arrow_back

Protezione delle macchine virtuali utilizzando BeyondCorp Enterprise (BCE)

Accedi Partecipa
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Protezione delle macchine virtuali utilizzando BeyondCorp Enterprise (BCE)

Lab 1 ora 30 minuti universal_currency_alt 5 crediti show_chart Intermedio
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

GSP1036

Laboratori autogestiti Google Cloud

Panoramica

In questo lab imparerai come utilizzare BeyondCorp Enterprise (BCE) e l'inoltro TCP di Identity-Aware Proxy (IAP) per abilitare l'accesso amministrativo alle istanze VM che non dispongono di indirizzi IP esterni o che non consentono l'accesso diretto su internet.

Cosa imparerai a fare:

  • Abilitare l'inoltro TCP di IAP nel tuo progetto Google Cloud
  • Testare la connettività alle tue istanze Linux e Windows
  • Configurare le regole firewall richieste per BCE
  • Concedere le autorizzazioni per utilizzare l'inoltro TCP di IAP
  • Illustrare il tunneling utilizzando connessioni SSH e RDP

Configurazione

Prima di fare clic sul pulsante Avvia lab

Leggi le seguenti istruzioni. I lab sono a tempo e non possono essere messi in pausa. Il timer si avvia quando fai clic su Avvia lab e ti mostra per quanto tempo avrai a disposizione le risorse Google Cloud.

Con questo lab pratico avrai la possibilità di completare le attività in prima persona, in un ambiente cloud reale e non di simulazione o demo. Riceverai delle nuove credenziali temporanee che potrai utilizzare per accedere a Google Cloud per la durata del lab.

Per completare il lab, avrai bisogno di:

  • Accesso a un browser internet standard (Chrome è il browser consigliato).
Nota: utilizza una finestra del browser in incognito o privata per eseguire questo lab. Ciò evita eventuali conflitti tra il tuo account personale e l'account Studente, che potrebbero causare addebiti aggiuntivi sul tuo account personale.
  • È ora di completare il lab: ricorda che, una volta iniziato, non puoi metterlo in pausa.
Nota: se hai già un account o un progetto Google Cloud personale, non utilizzarlo per questo lab per evitare addebiti aggiuntivi al tuo account.

Come avviare il lab e accedere alla console Google Cloud

  1. Fai clic sul pulsante Avvia lab. Se devi effettuare il pagamento per il lab, si apre una finestra popup per permetterti di selezionare il metodo di pagamento. A sinistra, trovi il riquadro Dettagli lab con le seguenti informazioni:

    • Pulsante Apri console Google
    • Tempo rimanente
    • Credenziali temporanee da utilizzare per il lab
    • Altre informazioni per seguire questo lab, se necessario

  2. Fai clic su Apri console Google. Il lab avvia le risorse e apre un'altra scheda con la pagina di accesso.

    Suggerimento: disponi le schede in finestre separate posizionate fianco a fianco.

    Note: se visualizzi la finestra di dialogo Scegli un account, fai clic su Utilizza un altro account.

  3. Se necessario, copia il Nome utente dal riquadro Dettagli lab e incollalo nella finestra di dialogo di accesso. Fai clic su Avanti.

  4. Copia la Password dal riquadro Dettagli lab e incollala nella finestra di dialogo di benvenuto. Fai clic su Avanti.

    Importante: devi utilizzare le credenziali presenti nel riquadro di sinistra. Non utilizzare le tue credenziali Google Cloud Skills Boost. Nota: utilizzare il tuo account Google Cloud per questo lab potrebbe comportare addebiti aggiuntivi.

  5. Fai clic nelle pagine successive:

    • Accetta i termini e le condizioni.
    • Non inserire opzioni di recupero o l'autenticazione a due fattori, perché si tratta di un account temporaneo.
    • Non registrarti per le prove gratuite.

Dopo qualche istante, la console Google Cloud si apre in questa scheda.

Nota: puoi visualizzare il menu con un elenco di prodotti e servizi Google Cloud facendo clic sul menu di navigazione in alto a sinistra. Icona menu di navigazione

Avrai bisogno di un client RDP preinstallato per poter connettere e testare le istanze Windows.

Attività 1: abilita l'inoltro TCP di IAP nel tuo progetto Google Cloud

  1. Apri il menu di navigazione e seleziona API e servizi > Libreria.

  2. Cerca IAP e seleziona Cloud Identity-Aware Proxy API.

  3. Fai clic su Abilita.

API Cloud Identity-Aware Proxy

Attività 2: crea istanze Linux e Windows

Crea tre istanze per questo lab: - Due a scopo dimostrativo (Linux e Windows) - Una per testare la connettività (Windows)

Istanza Linux

  1. Apri il menu di navigazione e seleziona Compute Engine.

  2. Fai clic su Crea istanza e utilizza la seguente configurazione per creare una VM. Mantieni tutte le altre impostazioni predefinite.

  • Nome: linux-iap
  • Zona:

  1. Fai clic su Opzioni avanzate e seleziona Networking. In interfacce di rete fai clic sulla rete predefinita da modificare. Quindi cambia l'indirizzo IPV4 esterno in Nessuno.

  2. Fai clic su Fine.

    esci dal modulo di configurazione dell'interfaccia di rete

  3. Quindi, fai clic su Crea. Questa VM verrà indicata come linux-iap

Istanze Windows

  1. Per creare la VM demo Windows fai clic su Crea istanza e utilizza la seguente configurazione per creare una VM. Mantieni tutte le altre impostazioni predefinite.
  • Nome: windows-iap
  • Zona:
  • Nella sezione disco di avvio, fai clic su Cambia

  1. Per il sistema operativo, seleziona le seguenti opzioni:

    • Immagini pubbliche > Sistema operativo > Windows Server
    • Versione > Windows Server 2016 Datacenter

    Selezione della versione di Windows

  2. Fai clic su Seleziona.

  3. Fai clic su Opzioni avanzate e seleziona Networking. In interfacce di rete fai clic sulla rete predefinita da modificare. Quindi cambia l'indirizzo IPV4 esterno in Nessuno. Fai clic su Fine.

  4. Quindi, fai clic su Crea. Questa VM verrà indicata come windows-iap

  5. Per creare la VM di connettività Windows fai clic su Crea istanza e utilizza la seguente configurazione per creare una VM. Mantieni tutte le altre impostazioni predefinite.

  • Nome: windows-connectivity
  • Zona:
  • Nella sezione disco di avvio, fai clic su Cambia

  1. Per il sistema operativo, imposta le seguenti opzioni nella scheda Immagini personalizzate:

    • Progetto di origine per le immagini: Qwiklabs Resources
    • Immagine: iap-desktop-v001

  2. Fai clic su Seleziona.

  3. Per gli ambiti di accesso, seleziona Consenti l'accesso completo a tutte le API Cloud

    Non disabilitare l'IP esterno per questa istanza

  4. Quindi, fai clic su Crea. Questa VM verrà indicata come windows-connectivity

Verifica che siano state create tutte e tre le istanze

Attività 3: testa la connettività alle tue istanze Linux e Windows

  1. Dopo aver creato le istanze, testerai l'accesso a linux-iap e windows-iap per assicurarti di non essere in grado di accedere alle VM senza l'IP esterno.

  2. Per linux-iap fai clic sul pulsante SSH per accedere alla macchina e assicurarti di ricevere un messaggio simile al seguente.

    connessione linux non riuscita

  3. Per windows-iap: fai clic sul pulsante RDP e assicurati di ricevere un messaggio simile al seguente:

    connessione windows non riuscita

I seguenti passaggi per la configurazione e l'utilizzo di IAP ti consentiranno di connetterti alle istanze che non dispongono di IP esterni.

Attività 4: configura le regole firewall richieste per BCE

  1. Apri il menu di navigazione e seleziona Rete VPC > Firewall e fai clic su Crea regola firewall

  2. Configura le seguenti impostazioni:

Campo Impostazione
Nome allow-ingress-from-iap
Direzione del traffico In entrata
Destinazione Tutte le istanze nella rete
Filtro di origine Intervalli IPv4
Intervalli IPv4 di origine 35.235.240.0/20
Protocolli e porte Seleziona TCP e inserisci 22, 3389 per consentire sia RDP che SSH, rispettivamente
  1. Fai clic su CREA per creare la regola firewall.
Verifica che siano state create le regole firewall corrette.

Attività 5: concedi le autorizzazioni per utilizzare l'inoltro TCP di IAP

Per configurare il ruolo iap.tunnelResourceAccessor per VM, procedi nel seguente modo.

  1. Apri il menu di navigazione e seleziona Sicurezza > Identity-Aware Proxy e passa alla scheda Risorse SSH e TCP (ignora senza problemi l'errore della schermata per il consenso OAuth nella sezione HTTPS).
  2. Seleziona le istanze VM linux-iap e windows-iap.
  3. Fai clic su Aggiungi entità, quindi immetti il service account associato alla tua VM di connettività Windows. Dovrebbe essere nel formato -compute@developer.gserviceaccount.com.
  4. Seleziona Cloud IAP > Utente del tunnel con protezione IAP come ruolo.
  5. Fai clic su SALVA.
  6. Dall'angolo in alto a destra della pagina, fai clic sull'icona "S" per aprire il tuo profilo e copiare l'email dell'account studente.
  7. Fai di nuovo clic su Aggiungi entità per aggiungere il tuo account studente.
  8. Inserisci l'account studente. Puoi copiare questo valore dal riquadro dei dettagli del lab.
  9. Seleziona Cloud IAP > Utente del tunnel con protezione IAP come ruolo.
  10. Fai clic su SALVA.
Il ruolo Utente del tunnel con protezione IAP consentirà all'istanza windows-connectivity di connettersi alle risorse tramite IAP. L'aggiunta dell'account studente aiuterà a verificare che il passaggio sia stato eseguito correttamente.

Aggiungi entità

Verifica che siano stati impostati i ruoli IAM per il service account.

Attività 5: utilizza IAP Desktop per connetterti alle istanze Windows e Linux

Puoi utilizzare IAP Desktop per connetterti alle istanze tramite una Graphic User Interface da un'istanza con Windows Desktop. Per saperne di più su IAP Desktop nel repository GitHub che ospita il download dello strumento.

Per utilizzare IAP Desktop per connetterti alle istanze in questo lab:

  1. Connettiti tramite RDP all'istanza windows-connectivity scaricando il file RDP. Vai alla pagina Compute Engine > Istanze VM. Seleziona la Freccia giù accanto all'istanza windows-connectivity nella pagina di destinazione di Compute Engine e scarica il file.

  2. Apri il file RDP per connetterti all'istanza tramite Remote Desktop Protocol. Quando vengono richieste, utilizzerai le seguenti credenziali per connetterti all'istanza:

  • Nome utente: student
  • Password: Learn123!

  1. Una volta connesso all'istanza windows-connectivity, individua e apri l'applicazione IAP Desktop sul computer dell'istanza.

  2. Una volta aperta l'applicazione, fai clic sul pulsante Accedi con Google per effettuare l'accesso. Utilizza il nome utente e la password forniti nella console del lab per autenticarti con IAP Desktop. Assicurati di selezionare l'opzione "Visualizzare, modificare, configurare ed eliminare i dati di Google Cloud".

oauth_permissions.png

  1. Dovrai aggiungere il progetto per connetterti alle istanze Compute Engine all'interno di IAP Desktop dopo l'autenticazione. Seleziona il progetto del lab associato alla tua istanza del lab:

add_project.png

Fai doppio clic sull'istanza windows-iap nell'applicazione IAP Desktop per accedere all'istanza.

  1. È possibile che ti venga richiesto di fornire le credenziali per l'istanza la prima volta che provi a connetterti tramite IAP Desktop. Seleziona "Genera nuove credenziali" la prima volta che accedi all'istanza.

credentials.png

  1. Una volta create le credenziali verrai indirizzato al desktop dell'istanza windows-iap dove potrai vedere l'esperienza dell'utente finale.

windows_iap.png

Attività 6: illustra il tunneling utilizzando connessioni SSH e RDP

  1. Ora testerai la connettività all'istanza RDP utilizzando un client RDP, perché hai la necessità di connetterti all'istanza tramite un tunnel IAP localmente.

  2. Vai alla pagina Compute Engine > Istanze VM.

  3. Per l'istanza windows-connectivity fai clic sulla Freccia giù e seleziona Imposta password di Windows. Copia la password e salvala.

Quindi fai clic sulla Freccia giù accanto a Connetti e fai clic su Scarica il file RDP. Apri il file RDP con il tuo client e inserisci la tua password.

  1. Dopo esserti connesso all'istanza windows-connectivity, apri Google Cloud SDK Shell:
Icona desktop Google Cloud SDK Shell

Ora dalla riga di comando inserisci il seguente comando per vedere se riesci a connetterti all'istanza linux-iap:

gcloud compute ssh linux-iap

Quando viene richiesto di continuare e selezionare la zona, fai clic su Y.

Quando viene richiesto, assicurati di selezionare la zona corretta per l'istanza.

Quindi accetta l'avviso di sicurezza PuTTY.

Dovresti ricevere un messaggio che indica che non è stato trovato alcun indirizzo IP esterno e che verrà utilizzato il tunneling IAP.

Output che mostra che non è stato trovato l'indirizzo IP esterno

Aggiorna le impostazioni PuTTY per consentire le connessioni tunnel localmente. Fai clic sull'angolo in alto a sinistra della finestra PuTTY > Modifica impostazioni.

Impostazioni PuTTY

Consenti alle porte locali di accettare connessioni da altri host selezionando la casella di controllo "Local ports accept connections from other hosts" (Le porte locali accettano connessioni da altri host). Impostazioni tunnel

  1. Chiudi la sessione PuTTY e fai clic su Apply (Applica). Utilizza il seguente comando per creare un tunnel criptato sulla porta RDP dell'istanza VM:
gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

Una volta visualizzato il messaggio "Listening on port [XXX]" (In ascolto sulla porta [XXX]), copia il numero della porta del tunnel.

  1. Torna alla console Google Cloud e vai alla pagina Compute Engine > Istanze VM.

Imposta e copia la password per l'istanza windows-iap.

Ora torna alla sessione RDP.

Lascia gcloud in esecuzione e apri l'app Connessione desktop remoto di Microsoft Windows.

Inserisci l'endpoint del tunnel, ovvero il numero di porta del tunnel del passaggio precedente, in questo modo:

  • localhost:endpoint

    6

Fai clic su Connect (Connetti).

Quindi inserisci le credenziali che hai copiato in precedenza. Verrà eseguita la connessione all'istanza tramite RDP.

Se richiesto, fai clic su Yes (Sì).

Pagina dell'istanza RDP di Windows 10

Sei riuscito ad accedere all'istanza anche senza un indirizzo IP esterno utilizzando IAP Verifica che la VM sia accessibile tramite account di servizio abilitato per IAP Complimenti! Hai effettuato la connessione a entrambe le istanze tramite IAP.

Complimenti

Hai imparato a utilizzare BeyondCorp Enterprise (BCE) e l'inoltro TCP di Identity-Aware Proxy (IAP) eseguendo il deployment di due VM, windows-iap e linux-iap, senza indirizzi IP e configurando un tunnel IAP che ti ha fornito accesso a entrambe le istanze utilizzando un terza VM, windows-connectivity.

Prossimi passi/Scopri di più

Formazione e certificazione Google Cloud

… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.

Ultimo aggiornamento del manuale: 16 aprile 2024

Ultimo test del lab: 5 dicembre 2023

Copyright 2024 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.