Points de contrôle
Create a custom security role
/ 20
Create a service account
/ 20
Bind a custom security role to an account
/ 20
Create a Private GKE cluster
/ 20
Deploy an application to a private Kubernetes Engine cluster
/ 20
Assurer l'accès et vérifier l'identité dans Google Cloud : atelier challenge
- GSP342
- Présentation
- Préparation
- Scénario du challenge
- Tâche 1 : Créer un rôle de sécurité personnalisé
- Tâche 2 : Créer un compte de service
- Tâche 3 : Lier un rôle de sécurité personnalisé à un compte de service
- Tâche 4 : Créer et configurer un cluster Kubernetes Engine privé
- Tâche 5 : Déployer une application dans le cluster Kubernetes Engine privé
- Conseils et astuces
- Félicitations !
GSP342
Présentation
Dans un atelier challenge, vous devez suivre un scénario et effectuer une série de tâches. Aucune instruction détaillée n'est fournie : vous devez utiliser les compétences acquises au cours des ateliers du cours correspondant pour déterminer comment procéder par vous-même. Vous saurez si vous avez exécuté correctement les différentes tâches grâce au score calculé automatiquement (affiché sur cette page).
Lorsque vous participez à un atelier challenge, vous n'étudiez pas de nouveaux concepts Google Cloud. Vous allez approfondir les compétences précédemment acquises. Par exemple, vous devrez modifier les valeurs par défaut ou encore examiner des messages d'erreur pour corriger vous-même les problèmes.
Pour atteindre le score de 100 %, vous devez mener à bien l'ensemble des tâches dans le délai imparti.
Cet atelier est recommandé aux participants inscrits au cours Implement Cloud Security Fundamentals on Google Cloud et qui veulent obtenir le badge de compétence associé. Êtes-vous prêt pour le challenge ?
Compétences évaluées
- Créer un rôle de sécurité personnalisé
- Créer un compte de service
- Lier des rôles de sécurité IAM à un compte de service
- Créer un cluster Kubernetes Engine privé dans un sous-réseau personnalisé
- Déployer une application dans le cluster Kubernetes Engine privé
Préparation
Avant de cliquer sur le bouton "Démarrer l'atelier"
Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.
Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.
Pour réaliser cet atelier :
- vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome) ;
- vous disposez d'un temps limité ; une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.
Scénario du challenge
Vous venez de décrocher un poste en tant que membre junior de l'équipe de sécurité Orca dans la société Jooli Inc. Votre équipe est chargée d'assurer la sécurité de l'infrastructure et des services cloud dont dépendent les applications de l'entreprise.
Vous êtes censé disposer des compétences et connaissances requises pour ces tâches. Ne vous attendez donc pas à recevoir des instructions détaillées.
Votre challenge
Vous devez déployer, configurer et tester un nouveau cluster Kubernetes Engine qui sera utilisé par l'équipe de développement Orca pour développer des applications et tester le pipeline.
Vous devez veiller à créer ce cluster dans le respect des normes de sécurité les plus récentes de l'organisation, à savoir :
- Le cluster doit être déployé à l'aide d'un compte de service dédié configuré avec les moindres privilèges requis.
- Le cluster doit être déployé sous la forme d'un cluster Kubernetes Engine privé, avec le point de terminaison public désactivé, et le réseau principal autorisé doit être défini de manière à inclure uniquement l'adresse IP du jumphost de gestion du groupe Orca.
- Le cluster Kubernetes Engine privé doit être déployé sur le sous-réseau
orca-build-subnet
du VPC de développement d'Orca.
Dans un projet précédent, vous avez appris que les autorisations minimales requises pour le compte de service associé à un cluster Kubernetes Engine sont couvertes par les trois rôles prédéfinis suivants :
roles/monitoring.viewer
roles/monitoring.metricWriter
roles/logging.logWriter
Ces rôles sont spécifiés dans le guide "Renforcer la sécurité d'un cluster" de Google Kubernetes Engine (GKE), dans la section Utiliser le principe du moindre privilège pour les comptes de service Google.
Vous devez lier les rôles ci-dessus au compte de service utilisé par le cluster, ainsi qu'un rôle personnalisé que vous devez créer afin de fournir un accès à tout autre service spécifié par l'équipe de développement. Vous savez déjà que, pour les besoins de l'équipe de développement, le compte de service utilisé par le cluster doit disposer des autorisations permettant d'ajouter et de mettre à jour des objets dans les buckets Google Cloud Storage. Pour ce faire, vous devrez créer un rôle IAM personnalisé doté des autorisations suivantes :
storage.buckets.get
storage.objects.get
storage.objects.list
storage.objects.update
storage.objects.create
Une fois le cluster privé créé, vous devez vérifier qu'il est correctement configuré en vous y connectant depuis le jumphost orca-jumphost
dans le sous-réseau de gestion orca-mgmt-subnet
. Cette instance de calcul ne se trouvant pas dans le même sous-réseau que le cluster privé, vous devez vous assurer que les réseaux principaux autorisés pour le cluster incluent bien l'adresse IP interne de l'instance. Vous devez également spécifier l'option --internal-ip
lorsque vous récupérez les identifiants du cluster via la commande gcloud container clusters get-credentials
.
Tous les objets et services cloud que vous créez doivent inclure le préfixe "orca-".
Votre dernière tâche consistera à tester le bon fonctionnement du cluster en y déployant une application simple. Vous pourrez ainsi vérifier que vous êtes bien autorisé à gérer le cluster via l'outil kubectl
depuis l'instance de calcul orca-jumphost
.
Pour toutes les tâches de cet atelier, utilisez la région
Tâche 1 : Créer un rôle de sécurité personnalisé
Votre première tâche consiste à créer un rôle de sécurité IAM personnalisé nommé
Tâche 2 : Créer un compte de service
Dans la deuxième tâche, vous allez créer le compte de service dédié à votre nouveau cluster privé. Vous devez le nommer
Tâche 3 : Lier un rôle de sécurité personnalisé à un compte de service
Vous devez maintenant lier les rôles de journalisation et de surveillance Cloud Operations requis pour les comptes de service du cluster Kubernetes Engine, ainsi que le rôle IAM personnalisé que vous avez créé pour les autorisations de stockage, au compte de service que vous avez créé précédemment.
Tâche 4 : Créer et configurer un cluster Kubernetes Engine privé
Vous devez maintenant utiliser le compte de service que vous avez configuré pour créer un cluster Kubernetes Engine privé. La configuration du nouveau cluster doit inclure ce qui suit :
- Il doit être nommé
. - Il doit être déployé sur le sous-réseau
orca-build-subnet
. - Il doit être configuré de manière à utiliser le compte de service
. - Les options
enable-master-authorized-networks
,enable-ip-alias
,enable-private-nodes
etenable-private-endpoint
doivent être activées pour le cluster privé.
Une fois le cluster configuré, vous devez ajouter l'adresse IP interne associée à l'instance de calcul orca-jumphost
à la liste des réseaux principaux autorisés.
Tâche 5 : Déployer une application dans le cluster Kubernetes Engine privé
Il existe une application de test simple que vous pouvez déployer dans n'importe quel cluster afin de vérifier rapidement que la fonctionnalité de déploiement de conteneur de base est opérationnelle, et que vous pouvez créer les services de base et y accéder. Vous devez configurer l'environnement de manière à pouvoir déployer cette démo simple dans le nouveau cluster à l'aide du jumphost orca-jumphost
.
gke-gcloud-auth-plugin
avant d'exécuter des commandes kubectl
. Cette opération est détaillée plus bas dans Astuce 1.
Cette commande déploie une application configurée pour écouter sur le port 8080 et pouvant être exposée à des fins de test à l'aide d'un service d'équilibrage de charge de base.
Conseils et astuces
-
Astuce 1. Assurez-vous d'utiliser
gke-gcloud-auth-plugin
, qui est nécessaire pour se servir dekubectl
. Vous pouvez l'installer en exécutant les commandes ci-dessous. Veillez à remplacer la zone et le nom de votre cluster GKE, ainsi que l'ID de votre projet.
-
Astuce 2. Lorsque vous ajoutez l'adresse IP interne de la machine
orca-jumphost
à la liste d'adresses autorisées pour le cluster Kubernetes Engine privé, vous devez utiliser un masque de réseau/32
afin d'autoriser uniquement l'instance de calcul requise. -
Astuce 3. Vous ne pouvez pas vous connecter directement à un cluster Kubernetes Engine privé depuis un VPC ou tout autre réseau situé en dehors du VPC dans lequel le cluster privé a été déployé si l'option
enable-private-endpoint
a été spécifiée. Il s'agit de l'option de sécurité la plus élevée pour un cluster privé, et vous devez utiliser un jumphost, ou un proxy dans le même VPC que le cluster, pour vous connecter à l'adresse IP interne du cluster.
Félicitations !
Dans cet atelier, vous avez configuré un nouveau cluster Kubernetes Engine privé de sorte qu'il utilise un compte de service dédié avec les moindres privilèges requis pour assurer son bon fonctionnement. Vous avez également créé un rôle IAM personnalisé qui fournit les autorisations nécessaires pour créer et modifier les objets de stockage dans les buckets Google Cloud Storage, et lié ce rôle au compte de service utilisé par le cluster. Enfin, vous avez vérifié que le cluster fonctionne correctement en y déployant une application simple. Vous avez ainsi pu vérifier que vous étiez bien autorisé à gérer le cluster via l'outil kubectl
depuis l'instance de calcul orca-jumphost
.
Gagnez un badge de compétence
Cet atelier d'auto-formation est associé au badge de compétence du cours Implement Cloud Security Fundamentals on Google Cloud. Si vous terminez ce cours, vous obtiendrez le badge de compétence ci-dessus attestant de votre réussite. Ajoutez votre badge à votre CV et partagez-le sur les réseaux sociaux en utilisant le hashtag #GoogleCloudBadge.
Ce badge de compétence est associé au parcours de formation Cloud Security Engineer de Google Cloud. Si vous avez déjà obtenu les autres badges de compétence de ce parcours de formation, explorez le catalogue pour vous inscrire à des cours proposant d'autres badges.
Formations et certifications Google Cloud
Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.
Dernière mise à jour du manuel : 25 mars 2024
Dernier test de l'atelier : 4 décembre 2023
Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.