arrow_back

Resguarda máquinas virtuales con BeyondCorp Enterprise (BCE)

Acceder Unirse
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Resguarda máquinas virtuales con BeyondCorp Enterprise (BCE)

Lab 1 hora 30 minutos universal_currency_alt 5 créditos show_chart Intermedio
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

GSP1036

Labs de autoaprendizaje de Google Cloud

Descripción general

En este lab, aprenderás a usar BeyondCorp Enterprise (BCE) y el reenvío de TCP de Identity-Aware Proxy (IAP) para habilitar el acceso de administrador a las instancias de VM que no tienen direcciones IP externas o no permiten el acceso directo a través de Internet.

Qué aprenderás

  • Habilitar el reenvío de TCP de IAP en tu proyecto de Google Cloud
  • Probar la conectividad con tus instancias de Linux y Windows
  • Configurar las reglas de firewall necesarias para BCE
  • Otorgar permisos para usar el reenvío de TCP de IAP
  • Demostrar la tunelización con conexiones SSH y RDP

Configuración

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

  • Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)
Nota: Usa una ventana de navegador privada o de Incógnito para ejecutar este lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.
  • Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.
Nota: Si ya tienes un proyecto o una cuenta personal de Google Cloud, no los uses en este lab para evitar cargos adicionales en tu cuenta.

Cómo iniciar su lab y acceder a la consola de Google Cloud

  1. Haga clic en el botón Comenzar lab. Si debe pagar por el lab, se abrirá una ventana emergente para que seleccione su forma de pago. A la izquierda, se encuentra el panel Detalles del lab que tiene estos elementos:

    • El botón Abrir la consola de Google
    • Tiempo restante
    • Las credenciales temporales que debe usar para el lab
    • Otra información para completar el lab, si es necesaria

  2. Haga clic en Abrir la consola de Google. El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

    Sugerencia: Ordene las pestañas en ventanas separadas, una junto a la otra.

    Nota: Si ve el diálogo Elegir una cuenta, haga clic en Usar otra cuenta.

  3. Si es necesario, copie el nombre de usuario del panel Detalles del lab y péguelo en el cuadro de diálogo Acceder. Haga clic en Siguiente.

  4. Copie la contraseña del panel Detalles del lab y péguela en el cuadro de diálogo de bienvenida. Haga clic en Siguiente.

    Importante: Debe usar las credenciales del panel de la izquierda. No use sus credenciales de Google Cloud Skills Boost. Nota: Usar su propia Cuenta de Google podría generar cargos adicionales.

  5. Haga clic para avanzar por las páginas siguientes:

    • Acepte los términos y condiciones.
    • No agregue opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
    • No se registre para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Cloud en esta pestaña.

Nota: Para ver el menú con una lista de los productos y servicios de Google Cloud, haga clic en el Menú de navegación que se encuentra en la parte superior izquierda de la pantalla. Ícono del menú de navegación

Necesitarás un cliente de RDP previamente instalado para que puedas conectar y probar instancias de Windows.

Tarea 1. Habilita el reenvío de TCP de IAP en tu proyecto de Google Cloud

  1. Abre el menú de navegación y selecciona APIs y servicios > Biblioteca.

  2. Busca IAP y selecciona la API de Cloud Identity-Aware Proxy.

  3. Haz clic en Habilitar.

API de Cloud Identity-Aware Proxy

Tarea 2. Crea instancias de Linux y Windows

Crea tres instancias para este lab: - Dos para demostración (Linux y Windows) - Una para probar la conectividad (Windows)

Instancia de Linux

  1. Abre el menú de navegación y selecciona Compute Engine.

  2. Haz clic en Crear instancia y usa la siguiente configuración para crear una VM. Conserva el resto de los valores predeterminados.

  • Nombre: linux-iap
  • Zona:

  1. Haz clic en Opciones avanzadas y selecciona Redes. En Interfaces de red, haz clic en la red predeterminada para editarla. Luego, cambia la dirección IPv4 externa a Ninguna.

  2. Haz clic en Listo.

    Completa la información de la interfaz de red

  3. Luego, haz clic en Crear. Esta VM se denominará linux-iap.

Instancias de Windows

  1. Para crear la VM de demostración de Windows, haz clic en Crear instancia y usa la siguiente configuración para crear una VM. Conserva el resto de los valores predeterminados.
  • Nombre: windows-iap
  • Zona:
  • En la sección Disco de arranque, haz clic en Cambiar.

  1. Para el SO, selecciona lo siguiente:

    • Imágenes públicas > Sistema operativo > Windows Server
    • Versión > Windows Server 2016 Datacenter

    Selección de la versión de Windows

  2. Haz clic en Seleccionar.

  3. Haz clic en Opciones avanzadas y selecciona Redes. En Interfaces de red, haz clic en la red predeterminada para editarla. Luego, cambia la dirección IPv4 externa a Ninguna. Haz clic en Listo.

  4. Luego, haz clic en Crear. Esta VM se denominará windows-iap.

  5. Para crear la VM de conectividad de Windows, haz clic en Crear instancia y usa la siguiente configuración para crear una VM. Conserva el resto de los valores predeterminados.

  • Nombre: windows-connectivity
  • Zona:
  • En la sección Disco de arranque, haz clic en Cambiar.

  1. Para el SO, establece lo siguiente en la pestaña Imágenes personalizadas:

    • Proyecto de origen para las imágenes: Qwiklabs Resources
    • Imagen: iap-desktop-v001

  2. Haz clic en Seleccionar.

  3. En Permisos de acceso, selecciona Permitir el acceso total a todas las APIs de Cloud.

    No inhabilites la IP externa para esta instancia.

  4. Luego, haz clic en Crear. Esta VM se denominará windows-connectivity.

Comprobar que se hayan creado las 3 instancias

Tarea 3. Prueba la conectividad con tus instancias de Linux y Windows

  1. Después de crear las instancias, probarás el acceso a linux-iap y windows-iap para asegurarte de que no puedes acceder a las VMs sin la IP externa.

  2. Para linux-iap, haz clic en el botón SSH para acceder a la máquina y asegúrate de recibir un mensaje similar al siguiente:

    No se pudo establecer la conexión a Linux

  3. Para windows-iap, haz clic en el botón RDP y asegúrate de recibir un mensaje similar al siguiente:

    No se pudo establecer la conexión a Windows

Los siguientes pasos para configurar y usar IAP te permitirán conectarte a las instancias que no tienen IPs externas.

Tarea 4. Configura las reglas de firewall necesarias para BCE

  1. Abre el menú de navegación, selecciona Red de VPC > Firewall y haz clic en Crear una regla de firewall.

  2. Establece la siguiente configuración:

Campo Parámetro de configuración
Nombre allow-ingress-from-iap
Dirección del tráfico Entrada
Objetivo Todas las instancias de la red
Filtro de origen Rangos IPv4
Rangos IPv4 de origen 35.235.240.0/20
Protocolos y puertos Selecciona TCP y, luego, ingresa 22, 3389 para permitir SSH y RDP respectivamente
  1. Haz clic en CREAR para crear la regla de firewall.
Comprobar que se hayan creado las reglas de firewall adecuadas

Tarea 5. Otorga permisos para usar el reenvío de TCP de IAP

Sigue estos pasos para configurar el rol de iap.tunnelResourceAccessor por la VM.

  1. Abre el menú de navegación y selecciona Seguridad > Identity-Aware Proxy, cambia a la pestaña Recursos de SSH y TCP (puedes ignorar el error de la pantalla de consentimiento de OAuth en la sección HTTPS).
  2. Selecciona las instancias de VM de linux-iap y windows-iap.
  3. Haz clic en Agregar permisos de la cuenta principal, luego, ingresa a la cuenta de servicio asociada con tu VM de conectividad de Windows. Debe tener el formato -compute@developer.gserviceaccount.com.
  4. Selecciona Cloud IAP > Usuario de túnel protegido con IAP para el rol.
  5. Haz clic en GUARDAR.
  6. Desde la parte superior derecha de la página, haz clic en el ícono de “S” para abrir tu perfil y copiar el correo electrónico de la cuenta de estudiante.
  7. Vuelve a hacer clic en Agregar permisos de la cuenta principal para agregar la cuenta de estudiante.
  8. Accede a la cuenta de estudiante. Puedes copiar este valor desde el panel de detalles del lab.
  9. Selecciona Cloud IAP > Usuario de túnel protegido con IAP para el rol.
  10. Haz clic en GUARDAR.
El rol de usuario de túnel protegido con IAP le otorgará a la instancia de windows-connectivity permiso para conectarse a los recursos con IAP. Agregar la cuenta de estudiante te ayudará a verificar que el paso se ejecutó correctamente.

Agregar principales

Comprobar que los roles de IAM se hayan configurado para la cuenta de servicio

Tarea 5. Usa IAP Desktop para conectarte a las instancias de Windows y Linux

Es posible usar IAP Desktop para conectarse a instancias con una interfaz gráfica de usuario desde una instancia con el escritorio de Windows. Puedes obtener más información sobre IAP Desktop en el repositorio de GitHub que aloja la descarga de la herramienta.

Para usar IAP Desktop para conectarse a las instancias de este lab, sigue estos pasos:

  1. Usa RDP para acceder a la instancia de windows-connectivity, para ello, descarga el archivo de RDP. Ve a la página Compute Engine > Instancias de VM. Selecciona la flecha hacia abajo junto a la instancia de windows-connectivity en la página de destino de Compute Engine y descarga el archivo.

  2. Abre el archivo de RDP para conectarte a la instancia a través del protocolo de escritorio remoto. Usarás las siguientes credenciales para conectarte a la instancia cuando se soliciten:

  • Nombre de usuario: student
  • Contraseña: Learn123!

  1. Una vez que te hayas conectado a la instancia de windows-connectivity, ubica y abre la aplicación de IAP Desktop en el escritorio de la instancia.

  2. Cuando se abra la aplicación, haz clic en el botón Acceder con Google para ingresar a la cuenta. Usa el nombre de usuario y la contraseña proporcionados en la consola del lab para autenticarte con IAP Desktop. Asegúrate de seleccionar la opción para “Ver, editar, configurar y borrar tus datos de Google Cloud”.

oauth_permissions.png

  1. Deberás agregar el proyecto para conectarte a instancias de Compute Engine en IAP Desktop después de la autenticación. Selecciona el proyecto de lab asociado con tu instancia del lab:

add_project.png

Haz doble clic en la instancia windows-iap en la aplicación IAP Desktop para acceder a la instancia.

  1. Es posible que se te pida proporcionar credenciales para la instancia la primera vez que intentes conectarte a través de IAP Desktop. Selecciona “Generar nuevas credenciales” la primera vez que accedas a la instancia.

credentials.png

  1. Después de crear las credenciales, se te dirigirá al escritorio de la instancia windows-iap y podrás ver la experiencia del usuario final.

windows_iap.png

Tarea 6. Demuestra la tunelización con conexiones SSH y RDP

  1. Probarás la conectividad de la instancia de RDP con un cliente de RDP. Esto se debe a que tienes que conectarte a la instancia a través de un túnel de IAP localmente.

  2. Ve a la página Compute Engine > Instancias de VM.

  3. Para la instancia windows-connectivity, haz clic en la flecha hacia abajo y selecciona Configurar contraseña de Windows. Copia la contraseña y guárdala.

Luego, haz clic en la flecha hacia abajo junto a Establecer conexión y haz clic en Descargar el archivo de RDP. Abre el archivo de RDP con tu cliente y, luego, ingresa tu contraseña.

  1. Después de conectarte a la instancia windows-connectivity, abre el SDK de Google Cloud Shell:
Ícono de escritorio del SDK de Google Cloud Shell

Ahora, desde la línea de comandos, ingresa el siguiente comando para comprobar si puedes conectarte a la instancia linux-iap:

gcloud compute ssh linux-iap

Haz clic en Y cuando se te solicite para continuar y seleccionar la zona:

Asegúrate de seleccionar la zona correcta para la instancia cuando se te solicite.

Luego, acepta la alerta de seguridad de Putty.

Deberías recibir un mensaje en el que se indique que no se encontró ninguna dirección IP externa y que se usará la tunelización de IAP.

Resultado en el que se muestra que no se encontró ninguna dirección IP externa

Actualiza la configuración de Putty para permitir conexiones de túnel localmente. Haz clic en la esquina superior izquierda de la ventana de Putty > Cambiar la configuración.

Configuración de Putty

Permite que los puertos locales acepten conexiones de otros hosts, para ello, marca la casilla de verificación de “Local ports accept connections from other hosts”. Configuración de túnel

  1. Cierra la sesión de Putty y haz clic en Aplicar. Usa el siguiente comando para crear un túnel encriptado hacia el puerto de RDP de la instancia de VM:
gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

Una vez que veas el mensaje “Listening on port [XXX]”, copia el número de puerto del túnel.

  1. Vuelve a la consola de Google Cloud y ve a Compute Engine > Instancias de VM.

Configura y copia la contraseña de la instancia windows-iap.

Ahora, vuelve a la sesión de RDP.

Deja gcloud en ejecución y abre la app de Conexión de escritorio remoto de Microsoft Windows.

Ingresa el extremo del túnel, es decir, el número de puerto del túnel del paso anterior, de la siguiente manera:

  • localhost:endpoint

    6

Haz clic en Conectar.

Luego, ingresa las credenciales que copiaste antes. Ya te conectaste correctamente a tu instancia a través de RDP.

Cuando se te solicite, haz clic en .

Página de la instancia de RDP de Windows 10

Pudiste acceder a la instancia incluso sin una dirección IP externa a través de IAP. Confirmar que se puede acceder a la VM a través de acceso protegido habilitado con IAP ¡Felicitaciones! Pudiste conectarte correctamente a ambas instancias con IAP.

¡Felicitaciones!

Aprendiste a usar BeyondCorp Enterprise (BCE) y el reenvío de TCP de Identity-Aware Proxy (IAP) a través de la implementación de 2 VMs, windows-iap y linux-iap, sin direcciones IP y configuraste un túnel de IAP que te otorgó acceso a ambas instancias con una tercera VM, windows-connectivity.

Próximos pasos y más información

Capacitación y certificación de Google Cloud

Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.

Última actualización del manual: 16 de abril de 2024

Prueba más reciente del lab: 5 de diciembre de 2023

Copyright 2024 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.