GSP342

Informações gerais

Nos laboratórios com desafio, apresentamos uma situação e um conjunto de tarefas. Para concluí-las, em vez de seguir instruções detalhadas, você usará o que aprendeu nos laboratórios do curso. Um sistema automático de pontuação (mostrado nesta página) vai avaliar seu desempenho.

Nos laboratórios com desafio, não ensinamos novos conceitos do Google Cloud. O objetivo dessas tarefas é aprimorar aquilo que você já aprendeu, como a alteração de valores padrão ou a leitura e pesquisa de mensagens para corrigir seus próprios erros.

Para alcançar a pontuação de 100%, você precisa concluir todas as tarefas no tempo definido.

Este laboratório é recomendado para estudantes que se inscreveram no selo de habilidade Implement Cloud Security Fundamentals on Google Cloud. Tudo pronto para começar o desafio?

Conhecimentos avaliados

• Criar um papel de segurança personalizado
• Criar uma conta de serviço
• Vincular papéis de segurança do IAM a uma conta de serviço
• Criar um cluster privado do Kubernetes Engine em uma sub-rede personalizada
• Implantar um aplicativo em um cluster privado do Kubernetes Engine

Configuração e requisitos

Antes de clicar no botão Start Lab

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.

Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Cenário do desafio

Você começou a trabalhar como membro júnior da área de segurança com a equipe do Orca na Jooli Inc. A equipe precisa garantir a segurança dos serviços e da infraestrutura em nuvem, que são essenciais para os aplicativos da empresa.

É necessário que seu conhecimento seja suficiente para realizar essas tarefas sem guias explicativos.

Seu desafio

Pediram para você implantar, configurar e testar um novo cluster do Kubernetes Engine. Ele será usado pela equipe de desenvolvimento do Orca no teste de pipelines e no desenvolvimento de aplicativos.

Você precisa garantir que o cluster do Kubernetes Engine seja criado de acordo com os padrões de segurança mais recentes da organização. Isso significa atender aos seguintes requisitos:

• Implantar o cluster com uma conta de serviço dedicada e que tenha os privilégios mínimos necessários.
• Implantar o cluster como um cluster particular do Kubernetes Engine, com o endpoint público desativado e a rede autorizada principal definida para incluir apenas o endereço IP do jumphost de gerenciamento do grupo do Orca.
• O cluster particular do Kubernetes Engine precisa ser implantado na mesma VPC do build do Orca, orca-build-subnet.

Em um projeto anterior, você viu que os três papéis integrados a seguir têm as permissões mínimas exigidas pela conta de serviço definida para um cluster do Kubernetes Engine:

• roles/monitoring.viewer
• roles/monitoring.metricWriter
• roles/logging.logWriter

Essas funções são especificadas no guia de segurança do Google Kubernetes Engine (GKE) para fortalecer seu cluster na seção Usar contas de serviço do Google com privilégios mínimos.

Você precisa criar um papel personalizado para permitir o acesso a qualquer outro serviço especificado pela equipe de desenvolvimento. É necessário que o papel personalizado e os outros três papéis mencionados acima sejam vinculados à conta de serviço usada pelo cluster. A equipe de desenvolvimento informou que a conta de serviço precisa das permissões necessárias para adicionar e atualizar objetos nos buckets do Google Cloud Storage. Para fazer isso, você precisa criar um papel personalizado do IAM com estas permissões:

• storage.buckets.get
• storage.objects.get
• storage.objects.list
• storage.objects.update
• storage.objects.create

Depois de criar o cluster particular, teste se ele foi configurado corretamente. Para isso, acesse o cluster pelo jumphost orca-jumphost na sub-rede de gerenciamento orca-mgmt-subnet. Como esta instância do Compute não está na mesma sub-rede do cluster particular, você precisa garantir que o endereço IP interno dela esteja incluído nas redes autorizadas principais do cluster. Você também precisa especificar a sinalização --internal-ip quando recuperar as credenciais do cluster usando o comando gcloud container clusters get-credentials.

Adicione o prefixo "orca-" em todos os objetos e serviços de nuvem que você criar.

Por fim, implante um aplicativo simples no cluster e teste o acesso de gerenciamento da instância do Compute orca-jumphost com a ferramenta kubectl para saber se o cluster está funcionando corretamente.

Para todas as tarefas deste laboratório, use a região e a zona .

Tarefa 1: crie um papel de segurança personalizado.

Crie um novo papel de segurança personalizado do IAM com o nome . Ele vai conceder as permissões de objeto e de bucket de armazenamento do Google Cloud necessárias para criar e atualizar os objetos de armazenamento.

Verifique se um papel de segurança personalizado foi criado.

Tarefa 2: crie uma conta de serviço

Crie a conta de serviço dedicada para o novo cluster particular. Dê a ela o nome de .

Verifique se uma conta de serviço foi criada.

Tarefa 3: vincule um papel de segurança personalizado a uma conta de serviço

Agora você precisa vincular os papéis de monitoramento e geração de registros do pacote de Operações do Cloud que são necessários às contas de serviço do cluster do Kubernetes Engine. Vincule também a nova conta de serviço ao papel personalizado do IAM que você criou para as permissões de armazenamento.

Verifique se a nova conta de serviço foi vinculada aos papéis integrados de segurança e personalizados corretos.

Tarefa 4: crie e configure um novo cluster particular do Kubernetes Engine

Use a conta de serviço que você configurou para criar um novo cluster particular do Kubernetes Engine. Configure o novo cluster da seguinte forma:

• Ele precisa se chamar .
• Implante o cluster na sub-rede orca-build-subnet.
• Configure o cluster para usar a conta de serviço .
• Ative as opções de cluster particular enable-master-authorized-networks, enable-ip-alias, enable-private-nodes e enable-private-endpoint.

Depois de configurar o cluster, adicione o endereço IP interno da instância do Compute orca-jumphost à lista de redes autorizadas principais.

Verifique se um cluster particular do Kubernetes Engine foi implantado corretamente.

Tarefa 5: implante um aplicativo em um cluster privado do Kubernetes Engine

Você tem um aplicativo de teste simples que pode ser implantado em qualquer cluster. Use esse aplicativo para testar rapidamente se é possível implantar um contêiner e também criar e acessar serviços básicos. Configure o ambiente para implantar esta demonstração simples no novo cluster usando o jumphost orca-jumphost.

Observação: instale gke-gcloud-auth-plugin corretamente antes de executar qualquer comando kubectl. Isso é detalhado abaixo na Dica 1. kubectl create deployment hello-server --image=gcr.io/google-samples/hello-app:1.0

Essa linha de código implanta um aplicativo que ouve na porta 8080. Você pode expor essa porta para teste usando um serviço de balanceador de carga básico.

Verifique se um aplicativo foi implantado em um cluster privado do Kubernetes Engine.

Dicas e sugestões

• Dica 1: use o gke-gcloud-auth-plugin, que é necessário para o uso contínuo do kubectl. Você pode instalá-lo executando os seguintes comandos. Substitua o nome e a zona do cluster do GKE, assim como o ID do projeto.

sudo apt-get install google-cloud-sdk-gke-gcloud-auth-plugin echo "export USE_GKE_GCLOUD_AUTH_PLUGIN=True" >> ~/.bashrc source ~/.bashrc gcloud container clusters get-credentials <your cluster name> --internal-ip --project=<project ID> --zone <cluster zone>

• Dica 2: quando adicionar o endereço IP interno da máquina orca-jumphost à lista de endereços com acesso autorizado ao cluster privado do Kubernetes Engine, use uma máscara de rede /32 para autorizar apenas uma instância específica do Compute.

• Dica 3: se a opção enable-private-endpoint estiver especificada, não será possível acessar diretamente um cluster particular do Kubernetes Engine por uma VPC ou por outra rede fora da VPC em que ele foi implantado. Essa configuração oferece o nível mais alto de segurança para um cluster particular. Além disso, para se conectar ao endereço IP de gerenciamento interno do cluster, você precisa usar um jumphost ou um proxy na mesma VPC do cluster.

Parabéns!

Neste laboratório, você configurou um novo cluster particular do Kubernetes Engine configurado para usar uma conta de serviço dedicada com os privilégios mínimos necessários para executar o cluster. Você também criou uma função IAM personalizada que fornece as permissões necessárias para criar e atualizar objetos de armazenamento em buckets do Google Cloud Storage e vinculou essa função à conta de serviço usada pelo cluster. Por fim, você implantou um aplicativo simples no cluster e testou o acesso de gerenciamento da instância do Compute orca-jumphost com a ferramenta kubectl para saber se o cluster está funcionando corretamente.

Conquiste seu próximo selo de habilidade

Este laboratório autoguiado faz parte do selo de habilidade Implement Cloud Security Fundamentals on Google Cloud. Ao concluir o curso, você ganha o selo acima como reconhecimento pela sua conquista. Ele pode ser adicionado ao seu currículo e compartilhado nas plataformas sociais. Use #GoogleCloudBadge para anunciar sua conquista.

Este selo de habilidade faz parte do programa de aprendizado Cloud Security Engineer do Google Cloud. Se você já concluiu os outros selos deste programa, consulte o catálogo para ver mais opções para se inscrever.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 25 de março de 2024

Laboratório testado em 4 de dezembro de 2023

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.