GSP342

Ringkasan

Dalam challenge lab, Anda diberi sebuah skenario dan serangkaian tugas. Tidak ada petunjuk langkah demi langkah. Anda akan menggunakan keahlian yang dipelajari dari lab dalam kursus untuk mencari cara menyelesaikan sendiri tugas-tugas tersebut. Sistem pemberian skor otomatis (ditampilkan pada halaman ini) akan memberikan masukan tentang apakah Anda telah menyelesaikan tugas dengan benar atau tidak.

Saat mengikuti challenge lab, Anda tidak akan diajari konsep-konsep baru Google Cloud. Anda diharapkan dapat memperluas keahlian yang dipelajari, seperti mengubah nilai default dan membaca serta mengkaji pesan error untuk memperbaiki kesalahan Anda sendiri.

Untuk meraih skor 100%, Anda harus berhasil menyelesaikan semua tugas dalam jangka waktu tertentu.

Lab ini direkomendasikan bagi siswa yang sudah mengikuti kursus untuk badge keahlian Implement Cloud Security Fundamentals on Google Cloud. Apakah Anda siap menghadapi tantangan ini?

Topik yang diujikan

• Membuat peran keamanan khusus.
• Membuat akun layanan.
• Mengikat peran keamanan IAM ke akun layanan.
• Membuat cluster Kubernetes Engine pribadi di subnet kustom.
• Men-deploy aplikasi ke cluster Kubernetes Engine pribadi.

Penyiapan dan persyaratan

Sebelum mengklik tombol Mulai Lab

Baca petunjuk ini. Lab memiliki timer dan Anda tidak dapat menjedanya. Timer, yang dimulai saat Anda mengklik Start Lab, akan menampilkan durasi ketersediaan resource Google Cloud untuk Anda.

Lab praktik ini dapat Anda gunakan untuk melakukan sendiri aktivitas lab di lingkungan cloud sungguhan, bukan di lingkungan demo atau simulasi. Untuk mengakses lab ini, Anda akan diberi kredensial baru yang bersifat sementara dan dapat digunakan untuk login serta mengakses Google Cloud selama durasi lab.

Untuk menyelesaikan lab ini, Anda memerlukan:

• Akses ke browser internet standar (disarankan browser Chrome).

Catatan: Gunakan jendela Samaran atau browser pribadi untuk menjalankan lab ini. Hal ini akan mencegah konflik antara akun pribadi Anda dan akun Siswa yang dapat menyebabkan tagihan ekstra pada akun pribadi Anda.

• Waktu untuk menyelesaikan lab. Ingat, setelah dimulai, lab tidak dapat dijeda.

Catatan: Jika Anda sudah memiliki project atau akun pribadi Google Cloud, jangan menggunakannya untuk lab ini agar terhindar dari tagihan ekstra pada akun Anda.

Skenario tantangan

Anda punya peran baru sebagai anggota junior tim keamanan untuk tim Orca di Jooli Inc. Tim Anda bertanggung jawab memastikan keamanan layanan dan infrastruktur Cloud yang diandalkan aplikasi perusahaan.

Anda dianggap sudah memiliki kemampuan dan pengetahuan untuk menyelesaikan tugas ini, jadi panduan langkah demi langkah tidak akan disediakan.

Tantangan Anda

Anda diminta untuk men-deploy, mengonfigurasi, dan menguji cluster Kubernetes Engine baru yang akan digunakan untuk pengembangan aplikasi serta pengujian pipeline oleh tim pengembangan Orca.

Berdasarkan standar keamanan organisasi, Anda harus memastikan cluster Kubernetes Engine baru tersebut dibuat sesuai dengan standar keamanan terkini organisasi dan karenanya harus mematuhi hal berikut:

• Cluster harus di-deploy menggunakan akun layanan khusus yang dikonfigurasi dengan hak istimewa terendah yang diperlukan.
• Cluster harus di-deploy sebagai cluster pribadi Kubernetes Engine, dengan endpoint publik dinonaktifkan dan jaringan berotorisasi master ditentukan agar hanya menyertakan alamat IP jumphost pengelolaan grup Orca.
• Cluster pribadi Kubernetes Engine itu harus di-deploy ke orca-build-subnet di Orca Build VPC.

Dari project sebelumnya, Anda tahu bahwa izin minimum yang diperlukan oleh akun layanan yang ditentukan untuk cluster Kubernetes Engine dapat diberikan melalui tiga peran bawaan berikut:

• roles/monitoring.viewer
• roles/monitoring.metricWriter
• roles/logging.logWriter

Peran-peran ini dijelaskan dalam panduan keamanan "Memperkuat cluster Anda" dari Google Kubernetes Engine (GKE) di bagian Menggunakan akun layanan Google dengan hak istimewa terendah.

Anda harus mengikat peran di atas ke akun layanan yang digunakan oleh cluster serta peran khusus yang harus Anda buat agar dapat menyediakan akses ke layanan lain yang ditentukan oleh tim pengembangan. Sejak awal Anda diberi tahu bahwa tim pengembangan mengharuskan akun layanan yang digunakan cluster memiliki izin yang diperlukan untuk menambahkan dan memperbarui objek di bucket Google Cloud Storage. Untuk melakukannya, Anda harus membuat peran IAM khusus baru yang akan memberikan izin berikut:

• storage.buckets.get
• storage.objects.get
• storage.objects.list
• storage.objects.update
• storage.objects.create

Setelah Anda membuat cluster pribadi baru, Anda harus menguji apakah cluster tersebut dikonfigurasi secara benar dengan menghubungkannya dari jumphost, orca-jumphost, di subnet pengelolaan orca-mgmt-subnet. Karena instance komputasi ini tidak berada di subnet yang sama dengan cluster pribadi, Anda harus memastikan bahwa jaringan berotorisasi master untuk cluster ini menyertakan alamat IP internal untuk instance tersebut, dan Anda harus menentukan flag --internal-ip itu saat mengambil kredensial cluster menggunakan perintah gcloud container clusters get-credentials.

Semua objek dan layanan cloud baru yang Anda buat harus menyertakan awalan "orca-".

Tugas terakhir Anda adalah memvalidasi bahwa cluster berfungsi secara benar dengan men-deploy aplikasi sederhana ke cluster tersebut dan menguji apakah akses pengelolaan ke cluster menggunakan alat kubectl dapat berjalan dari instance komputasi orca-jumphost.

Untuk semua tugas di lab ini, gunakan region dan zona .

Tugas 1. Membuat peran keamanan khusus

Tugas pertama Anda adalah membuat peran keamanan IAM khusus baru bernama yang akan memberikan izin objek dan bucket penyimpanan Google Cloud yang diperlukan agar dapat membuat dan memperbarui objek penyimpanan.

Memastikan Peran keamanan khusus telah dibuat.

Tugas 2. Membuat akun layanan

Tugas kedua Anda adalah membuat akun layanan khusus yang akan digunakan sebagai akun layanan untuk cluster pribadi baru Anda. Anda harus memberi nama akun ini .

Memastikan akun layanan baru telah dibuat.

Tugas 3. Mengikat peran keamanan khusus ke akun layanan

Sekarang Anda harus mengikat peran logging dan pemantauan Cloud Operations yang diperlukan untuk akun layanan Cluster Kubernetes Engine, serta peran IAM khusus yang Anda buat untuk izin penyimpanan, ke Akun Layanan yang Anda buat sebelumnya.

Memastikan peran keamanan bawaan dan khusus yang benar telah diikat ke akun layanan baru.

Tugas 4. Membuat dan mengonfigurasi cluster pribadi Kubernetes Engine baru

Sekarang Anda harus menggunakan akun layanan yang telah Anda konfigurasi saat membuat cluster pribadi Kubernetes Engine baru. Konfigurasi cluster baru ini harus menyertakan hal berikut:

• Cluster harus diberi nama
• Cluster harus di-deploy ke subnet orca-build-subnet
• Cluster harus dikonfigurasi untuk menggunakan akun layanan .
• Opsi cluster pribadi enable-master-authorized-networks, enable-ip-alias, enable-private-nodes, dan enable-private-endpoint harus diaktifkan.

Setelah cluster dikonfigurasi, Anda harus menambahkan alamat IP internal instance komputasi orca-jumphost ke daftar jaringan berotorisasi master.

Mengonfirmasi cluster pribadi Kubernetes Engine telah di-deploy dengan benar.

Tugas 5. Men-deploy aplikasi ke cluster Kubernetes Engine pribadi.

Anda memiliki aplikasi pengujian praktis yang dapat di-deploy ke cluster mana pun untuk menguji secara cepat apakah fungsi dasar deployment container dapat berjalan baik serta apakah layanan dasar dapat dibuat dan diakses. Anda harus mengonfigurasi lingkungan agar Anda dapat men-deploy demo praktis ini ke cluster baru menggunakan jumphost orca-jumphost.

Catatan: Pastikan untuk menginstal gke-gcloud-auth-plugin dengan benar sebelum menjalankan perintah kubectl apa pun. Penjelasannya dapat Anda temukan pada Tips 1 di bawah. kubectl create deployment hello-server --image=gcr.io/google-samples/hello-app:1.0

Tindakan ini akan men-deploy aplikasi yang siap memproses di port 8080, yang dapat diekspos menggunakan layanan load balancer dasar untuk pengujian.

Memastikan aplikasi telah di-deploy ke cluster Kubernetes Engine pribadi.

Tips dan Trik

• Tips 1. Pastikan untuk menggunakan gke-gcloud-auth-plugin, yang diperlukan agar dapat terus menggunakan kubectl. Anda dapat menginstalnya dengan menjalankan perintah berikut. Pastikan untuk mengganti nama dan zona cluster GKE beserta Project ID Anda.

sudo apt-get install google-cloud-sdk-gke-gcloud-auth-plugin echo "export USE_GKE_GCLOUD_AUTH_PLUGIN=True" >> ~/.bashrc source ~/.bashrc gcloud container clusters get-credentials <your cluster name> --internal-ip --project=<project ID> --zone <cluster zone>

• Tips 2. Saat menambahkan alamat IP internal mesin orca-jumphost ke daftar alamat yang diotorisasi untuk cluster Kubernetes Engine pribadi, Anda harus menggunakan netmask /32 untuk memastikan bahwa hanya instance komputasi tertentu yang diotorisasi.

• Tips 3. Anda tidak dapat terhubung langsung ke cluster pribadi Kubernetes Engine dari VPC atau jaringan lain di luar VPC tempat cluster pribadi tersebut di-deploy jika opsi enable-private-endpoint telah ditentukan. Ini merupakan opsi keamanan tertinggi untuk cluster pribadi dan Anda harus menggunakan jumphost, atau proxy dalam VPC yang sama dengan cluster. Selain itu, Anda harus menggunakan jumphost atau proxy agar dapat terhubung ke alamat IP pengelolaan internal untuk cluster.

Selamat!

Di lab ini, Anda telah mengonfigurasi cluster pribadi Kubernetes Engine baru yang disiapkan untuk menggunakan akun layanan khusus dengan hak istimewa terendah yang diperlukan untuk menjalankan cluster. Anda juga telah membuat peran IAM khusus yang memberikan izin yang diperlukan untuk membuat dan memperbarui objek penyimpanan di bucket Google Cloud Storage, serta mengikat peran tersebut ke akun layanan yang digunakan oleh cluster. Anda juga memvalidasi bahwa cluster berfungsi secara benar dengan men-deploy aplikasi sederhana ke cluster tersebut dan menguji apakah akses pengelolaan ke cluster menggunakan alat kubectl dapat berjalan dari instance komputasi orca-jumphost.

Dapatkan badge keahlian Anda berikutnya

Lab mandiri ini merupakan bagian dari badge keahlian Implement Cloud Security Fundamentals on Google Cloud. Dengan menyelesaikan badge keahlian ini, Anda akan mendapatkan badge di atas sebagai pengakuan atas pencapaian Anda. Tampilkan badge di resume atau platform media sosial Anda, dan umumkan pencapaian Anda menggunakan hashtag #GoogleCloudBadge.

Badge keahlian ini merupakan bagian dari jalur pembelajaran Cloud Security Engineer dari Google Cloud. Jika Anda sudah menyelesaikan badge keahlian lain di jalur pembelajaran ini, telusuri katalog untuk badge keahlian lainnya yang dapat Anda ikuti.

Sertifikasi dan pelatihan Google Cloud

...membantu Anda mengoptimalkan teknologi Google Cloud. Kelas kami mencakup keterampilan teknis dan praktik terbaik untuk membantu Anda memahami dengan cepat dan melanjutkan proses pembelajaran. Kami menawarkan pelatihan tingkat dasar hingga lanjutan dengan opsi on demand, live, dan virtual untuk menyesuaikan dengan jadwal Anda yang sibuk. Sertifikasi membantu Anda memvalidasi dan membuktikan keterampilan serta keahlian Anda dalam teknologi Google Cloud.

Manual Terakhir Diperbarui pada 25 Maret 2024

Lab Terakhir Diuji pada 4 Desember 2023

Hak cipta 2024 Google LLC Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.