GSP1036

Ringkasan

Di lab ini, Anda akan mempelajari cara menggunakan BeyondCorp Enterprise (BCE) dan penerusan TCP Identity-Aware Proxy (IAP) untuk mengaktifkan akses administratif ke instance VM yang tidak memiliki alamat IP eksternal atau tidak mengizinkan akses langsung melalui internet.

Yang akan Anda pelajari

• Mengaktifkan penerusan TCP IAP di project Google Cloud
• Menguji konektivitas ke instance Linux dan Windows
• Mengonfigurasi aturan firewall yang diperlukan untuk BCE
• Memberikan izin untuk menggunakan penerusan TCP IAP
• Melakukan tunneling menggunakan koneksi SSH dan RDP

Penyiapan

Sebelum mengklik tombol Mulai Lab

Baca petunjuk ini. Lab memiliki timer dan Anda tidak dapat menjedanya. Timer, yang dimulai saat Anda mengklik Start Lab, akan menampilkan durasi ketersediaan resource Google Cloud untuk Anda.

Lab praktik ini dapat Anda gunakan untuk melakukan sendiri aktivitas lab di lingkungan cloud sungguhan, bukan di lingkungan demo atau simulasi. Untuk mengakses lab ini, Anda akan diberi kredensial baru yang bersifat sementara dan dapat digunakan untuk login serta mengakses Google Cloud selama durasi lab.

Untuk menyelesaikan lab ini, Anda memerlukan:

• Akses ke browser internet standar (disarankan browser Chrome).

Catatan: Gunakan jendela Samaran atau browser pribadi untuk menjalankan lab ini. Hal ini akan mencegah konflik antara akun pribadi Anda dan akun Siswa yang dapat menyebabkan tagihan ekstra pada akun pribadi Anda.

• Waktu untuk menyelesaikan lab. Ingat, setelah dimulai, lab tidak dapat dijeda.

Catatan: Jika Anda sudah memiliki project atau akun pribadi Google Cloud, jangan menggunakannya untuk lab ini agar terhindar dari tagihan ekstra pada akun Anda.

Cara memulai lab dan login ke Google Cloud Console

1. Klik tombol Start Lab. Jika Anda perlu membayar lab, jendela pop-up akan terbuka untuk memilih metode pembayaran. Di sebelah kiri adalah panel Lab Details dengan berikut ini:

   • Tombol Open Google Console
   • Waktu tersisa
   • Kredensial sementara yang harus Anda gunakan untuk lab ini
   • Informasi lain, jika diperlukan, untuk menyelesaikan lab ini

2. Klik Open Google Console. Lab akan menjalankan resource, lalu membuka tab lain yang menampilkan halaman Login.

   Tips: Atur tab di jendela terpisah secara berdampingan.

   Catatan: Jika Anda melihat dialog Choose an account, klik Use Another Account.

3. Jika perlu, salin Username dari panel Lab Details dan tempel ke dialog Sign in. Klik Next.

4. Salin Password dari panel Lab Details dan tempel ke dialog Welcome. Klik Next.

   Penting: Anda harus menggunakan kredensial dari panel sebelah kiri. Jangan menggunakan kredensial Google Cloud Skills Boost. Catatan: Menggunakan akun Google Cloud sendiri untuk lab ini dapat dikenai biaya tambahan.

5. Klik halaman berikutnya:

   • Setujui persyaratan dan ketentuan.
   • Jangan tambahkan opsi pemulihan atau autentikasi 2 langkah (karena ini akun sementara).
   • Jangan daftar uji coba gratis.

Setelah beberapa saat, Cloud Console akan terbuka di tab ini.

Catatan: Anda dapat melihat menu dengan daftar Produk dan Layanan Google Cloud dengan mengklik Menu navigasi di kiri atas.

Anda perlu menginstal klien RDP terlebih dahulu agar dapat menghubungkan dan menguji instance Windows.

Tugas 1. Mengaktifkan penerusan TCP IAP di project Google Cloud

1. Buka Navigation Menu, lalu pilih APIs and Services > Library.

2. Telusuri IAP, lalu pilih Cloud Identity-Aware Proxy API.

3. Klik Enable.

Tugas 2. Membuat instance Linux dan Windows

Buat tiga instance untuk lab ini: - Dua untuk tujuan demonstrasi (Linux dan Windows) - Satu untuk menguji konektivitas (Windows)

Instance Linux

1. Buka Navigation Menu, lalu pilih Compute Engine.

2. Klik Create instance dan gunakan konfigurasi berikut untuk membuat VM. Jangan mengubah nilai default pada bagian lainnya.

• Name: linux-iap
• Zone:

4. Klik Advanced options, lalu pilih Networking. Pada bagian Network interfaces, klik jaringan default untuk mengeditnya. Lalu, ubah External IPV4 address ke None.

5. Klik Done.

   

6. Setelah itu, klik Create. VM ini akan disebut sebagai linux-iap

Instance Windows

1. Untuk membuat VM Demo Windows, klik Create instance dan gunakan konfigurasi berikut untuk membuat VM. Jangan mengubah nilai default pada bagian lainnya.

• Name: windows-iap
• Zone:
• Pada bagian boot disk, klik Change

2. Untuk OS, pilih hal-hal berikut:

   • Public Images > Operating system > Windows Server
   • Version > Windows Server 2016 Datacenter

   

3. Klik Select.

4. Klik Advanced options, lalu pilih Networking. Pada bagian Network interfaces, klik jaringan default untuk mengeditnya. Lalu, ubah External IPV4 address ke None. Klik Done.

5. Setelah itu, klik Create. VM ini akan disebut sebagai windows-iap

6. Untuk membuat VM Windows Connectivity, klik Create instance dan gunakan konfigurasi berikut untuk membuat VM. Jangan mengubah nilai default pada bagian lainnya.

• Name: windows-connectivity
• Zone:
• Pada bagian boot disk, klik Change

7. Untuk OS, tetapkan hal-hal berikut di tab Custom Images:

   • Source project for images: Qwiklabs Resources
   • Image: iap-desktop-v001

8. Klik Select.

9. Di bagian Access scope, pilih Allow full access to all Cloud APIs.

   Jangan menonaktifkan IP eksternal untuk instance ini

10. Setelah itu, klik Create. VM ini akan disebut sebagai windows-connectivity

Memastikan ketiga instance ini telah dibuat

Tugas 3. Menguji konektivitas ke instance Linux dan Windows

1. Setelah instance dibuat, Anda akan menguji akses ke linux-iap dan windows-iap untuk memastikan bahwa Anda tidak dapat mengakses VM tanpa IP eksternal.

2. Untuk linux-iap, klik tombol SSH untuk masuk ke mesin tersebut dan pastikan Anda menerima pesan yang mirip seperti ini:

   

3. Untuk windows-iap, klik tombol RDP dan pastikan Anda menerima pesan yang mirip seperti ini:

   

Langkah-langkah selanjutnya untuk mengonfigurasi dan menggunakan IAP akan memungkinkan Anda terhubung ke instance yang tidak memiliki IP eksternal.

Tugas 4. Mengonfigurasi aturan firewall yang diperlukan untuk BCE

1. Buka Navigation Menu, pilih VPC Network > Firewall, lalu klik Create Firewall Rule

2. Konfigurasi setelan berikut:

Kolom	Setelan
Name	allow-ingress-from-iap
Direction of traffic	Ingress
Target	All instances in the network
Source filter	IPv4 Ranges
Source IPv4 Ranges	35.235.240.0/20
Protocols and ports	Pilih TCP dan masukkan 22, 3389 untuk mengizinkan SSH dan RDP

3. Klik CREATE untuk membuat aturan firewall.

Memastikan aturan firewall yang tepat telah dibuat.

Tugas 5. Memberikan izin untuk menggunakan penerusan TCP IAP

Gunakan langkah-langkah berikut untuk mengonfigurasi peran iap.tunnelResourceAccessor oleh VM.

1. Buka Navigation Menu, pilih Security > Identity-Aware Proxy, lalu pindah ke tab SSH and TCP Resources (abaikan pesan error terkait Oauth Consent screen di bagian HTTPS).
2. Pilih instance VM linux-iap dan windows-iap.
3. Klik Add principal, lalu masukkan akun layanan yang terkait dengan VM Windows connectivity Anda. Format akun layanan ini adalah -compute@developer.gserviceaccount.com.
4. Untuk perannya, pilih Cloud IAP > IAP-Secured Tunnel User.
5. Klik SAVE.
6. Di bagian kanan atas halaman, klik ikon "S" untuk membuka profil Anda dan menyalin email akun siswa.
7. Klik Add principal lagi untuk menambahkan akun siswa Anda.
8. Masukkan akun siswa. Anda dapat menyalin nilai ini dari panel detail lab.
9. Untuk perannya, pilih Cloud IAP > IAP-Secured Tunnel User.
10. Klik SAVE.

Peran "IAP-Secured Tunnel User" akan mengizinkan instance windows-connectivity untuk terhubung ke resource menggunakan IAP. Menambahkan akun siswa akan membantu Anda memverifikasi bahwa langkah-langkah yang ditentukan telah dilakukan dengan benar.

Memastikan peran IAM telah ditetapkan untuk akun layanan.

Tugas 5. Menggunakan IAP Desktop untuk menghubungkan ke instance Windows dan Linux

IAP Desktop dapat digunakan untuk terhubung ke instance menggunakan antarmuka pengguna grafis (GUI) dari instance dengan Windows Desktop. Anda dapat membaca selengkapnya tentang IAP Desktop di repositori GitHub yang menghosting download untuk alat tersebut.

Untuk menggunakan IAP Desktop agar terhubung ke instance di lab ini:

1. RDP ke instance windows-connectivity dengan mendownload file RDP. Buka halaman Compute Engine > VM Instances. Pilih panah bawah di samping instance windows-connectivity pada halaman landing Compute Engine, lalu download filenya.

2. Buka file RDP untuk terhubung ke instance melalui Remote Desktop Protocol. Anda akan menggunakan kredensial di bawah ini untuk terhubung ke instance setelah diminta:

• Username: student
• Password: Learn123!

3. Setelah terhubung ke instance windows-connectivity, temukan dan buka aplikasi IAP Desktop pada desktop instance tersebut.

4. Setelah aplikasi tersebut terbuka, klik tombol "Sign in with Google" untuk login. Gunakan nama pengguna dan sandi yang disediakan di konsol lab untuk melakukan autentikasi dengan IAP Desktop. Pastikan Anda memilih opsi "See, edit, configure and delete Google Cloud data."

5. Anda harus menambahkan project untuk terhubung ke instance Compute Engine di dalam IAP Desktop setelah autentikasi. Pilih project lab yang terkait dengan instance lab Anda:

Klik dua kali pada instance windows-iap di aplikasi IAP Desktop untuk login ke instance tersebut.

6. Anda mungkin diminta untuk menyediakan kredensial untuk instance tersebut saat pertama kali mencoba terhubung melalui IAP Desktop. Pilih "Generate new credentials" saat pertama kali login ke instance.

7. Setelah kredensial dibuat, Anda akan diarahkan ke desktop instance windows-iap dan dapat melihat pengalaman pengguna akhir.

Tugas 6. Melakukan tunneling menggunakan koneksi SSH dan RDP

1. Anda akan menguji konektivitas ke instance RDP menggunakan klien RDP. Hal ini dilakukan karena Anda perlu terhubung ke instance melalui tunnel IAP secara lokal.

2. Buka halaman Compute Engine > VM Instances.

3. Untuk instance windows-connectivity, klik panah bawah dan pilih Set windows password. Salin dan simpan sandi tersebut.

Lalu, klik panah bawah pada bagian Connect dan klik download file RDP. Buka file RDP dengan klien Anda dan masukkan sandi Anda.

4. Setelah terhubung ke instance windows-connectivity, buka Google Cloud SDK Shell:

Sekarang, masukkan perintah berikut dari command line untuk melihat apakah Anda dapat terhubung ke linux-iap instance atau tidak:

gcloud compute ssh linux-iap

Klik Y saat diminta untuk melanjutkan dan memilih zona.

Pastikan Anda memilih zona yang tepat untuk instance saat diminta.

Lalu, klik Accept pada jendela PuTTY Security Alert yang muncul.

Anda akan menerima pesan bahwa alamat IP eksternal tidak ditemukan dan tunneling IAP akan digunakan.

Perbarui setelan PuTTY untuk mengizinkan koneksi Tunnel secara lokal. Klik pojok kiri atas PuTTY Window > Change Settings.

Izinkan port lokal untuk menerima koneksi dari host lain dengan mencentang kotak "Local ports accept connections from other hosts".

5. Tutup sesi PuTTY dan klik Apply. Gunakan perintah berikut untuk membuat tunnel terenkripsi ke port RDP dari instance VM:

gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

Setelah Anda melihat pesan “Listening on port [XXX].”, salin nomor port tunnel.

6. Kembali ke Konsol Google Cloud dan buka halaman Compute Engine > VM Instances.

Tetapkan dan salin sandi untuk instance windows-iap.

Kembali ke sesi RDP sekarang.

Biarkan gcloud tetap berjalan dan buka aplikasi Remote Desktop Connection dari Microsoft Windows.

Masukkan endpoint tunnel, dengan endpoint adalah nomor port tunnel dari langkah sebelumnya:

• localhost:endpoint

  

Klik Connect.

Lalu, masukkan kredensial sebelumnya yang telah Anda salin. Sekarang Anda berhasil melakukan RDP ke instance Anda.

Jika diminta, klik Yes.

Anda dapat mengakses instance walau tanpa alamat IP eksternal menggunakan IAP Mengonfirmasi bahwa VM dapat diakses melalui akun layanan yang diaktifkan IAP Selamat! Anda telah berhasil terhubung ke kedua instance dengan menggunakan IAP.

Selamat

Anda telah mempelajari cara menggunakan BeyondCorp Enterprise (BCE) dan penerusan TCP Identity-Aware Proxy (IAP) dengan men-deploy 2 VM, windows-iap dan linux-iap, tanpa alamat IP dan mengonfigurasi tunnel IAP yang memberi Anda akses ke kedua instance tersebut menggunakan VM ketiga, windows-connectivity.

Langkah berikutnya/Pelajari lebih lanjut

• Baca selengkapnya tentang BeyondCorp Enterprise (BCE) dan model keamanan zero-trust di situs dokumentasi cloud berikut.

Sertifikasi dan pelatihan Google Cloud

...membantu Anda mengoptimalkan teknologi Google Cloud. Kelas kami mencakup keterampilan teknis dan praktik terbaik untuk membantu Anda memahami dengan cepat dan melanjutkan proses pembelajaran. Kami menawarkan pelatihan tingkat dasar hingga lanjutan dengan opsi on demand, live, dan virtual untuk menyesuaikan dengan jadwal Anda yang sibuk. Sertifikasi membantu Anda memvalidasi dan membuktikan keterampilan serta keahlian Anda dalam teknologi Google Cloud.

Manual Terakhir Diperbarui pada 16 April 2024

Lab Terakhir Diuji pada 5 Desember 2023

Hak cipta 2024 Google LLC Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.