arrow_back

Configurare l'RDP sicuro utilizzando un bastion host Windows: Challenge Lab

Accedi Partecipa
Metti alla prova le tue conoscenze e condividile con la nostra community.

Configurare l'RDP sicuro utilizzando un bastion host Windows: Challenge Lab

Lab 1 ora universal_currency_alt 5 crediti show_chart Intermedio
info Questo lab potrebbe incorporare strumenti di AI a supporto del tuo apprendimento.
Metti alla prova le tue conoscenze e condividile con la nostra community.

GSP303

Panoramica

In un Challenge Lab ti vengono presentati uno scenario e un insieme di attività. Anziché seguire le istruzioni passo passo, utilizzerai le competenze apprese dai lab durante il corso per capire come completare le attività autonomamente. Tramite un sistema di valutazione automatico (visibile in questa pagina), riceverai un feedback che ti consentirà di capire se hai completato le attività in modo corretto.

Quando partecipi a un Challenge Lab non ricevi alcuna formazione sui concetti di Google Cloud. Dovrai estendere le competenze che hai appreso, ad esempio modificare i valori predefiniti e leggere ed esaminare i messaggi di errore per correggere i tuoi errori.

Per ottenere un punteggio del 100% devi completare tutte le attività correttamente nel tempo stabilito.

Questo lab è consigliato per gli studenti che si preparano all'esame di certificazione Utente certificato Google Cloud - Professional Cloud Architect. Accetti la sfida?

Scenario della sfida

La tua azienda ha deciso di eseguire il deployment di nuovi servizi applicativi nel cloud e il tuo compito è sviluppare un framework sicuro per la gestione dei servizi Windows di cui verrà eseguito il deployment. Dovrai creare un nuovo ambiente di rete VPC per i server Windows di produzione sicuri.

I server di produzione devono inizialmente essere completamente isolati dalle reti esterne e non è possibile accedervi direttamente da internet o connettevirsi direttamente. Per configurare e gestire il tuo primo server in questo ambiente, dovrai anche eseguire il deployment di un bastion host, o jump box, a cui è possibile accedere da internet utilizzando Microsoft Remote Desktop Protocol (RDP). Il bastion host deve essere accessibile da internet solo tramite RDP e deve essere in grado di comunicare con le altre istanze di computing all'interno della rete VPC solo tramite RDP.

La tua azienda dispone anche di un sistema di monitoraggio in esecuzione dalla rete VPC predefinita, quindi tutte le istanze di computing devono avere una seconda interfaccia di rete con una connessione solo interna alla rete VPC predefinita.

La sfida

Esegui il deployment del computer Windows sicuro che non è configurato per la comunicazione esterna all'interno di una nuova subnet VPC, quindi esegui il deployment di Microsoft Internet Information Server su quel computer sicuro. Ai fini di questo lab, il provisioning di tutte le risorse dovrebbe essere eseguito nella seguente regione e zona:

  • Regione:
  • Zona:

Attività

Le principali attività sono elencate di seguito. In bocca al lupo!

  • Creare una nuova rete VPC con una singola subnet.
  • Creare una regola firewall che consenta il traffico RDP esterno al sistema del bastion host.
  • Eseguire il deployment di due server Windows connessi sia alla rete VPC che alla rete predefinita.
  • Creare una macchina virtuale che punti allo script di avvio.
  • Configurare una regola firewall per consentire l'accesso HTTP alla macchina virtuale.

Attività 1: crea la rete VPC

  1. Crea una nuova rete VPC denominata securenetwork.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea la rete VPC.

  1. Crea una nuova subnet VPC all'interno di securenetwork nella regione .

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea la subnet VPC.

  1. Una volta configurate la rete e la subnet, configura una regola firewall che consenta il traffico RDP in entrata (porta TCP 3389) da internet al bastion host. Questa regola deve essere applicata all'host appropriato utilizzando i tag di rete.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea la regola firewall.

Attività 2: esegui il deployment delle tue istanze Windows e configura le password degli utenti

  1. Esegui il deployment di un'istanza del server Windows 2016 (Server con Esperienza desktop) denominata vm-securehost con due interfacce di rete nella zona .
    • Configura la prima interfaccia di rete con una connessione solo interna alla subnet VPC appena creata
    • e la seconda interfaccia di rete con una connessione solo interna alla rete VPC predefinita. Questo è il server sicuro.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea l'istanza vm-securehost.

  1. Esegui il deployment di un'istanza del server Windows 2016 (Server con Esperienza desktop) denominata vm-bastionhost con due interfacce di rete nella zona .
    • Configura la prima interfaccia di rete per connettersi alla subnet VPC appena creata con un indirizzo pubblico temporaneo (NAT esterno)
    • e la seconda interfaccia di rete con una connessione solo interna alla rete VPC predefinita. Questa è la jump box o bastion host.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea l'istanza vm-bastionhost.

Configura le password utente

  1. Dopo aver creato le istanze Windows, crea un account utente e reimposta le password di Windows per connetterti a ciascuna istanza.
NOTA: copia il nome utente e la password di entrambe le istanze per un utilizzo successivo.
  1. Il seguente comando gcloud crea un nuovo utente chiamato app-admin e reimposta la password per un host chiamato vm-bastionhost situato nella zona :
gcloud compute reset-windows-password vm-bastionhost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}
  1. Il seguente comando gcloud crea un nuovo utente chiamato app-admin e reimposta la password per un host chiamato vm-securehost situato nella zona :
gcloud compute reset-windows-password vm-securehost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}
  • In alternativa, puoi forzare la reimpostazione della password dalla console Compute Engine. Dovrai ripetere l'operazione per il secondo host poiché le credenziali di accesso per quell'istanza saranno diverse.

Attività 3: connettiti all'host sicuro e configura Internet Information Server

  1. Per connetterti all'host sicuro, dovrai prima eseguire l'RDP nel bastion host. È possibile connettere un'istanza Compute di Windows con un indirizzo esterno tramite RDP utilizzando il pulsante RDP visualizzato accanto alle istanze Compute di Windows nella relativa pagina di riepilogo.

  2. Una volta stabilita la connessione al bastion host utilizzando la sessione RDP, apri una nuova sessione RDP all'interno di bastion host per connetterti all'indirizzo di rete privata interna di secure host.

  3. Quando sei connesso a un server Windows, puoi avviare il client Microsoft RDP utilizzando il comando mstsc.exe oppure puoi cercare Remote Desktop Manager dal menu Start. Ciò ti consentirà di connetterti dal bastion host ad altre istanze di computing sullo stesso VPC anche se queste istanze non dispongono di una connessione a internet diretta.

Una volta stabilita la connessione alla macchina vm-securehost tramite RDP, configura Internet Information Server.

  1. Una volta effettuato l'accesso alla macchina vm-securehost, apri la finestra Gestione server e configura il server locale per aggiungere ruoli e funzionalità.

  2. Utilizza l'installazione basata su ruolo o caratteristica per aggiungere il ruolo Web Server (IIS).

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Configura il software del server web IIS.

Risoluzione dei problemi

  • Impossibile connettersi all'host Bastion: assicurati di tentare di connetterti all'indirizzo esterno del bastion host Se l'indirizzo è corretto potresti non essere in grado di connetterti al bastion host se la regola del firewall non è configurata correttamente per consentire il traffico della porta TCP 3389 (RDP) da internet o dall'indirizzo IP pubblico del tuo sistema all'interfaccia di rete sul bastion host che ha un indirizzo esterno. Infine, potresti riscontrare problemi di connessione tramite RDP se la tua rete non consente l'accesso agli indirizzi internet tramite RDP. Se tutto il resto è a posto, dovrai parlare con il proprietario della rete con cui hai eseguito la connessione a internet per aprire la porta 3389 o connetterti utilizzando una rete diversa.
  • Impossibile connettersi all'host sicuro dal bastion host: se riesci a connetterti correttamente al bastion host ma non riesci a stabilire la connessione RDP interna utilizzando l'applicazione Connessione desktop remoto di Microsoft, controlla che entrambe le istanze siano connesse alla stessa rete VPC.

Complimenti!

Complimenti! In questo lab hai configurato un ambiente server Windows sicuro utilizzando un bastion host e una rete VPC. Hai inoltre configurato una regola firewall per consentire l'accesso HTTP alla macchina virtuale ed eseguito il deployment di Microsoft Internet Information Server sul computer sicuro.

Formazione e certificazione Google Cloud

… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.

Ultimo aggiornamento del manuale: 09 febbraio 2024

Ultimo test del lab: 06 dicembre 2023

Copyright 2025 Google LLC. Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Questi contenuti non sono al momento disponibili

Ti invieremo una notifica via email quando sarà disponibile

Bene.

Ti contatteremo via email non appena sarà disponibile

One lab at a time

Confirm to end all existing labs and start this one

Use private browsing to run the lab

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.