arrow_back

Virtuelle Maschinen mit BeyondCorp Enterprise (BCE) sichern

Anmelden Teilnehmen
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Virtuelle Maschinen mit BeyondCorp Enterprise (BCE) sichern

Lab 1 Stunde 30 Minuten universal_currency_alt 5 Guthabenpunkte show_chart Mittelstufe
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

GSP1036

Logo: Google Cloud-Labs zum selbstbestimmten Lernen

Überblick

In diesem Lab lernen Sie, wie Sie BeyondCorp Enterprise (BCE) und die TCP-Weiterleitung für Identity-Aware Proxy (IAP) nutzen, um den Administratorzugriff auf VM-Instanzen zuzulassen, die keine externe IP-Adressen haben bzw. keinen direkten Zugriff über das Internet erlauben.

Lerninhalte

  • TCP-Weiterleitung für IAP in einem Google Cloud-Projekt aktivieren
  • Konnektivität mit Linux- und Windows-Instanzen testen
  • Erforderliche Firewallregeln für BCE konfigurieren
  • Berechtigungen zur Verwendung der TCP-Weiterleitung für IAP erteilen
  • Tunneling mithilfe von SSH- und RDP-Verbindungen ausüben

Einrichtung

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange die Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung selbst durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

  • Einen Standardbrowser (empfohlen wird Chrome)
Hinweis: Nutzen Sie den privaten oder Inkognitomodus, um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.
  • Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.
Hinweis: Wenn Sie über ein persönliches Google Cloud-Konto oder -Projekt verfügen, verwenden Sie es nicht für dieses Lab. So werden zusätzliche Kosten für Ihr Konto vermieden.

Lab starten und bei der Google Cloud Console anmelden

  1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Pop-up-Fenster geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich Details zum Lab mit diesen Informationen:

    • Schaltfläche Google Cloud Console öffnen
    • Restzeit
    • Temporäre Anmeldedaten für das Lab
    • Ggf. weitere Informationen für dieses Lab

  2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

    Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite Anmelden geöffnet.

    Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

    Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

  3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

    {{{user_0.username | "Username"}}}

    Sie finden den Nutzernamen auch im Bereich Details zum Lab.

  4. Klicken Sie auf Weiter.

  5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

    {{{user_0.password | "Password"}}}

    Sie finden das Passwort auch im Bereich Details zum Lab.

  6. Klicken Sie auf Weiter.

    Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

  7. Klicken Sie sich durch die nachfolgenden Seiten:

    • Akzeptieren Sie die Nutzungsbedingungen.
    • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
    • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie sich eine Liste der Google Cloud-Produkte und ‑Dienste ansehen möchten, klicken Sie oben links auf das Navigationsmenü. Symbol für Navigationsmenü

Es muss ein RDP-Client vorinstalliert sein, damit Sie eine Verbindung zu Windows-Instanzen herstellen und sie testen können.

Aufgabe 1: TCP-Weiterleitung für IAP in einem Google Cloud-Projekt aktivieren

  1. Öffnen Sie das Navigationsmenü und wählen Sie APIs und Dienste > Bibliothek aus.

  2. Suchen Sie nach IAP und wählen Sie die Cloud Identity-Aware Proxy API aus.

  3. Klicken Sie auf Aktivieren.

Cloud Identity-Aware Proxy API

Aufgabe 2: Linux- und Windows-Instanzen erstellen

Erstellen Sie für dieses Lab drei Instanzen: - Zwei zu Demonstrationszwecken (Linux und Windows) - Eine zum Testen der Verbindung (Windows)

Linux-Instanz

  1. Öffnen Sie das Navigationsmenü und wählen Sie Compute Engine aus.

  2. Klicken Sie auf Instanz erstellen und verwenden Sie dann die folgende Konfiguration, um eine VM zu erstellen. Behalten Sie in allen anderen Feldern die Standardwerte bei.

  • Name: linux-iap
  • Zone:

  1. Klicken Sie auf Erweiterte Optionen und wählen Sie Netzwerk aus. Klicken Sie unter Netzwerkschnittstellen auf das Standardnetzwerk, um es zu bearbeiten. Ändern Sie dann die externe IPv4-Adresse zu Keine.

  2. Klicken Sie auf Fertig.

    Ausfüllen des Netzwerkschnittstellenformulars

  3. Klicken Sie auf Erstellen. Diese VM wird als linux-iap bezeichnet.

Windows-Instanzen

  1. Klicken Sie zum Erstellen der Windows-Demo-VM auf Instanz erstellen und nutzen Sie die folgende Konfiguration, um die VM zu erstellen. Behalten Sie in allen anderen Feldern die Standardwerte bei.
  • Name: windows-iap
  • Zone:
  • Klicken Sie im Abschnitt Bootlaufwerk auf Ändern

  1. Wählen Sie für das Betriebssystem Folgendes aus:

    • Öffentliche Images > Betriebssystem > Windows Server
    • Version > Windows Server 2016 Datacenter

    Auswählen der Windows-Version

  2. Klicken Sie auf Auswählen.

  3. Klicken Sie auf Erweiterte Optionen und wählen Sie Netzwerk aus. Klicken Sie unter Netzwerkschnittstellen auf das Standardnetzwerk, um es zu bearbeiten. Ändern Sie dann die externe IPv4-Adresse zu Keine. Klicken Sie auf Fertig.

  4. Klicken Sie auf Erstellen. Diese VM wird als windows-iap bezeichnet.

  5. Klicken Sie zum Erstellen der Windows-Connectivity-VM auf Instanz erstellen und nutzen Sie die folgende Konfiguration, um die VM zu erstellen. Behalten Sie in allen anderen Feldern die Standardwerte bei.

  • Name: windows-connectivity
  • Zone:
  • Klicken Sie im Abschnitt Bootlaufwerk auf Ändern

  1. Legen Sie für das Betriebssystem auf dem Tab Benutzerdefinierte Images die folgenden Werte fest:

    • Quellprojekt für Images: Qwiklabs Resources
    • Image: iap-desktop-v001

  2. Klicken Sie auf Auswählen.

  3. Wählen Sie für die Zugriffsbereiche Uneingeschränkten Zugriff auf alle Cloud APIs zulassen aus.

    Deaktivieren Sie für diese Instanz keinesfalls die externen IP-Adressen.

  4. Klicken Sie auf Erstellen. Diese VM wird als windows-connectivity bezeichnet.

Prüfen, ob alle 3 Instanzen erstellt wurden.

Aufgabe 3: Konnektivität mit Linux- und Windows-Instanzen testen

  1. Nachdem die Instanzen erstellt wurden, können Sie den Zugriff auf linux-iap und windows-iap testen, um sicherzustellen, dass der Zugriff auf die VMs nicht ohne die externe IP-Adresse möglich ist.

  2. Klicken Sie für linux-iap auf die SSH-Schaltfläche, um auf die VM zuzugreifen. Es sollte eine Meldung wie die Folgende angezeigt werden:

    Linux-Verbindung fehlgeschlagen

  3. Klicken Sie für windows-iap auf die RDP-Schaltfläche. Es sollte eine Meldung wie die Folgende angezeigt werden:

    Windows-Verbindung fehlgeschlagen

Mithilfe der folgenden Schritte können Sie IAP konfigurieren und dann damit eine Verbindung zu den Instanzen herstellen, die keine externen IP-Adressen haben.

Aufgabe 4: Erforderliche Firewallregeln für BCE konfigurieren

  1. Öffnen Sie das Navigationsmenü, wählen Sie VPC-Netzwerk > Firewall aus und klicken Sie auf Firewallregel erstellen.

  2. Legen Sie folgende Einstellungen fest:

Feld Einstellung
Name allow-ingress-from-iap
Traffic-Richtung Eingehender Traffic
Ziel Alle Instanzen im Netzwerk
Quellfilter IPv4-Bereiche
Quell-IPv4-Bereiche 35.235.240.0/20
Protokolle und Ports Wählen Sie „TCP“ aus und geben Sie „22, 3389“ ein, damit SSH und RDP zulässig sind.
  1. Klicken Sie auf ERSTELLEN, um die Firewallregel zu erstellen.
Prüfen, ob die Firewallregeln richtig erstellt wurden.

Aufgabe 5: Berechtigungen zur Verwendung der TCP-Weiterleitung für IAP erteilen

Führen Sie die folgenden Schritte aus, um die IAP-Rolle iap.tunnelResourceAccessor für die einzelnen VMs zu konfigurieren.

  1. Öffnen Sie das Navigationsmenü und wählen Sie Sicherheit > Identity-Aware Proxy aus. Wechseln Sie dann zum Tab SSH- und TCP-Ressourcen. Dabei können Sie den OAuth-Zustimmungsbildschirms-Fehler im HTTPS-Abschnitt ignorieren.
  2. Wählen Sie die VM-Instanzen linux-iap und windows-iap aus.
  3. Klicken Sie auf Hauptkonto hinzufügen und geben Sie das Dienstkonto ein, das mit der Windows-Connectivity-VM verknüpft ist. Es sollte das Format -compute@developer.gserviceaccount.com haben.
  4. Wählen Sie für die Rolle Cloud IAP > Nutzer IAP-gesicherter Tunnel aus.
  5. Klicken Sie auf SPEICHERN.
  6. Klicken Sie auf der Seite oben rechts auf das „S“-Symbol, um Ihr Profil zu öffnen und die E-Mail-Adresse des Teilnehmerkontos zu kopieren.
  7. Klicken Sie noch einmal auf Hauptkonto hinzufügen, um das Teilnehmerkonto hinzuzufügen.
  8. Geben Sie das Teilnehmerkonto ein. Sie können diesen Wert aus dem Lab-Detailbereich kopieren.
  9. Wählen Sie für die Rolle Cloud IAP > Nutzer IAP-gesicherter Tunnel aus.
  10. Klicken Sie auf SPEICHERN.
Die Rolle „Nutzer IAP-gesicherter Tunnel“ berechtigt die Windows-Connectivity-Instanz dazu, mithilfe von IAP eine Verbindung zu Ressourcen herzustellen. Durch das Hinzufügen des Teilnehmerkontos können Sie sich vergewissern, dass der Schritt richtig ausgeführt wurde.

Hauptkonten hinzufügen

Prüfen, ob die IAP-Rolle für das Dienstkonto festgelegt wurde.

Aufgabe 5: Mit IAP Desktop Verbindung zu den Windows- und Linux-Instanzen herstellen

Sie können IAP Desktop nutzen, um mithilfe einer grafischen Benutzeroberfläche von einer Windows-Desktop-Instanz eine Verbindung zu anderen Instanzen herzustellen. Weitere Informationen zu IAP Desktop finden Sie im GitHub-Repository, in dem der Download für das Tool gehostet wird.

So stellen Sie mit IAP Desktop eine Verbindung zu den Instanzen in diesem Lab her:

  1. Stellen Sie eine RDP-Verbindung zur Windows-Connectivity-Instanz her, indem Sie die RDP-Datei herunterladen. Rufen Sie die Seite Compute Engine > VM-Instanzen auf. Auf der Compute Engine-Landingpage finden Sie neben der Windows-Connectivity-Instanz einen Abwärtspfeil. Damit können Sie die Datei herunterladen.

  2. Öffnen Sie die RDP-Datei, um mithilfe von Remote Desktop Protocol eine Verbindung zur Instanz herzustellen. Wenn Sie dazu aufgefordert werden, verwenden Sie die Anmeldedaten unten, um eine Verbindung zur Instanz herzustellen:

  • Nutzername: student
  • Passwort: Learn123!

  1. Sobald die Verbindung zur Windows-Connectivity-Instanz hergestellt wurde, suchen Sie auf dem Desktop der Instanz die IAP Desktop-Anwendung und öffnen sie.

  2. Wenn die Anwendung geöffnet wurde, klicken Sie auf die Schaltfläche „Über Google anmelden“, um sich anzumelden. Nehmen Sie den Nutzernamen und das Passwort aus der Lab-Konsole, um sich bei IAP Desktop zu authentifizieren. Wählen Sie die Option „Google Cloud-Daten abrufen, bearbeiten, konfigurieren und löschen sowie die E-Mail-Adresse Ihres Google-Kontos sehen“ aus.

oauth_permissions.png

  1. Sie müssen ein bestimmtes Projekt hinzufügen, um nach der Authentifizierung eine Verbindung zu Compute Engine-Instanzen innerhalb von IAP Desktop herstellen zu können. Wählen Sie das Lab-Projekt aus, das mit Ihrer Lab-Instanz verknüpft ist:

add_project.png

Doppelklicken Sie in der IAP Desktop-Anwendung auf die windows-iap-Instanz, um sich bei ihr anzumelden.

  1. Sie werden möglicherweise aufgefordert, Anmeldedaten für die Instanz anzugeben, wenn Sie das erste Mal versuchen, sich über IAP Desktop bei ihr anzumelden. Wählen Sie „Neue Anmeldedaten erstellen“ aus, wenn Sie sich das erste Mal bei der Instanz einloggen.

credentials.png

  1. Nachdem die Anmeldedaten erstellt wurden, gelangen Sie zum Desktop der windows-iap-Instanz und können sehen, was die Nutzenden sehen.

windows_iap.png

Aufgabe 6: Tunneling mithilfe von SSH- und RDP-Verbindungen ausüben

  1. Sie testen die Verbindung zur RDP-Instanz mithilfe eines RDP-Clients. Grund dafür ist, dass Sie die Verbindung zur Instanz lokal über einen IAP-Tunnel herstellen müssen.

  2. Rufen Sie die Seite Compute Engine > VM-Instanzen auf.

  3. Klicken Sie für die Windows-Connectivity-Instanz auf den Abwärtspfeil und wählen Sie Windows-Passwort festlegen aus. Kopieren Sie das Passwort und speichern Sie es.

Klicken Sie auf den Abwärtspfeil, um eine Verbindung herzustellen, und klicken Sie dann auf „RDP-Datei herunterladen“. Öffnen Sie die RDP-Datei in Ihrem Client und geben Sie das Passwort ein.

  1. Wenn Sie eine Verbindung zur Windows-Connectivity-Instanz hergestellt haben, öffnen Sie das Google Cloud Shell SDK:
Google Cloud SDK Shell-Desktopsymbol

Geben Sie dann über die Befehlszeile den folgenden Befehl ein, um zu sehen, ob Sie eine Verbindung zur linux-iap-Instanz herstellen können:

gcloud compute ssh linux-iap

Klicken Sie auf J, wenn Sie dazu aufgefordert werden, um fortzufahren und die Zone auszuwählen.

Wählen Sie die richtige Zone für die Instanz aus, wenn Sie dazu aufgefordert werden.

Klicken Sie dann in der PuTTY-Sicherheitswarnung auf Accept (Akzeptieren).

Es sollte eine Nachricht angezeigt werden, dass keine externe IP-Adresse gefunden wurde und dass IAP-Tunneling verwendet wird.

Ausgabe, die zeigt, dass keine externe IP-Adresse gefunden wurde

Aktualisieren Sie die PuTTY-Einstellungen, um lokal Tunnel-Verbindungen zuzulassen. Klicken Sie auf die obere linke Ecke des PuTTY-Fensters > „Change Settings“ (Einstellungen ändern).

PuTTY-Einstellungen

Erlauben Sie lokalen Ports, Verbindungen von anderen Hosts zuzulassen, indem Sie das Kästchen neben „Local ports accept connections from other hosts“ (Lokale Ports akzeptieren Verbindungen von anderen Hosts) anklicken. Tunnel-Einstellungen

  1. Schließen Sie die PuTTY-Sitzung und klicken Sie auf Übernehmen. Erstellen Sie mit dem folgenden Befehl einen verschlüsselten Tunnel zum RDP-Port der VM-Instanz:
gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

Wenn eine Nachricht wie „Listening on port [XXX].“ angezeigt wird, kopieren Sie die Tunnel-Portnummer.

  1. Kehren Sie zur Google Cloud Console zurück und wechseln Sie zur Seite Compute Engine > VM-Instanzen.

Legen Sie das Passwort für die windows-iap-Instanz fest und kopieren Sie es.

Kehren Sie jetzt zur RDP-Sitzung zurück.

Lassen Sie gcloud weiterlaufen und öffnen Sie die Microsoft Windows-Anwendung Remotedesktopverbindung.

Geben Sie so den Tunnel-Endpunkt ein, bei dem der Endpunkt die Tunnelportnummer aus dem vorherigen Schritt ist:

  • localhost:endpoint

    6

Klicken Sie auf Verbinden.

Geben Sie dann die Anmeldedaten ein, die sie vorher kopiert haben. Sie haben jetzt erfolgreich eine RDP-Verbindung zur Instanz hergestellt.

Wenn Sie dazu aufgefordert werden, klicken Sie auf Ja.

Windows 10-RDP-Instanz-Seite

Sie konnten mithilfe von IAP sogar ohne externe IP-Adresse auf die Instanz zugreifen. Prüfen, ob VM über Dienstkonto zugänglich ist, für das IAP aktiviert wurde Glückwunsch! Sie haben mit IAP erfolgreich eine Verbindung zu beiden Instanzen hergestellt.

Glückwunsch

Sie haben gelernt, wie Sie BeyondCorp Enterprise (BCE) und die TCP-Weiterleitung für Identity-Aware Proxy (IAP) nutzen. Sie haben damit die zwei VMs windows-iap und linux-iap ohne IP-Adressen bereitgestellt und einen IAP-Tunnel konfiguriert, der Ihnen mithilfe der dritten VM Windows-Connectivity den Zugriff auf beide Instanzen ermöglicht hat.

Weitere Informationen

  • Weitere Informationen zu BeyondCorp Enterprise (BCE) und dem Zero-Trust-Sicherheitsmodell finden Sie auf der folgenden Cloud-Dokumentationswebsite.

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 16. April 2024 aktualisiert

Lab zuletzt am 5. Dezember 2023 getestet

© 2024 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.