Puntos de control
Create a custom security role
/ 20
Create a service account
/ 20
Bind a custom security role to an account
/ 20
Create a Private GKE cluster
/ 20
Deploy an application to a private Kubernetes Engine cluster
/ 20
Implement Cloud Security Fundamentals on Google Cloud: Lab de desafío
- GSP342
- Descripción general
- Configuración y requisitos
- Situación del desafío
- Tarea 1. Crea un rol de seguridad personalizado
- Tarea 2. Crea una cuenta de servicio
- Tarea 3: Vincula un rol de seguridad personalizado a una cuenta de servicio
- Tarea 4: Crea y configura un nuevo clúster privado de Kubernetes Engine
- Tarea 5. Implementa una aplicación en un clúster privado de Kubernetes Engine
- Sugerencias y trucos
- ¡Felicitaciones!
GSP342
Descripción general
En un lab de desafío, se le proporcionarán una situación y un conjunto de tareas. En lugar de seguir instrucciones paso a paso, deberás utilizar las habilidades aprendidas en los labs del curso para decidir cómo completar las tareas por tu cuenta. Un sistema automatizado de puntuación (en esta página) mostrará comentarios y determinará si completaste tus tareas correctamente.
En un lab de desafío, no se explican conceptos nuevos de Google Cloud, sino que se espera que amplíes las habilidades que adquiriste, como cambiar los valores predeterminados y leer o investigar los mensajes de error para corregir sus propios errores.
Debe completar correctamente todas las tareas dentro del período establecido para obtener una puntuación del 100%.
Se recomienda este lab a los estudiantes inscritos para obtener la insignia de habilidad Implement Cloud Security Fundamentals on Google Cloud. ¿Aceptas el desafío?
Temas evaluados
- Crear un rol de seguridad personalizado
- Crear una cuenta de servicio
- Vincular los roles de seguridad de IAM a una cuenta de servicio
- Crear un clúster privado de Kubernetes Engine en una subred personalizada
- Implementa una aplicación en un clúster privado de Kubernetes Engine
Configuración y requisitos
Antes de hacer clic en el botón Comenzar lab
Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.
Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.
Para completar este lab, necesitarás lo siguiente:
- Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)
- Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.
Situación del desafío
Asumiste un nuevo rol como miembro júnior del equipo de seguridad de Orca en Jooli Inc. La responsabilidad del equipo es garantizar la seguridad de la infraestructura y los servicios de nube de los que dependen las aplicaciones de la empresa.
Se espera que tengas las habilidades y el conocimiento necesarios para realizar estas tareas, por lo que no se te proporcionarán guías paso a paso.
Tu desafío
Se te solicitó que implementes, configures y pruebes un nuevo clúster de Kubernetes Engine que el equipo de desarrollo de Orca usará para implementar aplicaciones y probar canalizaciones.
Debes asegurarte de que el nuevo clúster de Kubernetes Engine se compile de acuerdo con los estándares de seguridad de la organización más recientes. Por lo tanto, debes cumplir con las siguientes reglas:
- El clúster se debe implementar con una cuenta de servicio dedicada, configurada con los privilegios mínimos requeridos.
- El clúster se debe implementar como un clúster privado de Kubernetes Engine, el extremo público debe estar inhabilitado y la red autorizada de la instancia principal debe configurarse de tal forma que incluya solo la dirección IP del jumphost de administración del grupo de Orca.
- El clúster privado de Kubernetes Engine se debe implementar en
orca-build-subnet
, en la VPC de compilación de Orca.
Por un proyecto anterior, ya sabes que los permisos mínimos que requiere la cuenta de servicio especificada para un clúster de Kubernetes Engine están cubiertos por las siguientes tres funciones incorporadas:
roles/monitoring.viewer
roles/monitoring.metricWriter
roles/logging.logWriter
Estos roles se especifican en el endurecimiento de Google Kubernetes Engine (GKE) de la guía de seguridad de tu clúster en la sección Usa cuentas de servicio de Google con privilegios mínimos.
Debes vincular los roles anteriores a la cuenta de servicio que utiliza el clúster, así como el rol personalizado que debes crear, para brindar acceso a cualquier otro servicio que especifique el equipo de desarrollo. Inicialmente, se te informó que el equipo de desarrollo requiere que la cuenta de servicio que utiliza el clúster cuente con los permisos necesarios para agregar y actualizar objetos en los buckets de Google Cloud Storage. Para esto, tendrás que crear un nuevo rol de IAM personalizado que otorgue los siguientes permisos:
storage.buckets.get
storage.objects.get
storage.objects.list
storage.objects.update
storage.objects.create
Una vez que hayas creado el nuevo clúster privado, deberás probar que esté configurado correctamente. Para esto, conéctalo desde el jumphost orca-jumphost
en la subred de administración orca-mgmt-subnet
. Debido a que esta instancia de Compute no se encuentra en la misma subred que el clúster privado, debes asegurarte de que las redes autorizadas de la instancia principal que correspondan al clúster incluyan la dirección IP interna de la instancia. Además, cuando recuperes las credenciales del clúster con el comando gcloud container clusters get-credentials
, deberás especificar la marca --internal-ip
.
Todos los nuevos objetos y servicios de nube que crees deberán incluir el prefijo "orca-".
La última tarea consiste en validar que el clúster esté funcionando correctamente. Para esto, debes implementar una aplicación simple en el clúster para probar que el acceso de administración al clúster con la herramienta kubectl
funcione desde la instancia de Compute orca-jumphost
.
Para todas las tareas de este lab, usa la región
Tarea 1. Crea un rol de seguridad personalizado
La primera tarea consiste en crear un nuevo rol personalizado de seguridad de IAM llamado
Tarea 2. Crea una cuenta de servicio
La segunda tarea consiste en crear la cuenta de servicio dedicada que se usará para tu nuevo clúster privado. La cuenta debe llamarse
Tarea 3: Vincula un rol de seguridad personalizado a una cuenta de servicio
Ahora debes vincular los roles de registro y supervisión de Cloud Operations que se requieren para las cuentas de servicio del clúster de Kubernetes Engine, así como el rol de IAM personalizado que creaste para los permisos de almacenamiento de la cuenta de servicio creada anteriormente.
Tarea 4: Crea y configura un nuevo clúster privado de Kubernetes Engine
Ahora debes usar la cuenta de servicio que configuraste cuando creaste el nuevo clúster privado de Kubernetes Engine. La configuración del nuevo clúster debe incluir lo siguiente:
- El clúster debe llamarse
. - El clúster debe implementarse en la subred
orca-build-subnet
. - Debe configurarse el clúster para usar la cuenta de servicio de
. - Las opciones del clúster privado
enable-master-authorized-networks
,enable-ip-alias
,enable-private-nodes
yenable-private-endpoint
deben estar habilitadas.
Una vez configurado el clúster, debes agregar la dirección IP interna de la instancia de Compute orca-jumphost
a la lista de redes autorizadas de la instancia principal.
Tarea 5. Implementa una aplicación en un clúster privado de Kubernetes Engine
Tienes una aplicación de prueba simple que se puede implementar en cualquier clúster para probar rápidamente que la funcionalidad de implementación de contenedores básicos esté activa y que se puedan crear servicios básicos y se pueda acceder a ellos. Debes configurar el entorno de manera tal que puedas implementar esta demostración simple en el nuevo clúster con el jumphost orca-jumphost
.
gke-gcloud-auth-plugin
antes de ejecutar cualquier comando kubectl
. Esto se detalla más abajo en Sugerencia 1.
De esta manera, se implementa una aplicación que escucha en el puerto 8080 y que se puede exponer con un servicio básico de balanceador de cargas para pruebas.
Sugerencias y trucos
-
Sugerencia 1. Asegúrate de usar
gke-gcloud-auth-plugin
, que se necesita para el uso continuo dekubectl
. Puedes ejecutar los siguientes comandos para instalarlo. Asegúrate de reemplazar el nombre y la zona de clúster de GKE, al igual que el ID del proyecto.
-
Sugerencia 2. Cuando agregues la dirección IP interna de la máquina
orca-jumphost
a la lista de direcciones autorizadas del clúster privado de Kubernetes Engine, debes usar una máscara de red/32
para garantizar que esté autorizada solamente la instancia de procesamiento específica. -
Sugerencia 3. No puedes conectarte directamente a un clúster privado de Kubernetes Engine desde una VPC o desde otra red fuera de la VPC donde se implementó el clúster privado si se especificó la opción
enable-private-endpoint
. Esta es la opción de mayor seguridad de un clúster privado. Debes usar un jumphost, o un proxy que se encuentre en la misma VPC que el clúster, para conectarte a la dirección IP de administración interna del clúster.
¡Felicitaciones!
En este lab, configuraste un nuevo clúster privado de Kubernetes Engine que se configuró para usar una cuenta de servicio dedicada con los privilegios mínimos necesarios para ejecutar el clúster. También creaste un rol de IAM personalizado que proporciona los permisos necesarios para crear y actualizar objetos de almacenamiento en buckets de Google Cloud Storage y vincular ese rol a la cuenta de servicio que usa el clúster. También validaste que el clúster esté funcionando correctamente. Para ello, implementaste una aplicación simple en el clúster para probar que el acceso de administración al clúster con la herramienta kubectl
funcione desde la instancia de procesamiento orca-jumphost
.
Obtén tu próxima insignia de habilidad
Este lab de autoaprendizaje forma parte de la insignia de habilidad Implement Cloud Security Fundamentals on Google Cloud. Si completas esta insignia de habilidad, obtendrás la insignia que se muestra arriba como reconocimiento de tu logro. Comparte la insignia en tu currículum y tus plataformas sociales, y anuncia tu logro con el hashtag #GoogleCloudBadge.
Esta insignia de habilidad forma parte de la ruta de aprendizaje Cloud Security Engineer de Google Cloud. Si ya conseguiste las otras insignias de habilidad de esta ruta de aprendizaje, revisa el catálogo y encuentra otras insignias de habilidad que puedes obtener.
Capacitación y certificación de Google Cloud
Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.
Última actualización del manual: 25 de marzo de 2024
Prueba más reciente del lab: 4 de diciembre de 2023
Copyright 2024 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.