklungsteam für die Anwendungsentwicklung und Pipeline-Tests verwendet werden soll.

Sie müssen dafür sorgen, dass der neue Kubernetes Engine-Cluster gemäß den aktuellsten Sicherheitsstandards des Unternehmens erstellt wird und somit die folgenden Anforderungen erfüllt:

• Der Cluster muss mit einem dedizierten Dienstkonto bereitgestellt werden, das mit den geringsten erforderlichen Berechtigungen konfiguriert ist.
• Der Cluster muss als privater Kubernetes Engine-Cluster bereitgestellt werden, wobei der öffentliche Endpunkt deaktiviert und das autorisierte Master-Netzwerk so eingestellt sein muss, dass es nur die IP-Adresse des Verwaltungs-Jumphosts der Orca-Gruppe enthält.
• Der private Kubernetes Engine-Cluster muss im orca-build-subnet in der Orca Build VPC bereitgestellt werden.

Aus einem früheren Projekt wissen Sie, dass die Mindestberechtigungen, die das für einen Kubernetes Engine-Cluster angegebene Dienstkonto benötigt, durch diese drei integrierten Rollen abgedeckt werden:

• roles/monitoring.viewer
• roles/monitoring.metricWriter
• roles/logging.logWriter

Diese Rollen werden in der Sicherheitsanleitung zur Härtung Ihres Google Kubernetes Engine-Clusters (GKE) im Abschnitt Google-Dienstkonten mit den geringsten Berechtigungen verwenden festgelegt.

Sie müssen die oben genannten Rollen an das vom Cluster verwendete Dienstkonto sowie an eine benutzerdefinierte Rolle binden, die Sie erstellen müssen, um den Zugriff auf alle anderen vom Entwicklungsteam angegebenen Dienste zu ermöglichen. Zu Beginn wurde Ihnen mitgeteilt, dass es für das Entwicklungsteam erforderlich ist, dass das vom Cluster verwendete Dienstkonto die erforderlichen Berechtigungen zum Hinzufügen und Aktualisieren von Objekten in Google Cloud Storage-Buckets hat. Zu diesem Zweck müssen Sie eine neue benutzerdefinierte IAM-Rolle mit den folgenden Berechtigungen erstellen:

• storage.buckets.get
• storage.objects.get
• storage.objects.list
• storage.objects.update
• storage.objects.create

Nachdem Sie den neuen privaten Cluster erstellt haben, müssen Sie testen, ob er richtig konfiguriert ist, indem Sie sich vom JumpHost orca-jumphost aus im Verwaltungs-Subnetz orca-mgmt-subnet mit ihm verbinden. Da sich diese Compute-Instanz nicht im selben Subnetz wie der private Cluster befindet, müssen Sie darauf achten, dass die autorisierten Master-Netzwerke für den Cluster die interne IP-Adresse der Instanz enthalten. Außerdem müssen Sie das Flag --internal‑ip angeben, wenn Sie Cluster-Anmeldeinformationen abrufen, indem Sie den Befehl gcloud container clusters get-credentials eingeben.

Alle neuen Cloud-Objekte und -Dienste, die Sie erstellen, sollten das Präfix „orca‑“ enthalten.

Abschließend müssen Sie die ordnungsgemäße Funktion des Clusters überprüfen, indem Sie eine einfache Anwendung auf dem Cluster bereitstellen, um zu prüfen, ob der Verwaltungszugriff auf den Cluster mit dem Tool kubectl von der Compute-Instanz orca-jumphost aus erfolgreich ist.

Verwenden Sie für alle Aufgaben in diesem Lab die Region und die Zone .

Aufgabe 1: Benutzerdefinierte Sicherheitsrolle erstellen

Ihre erste Aufgabe besteht darin, eine neue benutzerdefinierte IAM-Sicherheitsrolle namens zu erstellen. Sie stellt den Google Cloud Storage-Bucket und die Objektberechtigungen bereit, die zum Erstellen und Aktualisieren von Speicherobjekten erforderlich sind.

Prüfen, ob eine benutzerdefinierte Sicherheitsrolle erstellt worden ist.

Aufgabe 2: Dienstkonto erstellen

Ihre zweite Aufgabe besteht darin, das dedizierte Dienstkonto zu erstellen, das als Dienstkonto für Ihren neuen privaten Cluster verwendet werden soll. Sie müssen Ihr Konto nennen.

Prüfen, ob ein neues Dienstkonto erstellt wurde.

Aufgabe 3: Benutzerdefinierte Sicherheitsrolle an ein Dienstkonto binden

Sie müssen nun die Cloud Operations Logging- und Monitoringrollen, die für Kubernetes Engine Cluster-Dienstkonten erforderlich sind, sowie die benutzerdefinierte IAM-Rolle, die Sie für Speicherberechtigungen erstellt haben, an das zuvor erstellte Dienstkonto binden.

Prüfen, ob die richtigen integrierten und benutzerdefinierten Sicherheitsrollen an das neue Dienstkonto gebunden sind.

Aufgabe 4: Neuen privaten Kubernetes Engine-Cluster erstellen und konfigurieren

Sie müssen nun das Dienstkonto verwenden, das Sie beim Erstellen eines neuen privaten Kubernetes Engine-Clusters konfiguriert haben. Die neue Clusterkonfiguration muss Folgendes enthalten:

• Der Cluster muss heißen
• Der Cluster muss im Subnetz orca-build-subnet bereitgestellt werden
• Der Cluster muss so konfiguriert sein, dass er das -Dienstkonto nutzt.
• Die privaten Clusteroptionen enable-master-authorized-networks, enable-ip-alias, enable-private-nodes und enable-private-endpoint müssen aktiviert sein.

Sobald der Cluster konfiguriert ist, müssen Sie die interne IP-Adresse der orca-jumphost-Compute-Instanz der Liste der autorisierten Masternetzwerke hinzufügen.

Bestätigen, dass ein privater Kubernetes Engine-Cluster korrekt bereitgestellt wurde.

Aufgabe 5: Anwendung in einem privaten Kubernetes Engine-Cluster bereitstellen

Sie haben eine einfache Testanwendung, die in einem beliebigen Cluster bereitgestellt werden kann, um schnell zu prüfen, ob die grundlegenden Funktionen zur Containerbereitstellung funktionieren und ob grundlegende Dienste erstellt und aufgerufen werden können. Sie müssen die Umgebung so konfigurieren, dass Sie diese einfache Demo in dem neuen Cluster mit dem Jumphost orca-jumphost bereitstellen können.

Hinweis: Achten Sie darauf, dass Sie das Plug-in gke-gcloud-auth-plugin richtig installieren, bevor Sie kubectl-Befehle ausführen. Dies wird in Tipp 1 näher erläutert. kubectl create deployment hello-server --image=gcr.io/google-samples/hello-app:1.0

Dadurch wird eine Anwendung bereitgestellt, die Port 8080 überwacht, der zu Testzwecken mit einem einfachen Load Balancer-Dienst geöffnet werden kann.

Prüfen, ob eine Anwendung in einem privaten Kubernetes Engine-Cluster bereitgestellt wurde.

Tipps und Tricks

• Tipp 1. Achten Sie auf die Verwendung des Plug-ins gke-gcloud-auth-plugin, das für die weitere Verwendung von kubectl erforderlich ist. Sie können es mit den folgenden Befehlen installieren. Achten Sie darauf, dass Sie den Namen Ihres GKE-Clusters und Ihrer Zone sowie Ihre Projekt‑ID ersetzen.

sudo apt-get install google-cloud-sdk-gke-gcloud-auth-plugin echo "export USE_GKE_GCLOUD_AUTH_PLUGIN=True" >> ~/.bashrc source ~/.bashrc gcloud container clusters get-credentials <your cluster name> --internal-ip --project=<project ID> --zone <cluster zone>

• Tipp 2. Wenn Sie die interne IP-Adresse der orca-jumphost-Maschine zur Liste der autorisierten Adressen für den privaten Kubernetes Engine-Cluster hinzufügen, sollten Sie eine /32‑Netzmaske verwenden, um sicherzustellen, dass nur die spezifische Compute-Instanz autorisiert ist.

• Tipp 3. Sie können keine direkte Verbindung zu einem privaten Kubernetes Engine-Cluster von einer VPC oder einem anderen Netzwerk außerhalb der VPC herstellen, in der der private Cluster bereitgestellt wurde, wenn die Option enable-private-endpoint angegeben wurde. Sie stellt die höchste Sicherheitsoption für einen privaten Cluster dar. Sie müssen einen Jumphost oder einen Proxy innerhalb derselben VPC wie der Cluster verwenden und sich über diesen Jumphost oder Proxy mit der internen IP-Adresse für die Verwaltung des Clusters verbinden.

Glückwunsch!

In diesem Lab haben Sie einen neuen privaten Kubernetes Engine-Cluster konfiguriert, der für die Verwendung eines dedizierten Dienstkontos mit den geringsten Berechtigungen konfiguriert ist, die zum Ausführen des Clusters erforderlich sind. Sie haben außerdem eine benutzerdefinierte IAM-Rolle erstellt, die die erforderlichen Berechtigungen zum Erstellen und Aktualisieren von Speicherobjekten in Google Cloud Storage-Buckets bereitstellt, und diese Rolle an das vom Cluster verwendete Dienstkonto gebunden. Sie haben außerdem überprüft, ob der Cluster ordnungsgemäß funktioniert, indem Sie eine einfache Anwendung im Cluster bereitgestellt haben, um zu testen, ob der Verwaltungszugriff auf den Cluster mit dem Tool kubectl von der Compute-Instanz orca-jumphost aus funktioniert.

Nächstes Skill-Logo erwerben

Dieses Lab zum selbstbestimmten Lernen ist Teil des Kurses Implement Cloud Security Fundamentals on Google Cloud. Wenn Sie diesen Kurs abschließen, erhalten Sie das oben gezeigte Skill-Logo, das Sie in Ihren Lebenslauf oder Ihre Social-Media-Profile einfügen können. Teilen Sie Ihre Leistung mit #GoogleCloudBadge.

Dieses Skill-Logo ist Teil des Google Cloud-Lernpfads Cloud Security Engineer. Wenn Sie die anderen Skill-Logos dieses Lernpfads bereits erworben haben, finden Sie im Katalog weitere Kurse mit Skill-Logo, für die Sie sich anmelden können.

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 25. März 2024 aktualisiert

Lab zuletzt am 4. Dezember 2023 getestet

© 2024 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.