arrow_back

Configure um RDP seguro usando um Bastion Host Windows: laboratório com desafio

Fazer login Inscreva-se
Get access to 700+ labs and courses

Configure um RDP seguro usando um Bastion Host Windows: laboratório com desafio

Laboratório 1 hora universal_currency_alt 5 créditos show_chart Intermediário
info Este laboratório pode incorporar ferramentas de IA para ajudar no seu aprendizado.
Get access to 700+ labs and courses

GSP303

Informações gerais

Nos laboratórios com desafio, apresentamos uma situação e um conjunto de tarefas. Para concluí-las, em vez de seguir instruções detalhadas, você usará o que aprendeu nos laboratórios do curso. Um sistema automático de pontuação (mostrado nesta página) vai avaliar seu desempenho.

Nos laboratórios com desafio, não ensinamos novos conceitos do Google Cloud. O objetivo dessas tarefas é aprimorar aquilo que você já aprendeu, como a alteração de valores padrão ou a leitura e pesquisa de mensagens para corrigir seus próprios erros.

Para alcançar a pontuação de 100%, você precisa concluir todas as tarefas no tempo definido.

Este laboratório é recomendado para estudantes que estão se preparando para o exame de Certificação em Google Cloud Professional Cloud Architect. Você aceita o desafio?

Cenário do desafio

A empresa decidiu implantar novos serviços de aplicativos na nuvem. Sua tarefa é desenvolver uma estrutura segura para o gerenciamento dos serviços do Windows que serão implantados. Você precisa criar um novo ambiente de rede VPC para os servidores seguros de produção do Windows.

Inicialmente, é necessário que os servidores de produção estejam totalmente isolados das redes externas e não tenham conexão com a Internet. Para configurar e gerenciar seu primeiro servidor nesse ambiente, você também precisa implantar um Bastion Host, ou jump box, que seja acessado pela Internet com o uso do protocolo de desktop remoto (RDP, na sigla em inglês) da Microsoft. O Bastion Host só deve ser acessado pela Internet via RDP e se comunicar com as outras instâncias do Compute na rede VPC por esse mesmo protocolo.

Como sua empresa também tem um sistema de monitoramento na rede VPC padrão, todas as instâncias do Compute precisam ter uma segunda interface de rede apenas para conexão interna com a rede VPC padrão.

Seu desafio

Implante a máquina Windows segura que não está configurada para comunicação externa dentro de uma nova sub-rede VPC, depois implante o servidor Microsoft Internet Information nessa máquina. Para este laboratório, todos os recursos devem ser provisionados na seguinte região e zona:

  • Região:
  • Zona:

Tarefas

Confira abaixo as tarefas principais. Boa sorte!

  • Criar uma nova rede VPC com uma única sub-rede
  • Criar uma regra de firewall que permita o tráfego RDP externo para o sistema do Bastion Host
  • Implantar dois servidores Windows conectados à rede VPC e à rede padrão
  • Criar uma máquina virtual que aponte para o script de inicialização
  • Configurar uma regra de firewall para permitir o acesso HTTP à máquina virtual

Tarefa 1: criar a rede VPC

  1. Crie uma nova rede VPC chamada securenetwork.

Clique em Verificar meu progresso para conferir o objetivo. Crie a rede VPC.

  1. Crie uma nova sub-rede VPC dentro de securenetwork na região .

Clique em Verificar meu progresso para conferir o objetivo. Crie a sub-rede VPC.

  1. Após configurar a rede e a sub-rede, defina uma regra de firewall que permita o tráfego RDP de entrada (porta TCP 3389) da Internet para o Bastion Host. Aplique essa regra ao host adequado usando tags de rede.

Clique em Verificar meu progresso para conferir o objetivo. Crie a regra de firewall.

Tarefa 2: implantar as instâncias do Windows e configurar as senhas de usuário

  1. Implante uma instância do Windows Server 2016 (Server com Experiência Desktop) chamada vm-securehost com duas interfaces de rede na zona .
    • Configure a primeira interface somente para conexão interna para a nova sub-rede VPC recém-criada.
    • Configure a segunda interface somente para conexão interna com a rede VPC padrão. Esse é o servidor seguro.

Clique em Verificar meu progresso para conferir o objetivo. Crie a instância vm-securehost.

  1. Implante uma segunda instância do Windows Server 2016 (Server com Experiência Desktop) chamada vm-bastionhost com duas interfaces de rede na zona .
    • Configure a primeira interface para conexão com a sub-rede VPC recém-criada por um endereço público (NAT externo) efêmero.
    • Configure a segunda interface somente para conexão interna com a rede VPC padrão. Esse é o Bastion Host ou jump box.

Clique em Verificar meu progresso para conferir o objetivo. Crie a instância vm-bastionhost.

Configurar senhas de usuário

  1. Depois que você criar as instâncias do Windows, crie uma conta de usuário e redefina as senhas do Windows para conexão com cada instância.
OBSERVAÇÃO: copie o nome de usuário e a senha de ambas as instâncias para usar depois.
  1. O comando gcloud abaixo cria um novo usuário chamado app-admin e redefine a senha de um host denominado vm-bastionhost, localizado na zona :
gcloud compute reset-windows-password vm-bastionhost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}
  1. O comando gcloud abaixo cria um novo usuário chamado app-admin e redefine a senha de um host denominado vm-securehost, localizado na zona :
gcloud compute reset-windows-password vm-securehost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}
  • Se preferir, você pode forçar uma redefinição de senha no console do Compute Engine. Você precisará repetir isso para o segundo host porque as credenciais de login nessa instância são diferentes.

Tarefa 3: conectar-se ao host seguro e configurar o servidor Internet Information da Microsoft (IIS)

  1. Para se conectar com o host seguro, primeiro você precisa acessar o Bastion Host usando o RDP. Você pode se conectar a uma Instância do Compute Engine do Windows com um endereço externo via RDP usando o botão "RDP" ao lado dessas instâncias na página de resumo das instâncias do Compute.

  2. Ao se conectar ao Bastion Host usando a sessão RDP, abra uma nova sessão RDP dentro do Bastion Host para conectar ao endereço de rede privada interna do host seguro.

  3. Depois de se conectar a um servidor Windows, você poderá iniciar o cliente Microsoft RDP usando o comando mstsc.exe ou procurar o Administrador da Área de Trabalho Remota no menu "Iniciar". Assim você se conectará pelo Bastion Host a outras instâncias do Compute na mesma VPC, mesmo que elas não tenham conexão com a Internet.

Ao se conectar à máquina vm-securehost por meio do RDP, configure o servidor de informações da Internet.

  1. Depois de fazer login na máquina vm-securehost, abra a janela Gerenciamento do servidor e configure o servidor local para adicionar funções e recursos.

  2. Use a instalação baseada em função ou em recurso para adicionar a função Servidor da Web (IIS).

Clique em Verificar meu progresso para conferir o objetivo. Configure o software servidor da Web IIS.

Solução de problemas

  • Erro na conexão com o Bastion Host: confirme que você está tentando se conectar ao endereço externo do Bastion Host. Se o endereço estiver certo, talvez a regra de firewall não esteja configurada corretamente e não permita, na porta TCP 3389 (RDP), o tráfego da Internet ou do endereço IP público do seu sistema para a interface de rede no Bastion Host com um endereço externo. Esses problemas de conexão via RDP podem ocorrer se sua própria rede não permitir o uso desse protocolo para acessar endereços da Internet. Após considerar todas as possibilidades, peça para o proprietário da rede que você está usando abrir a porta 3389 ou use outra rede.
  • Erro na conexão com o host seguro pelo Bastion Host: se você tiver se conectado ao Bastion Host, mas a conexão RDP interna não tiver funcionado com o app "Conexão da Área de Trabalho Remota" da Microsoft, verifique se as duas instâncias estão na mesma rede VPC.

Parabéns!

Parabéns! Neste laboratório, você configurou um ambiente de servidor Windows seguro usando um Bastion Host e uma rede VPC. Você também configurou uma regra de firewall para permitir o acesso HTTP à máquina virtual e implantou o servidor Internet Information da Microsoft na máquina segura.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 9 de fevereiro de 2024

Laboratório testado em 6 de dezembro de 2023

Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Este conteúdo não está disponível no momento

Você vai receber uma notificação por e-mail quando ele estiver disponível

Ótimo!

Vamos entrar em contato por e-mail se ele ficar disponível

One lab at a time

Confirm to end all existing labs and start this one

Use private browsing to run the lab

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.