GSP1036

Informações gerais

Neste laboratório, você aprenderá a usar o encaminhamento TCP do BeyondCorp Enterprise (BCE) e do Identity-Aware Proxy (IAP) para permitir acesso administrativo a instâncias de VM que não têm endereços IP externos ou não permitem acesso direto pela Internet.

Conteúdo

• Ativar o encaminhamento TCP do IAP no seu projeto do Google Cloud
• Testar a conectividade com suas instâncias Linux e Windows
• Configurar as regras de firewall necessárias para BCE
• Conceder permissões para usar o encaminhamento de TCP do IAP
• Demonstrar tunelamento usando conexões SSH e RDP

Configuração

Antes de clicar no botão Start Lab

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.

Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você verá o seguinte:

   • O botão Abrir Console do Cloud
   • Tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações se forem necessárias

2. Clique em Abrir Console do Google. O laboratório ativa recursos e depois abre outra guia com a página Fazer login.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Caso seja preciso, copie o Nome de usuário no painel Detalhes do laboratório e cole esse nome na caixa de diálogo Fazer login. Clique em Avançar.

4. Copie a Senha no painel Detalhes do laboratório e a cole na caixa de diálogo Olá. Clique em Avançar.

   Importante: você precisa usar as credenciais do painel à esquerda. Não use suas credenciais do Google Cloud Ensina. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

5. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do GCP vai ser aberto nesta guia.

Observação: para ver uma lista dos produtos e serviços do Google Cloud, clique no Menu de navegação no canto superior esquerdo.

Você precisará de um cliente RDP pré-instalado para poder conectar e testar instâncias do Windows.

Tarefa 1: ativar o encaminhamento TCP do IAP no seu projeto do Google Cloud

1. Abra o menu de navegação e selecione APIs e serviços > Biblioteca.

2. Pesquise IAP e selecione API Cloud Identity-Aware Proxy.

3. Selecione Ativar.

Tarefa 2: criar instâncias do Linux e do Windows

Crie três instâncias para este laboratório: - Duas para fins de demonstração (Linux e Windows) - Uma para testar a conectividade (Windows)

Instância do Linux

1. No menu de navegação e selecione Compute Engine.

2. Clique em Criar instância e use a configuração a seguir para criar uma VM. Deixe o resto como padrão.

• Nome: linux-iap
• Zona:

4. Clique em opções avançadas e selecione Rede. Em interfaces de rede, clique na rede padrão para editar. Em seguida, altere o endereço IPV4 externo para Nenhum.

5. Clique em Concluído.

   

6. Em seguida, clique em Criar. Esta VM será chamada de linux-iap

Instâncias do Windows

1. Para criar a VM de demonstração do Windows, clique em Criar instância e use a configuração a seguir para criar uma VM. Deixe o resto como padrão.

• Nome: windows-iap
• Zona:
• Na seção disco de inicialização, clique em Alterar

2. Para o SO, selecione o seguinte:

   • Imagens públicas > Sistema operacional > Windows Server
   • Versão > Centro de dados do Windows Server 2016

   

3. Clique em Selecionar.

4. Clique em opções avançadas e selecione Rede. Em interfaces de rede, clique na rede padrão para editar. Em seguida, altere o endereço IPV4 externo para Nenhum. Clique em Concluído.

5. Em seguida, clique em Criar. Esta VM será chamada de windows-iap

6. Para criar a VM de conectividade do Windows, clique em Criar instância e use a configuração a seguir para criar uma VM. Deixe o resto como padrão.

• Nome: windows-connectivity
• Zona:
• Na seção disco de inicialização, clique em Alterar

7. Para o SO, defina o seguinte na guia Imagens personalizadas:

   • Projeto fonte das imagens: Recursos do Qwiklabs
   • Imagem: iap-desktop-v001

8. Clique em Selecionar.

9. Em "Escopos de acesso", selecione Permitir acesso total a todas as APIs do Cloud.

   Não desative o IP externo para esta instância

10. Em seguida, clique em Criar. Esta VM será chamada de windows-connectivity

Verifique se todas as 3 instâncias foram criadas

Tarefa 3: testar a conectividade com suas instâncias Linux e Windows

1. Depois que as instâncias forem criadas, você testará o acesso a linux-iap e windows-iap para garantir que não será capaz de acessar as VMs sem o IP externo.

2. Para linux-iap, clique no botão SSH para entrar na máquina e certifique-se de receber uma mensagem semelhante à seguinte.

   

3. Para windows-iap: clique no botão RDP e certifique-se de receber uma mensagem semelhante a esta:

   

As etapas a seguir para configurar e usar o IAP permitirão que você se conecte às instâncias que não possuem IPs externos.

Tarefa 4: configurar as regras de firewall necessárias para BCE

1. Abra o menu de navegação e selecione rede VPC > Firewall e clique em Criar regra de firewall

2. Defina as configurações a seguir:

Campo	Configuração
Nome	allow-ingress-from-iap
Direção do tráfego	Entrada
Destino	Todas as instâncias na rede
Filtro de origem	Intervalos IPv4
Intervalos IPv4 de origem	35.235.240.0/20
Protocolos e portas	Selecione TCP e digite 22, 3389 para permitir SSH e RDP respectivamente

3. Clique em CRIAR para criar a regra de firewall.

Verifique se as regras de firewall adequadas foram criadas.

Tarefa 5: conceder permissões para usar o encaminhamento de TCP do IAP

Use as etapas a seguir para configurar o papel iap.tunnelResourceAccessor por VM.

1. Abra o menu de navegação e selecione Segurança > Identity-Aware Proxy, mude para a guia Recursos SSH e TCP (ignore com segurança o erro de tela de consentimento do Oauth na seção HTTPS).
2. Selecione as instâncias de linux-iap e windows-iap.
3. Clique em Adicionar principal, e insira a conta de serviço associada à sua VM de conectividade do Windows. Deve estar no formato -compute@developer.gserviceaccount.com.
4. Selecione Cloud IAP > Usuário de túnel protegido por IAP para o papel.
5. Clique em SALVAR.
6. Na parte de cima à direita da página clique no ícone “S” para abrir seu perfil e copiar o e-mail da conta do aluno.
7. Clique em Adicionar principal novamente para adicionar sua conta de estudante.
8. Entre na conta do aluno. Você pode copiar esse valor do painel de detalhes do laboratório.
9. Selecione Cloud IAP > Usuário de túnel protegido por IAP para o papel.
10. Clique em SALVAR.

A função de usuário do túnel protegido pelo IAP concederá à instância de conectividade do Windows a conexão com recursos usando o IAP. Adicionar a conta de estudante ajudará a verificar se a etapa foi executada corretamente.

Verifique se os papéis do IAM foram definidas para a conta de serviço.

Tarefa 5: use o IAP Desktop para se conectar às instâncias do Windows e do Linux

É possível usar o IAP Desktop para conectar-se a instâncias usando uma interface gráfica do usuário de uma instância com Windows Desktop. Você pode ler mais sobre o IAP Desktop no repositório GitHub que hospeda o download da ferramenta.

Para usar o IAP Desktop para se conectar às instâncias deste laboratório:

1. RDP para a instância windows-connectivity baixando o arquivo RDP. Acesse a página Compute Engine > Instâncias de VM. Selecione a seta para baixo ao lado da instância windows-connectivity na página inicial do Compute Engine e faça download do arquivo.

2. Abra o arquivo RDP para se conectar à instância usando o protocolo de área de trabalho remota. Você usará as credenciais abaixo para se conectar à instância assim que solicitado:

• Nome do usuário: aluno
• Senha: Learn123!

3. Uma vez conectado à instância windows-connectivity, localize e abra o aplicativo IAP Desktop na área de trabalho da instância.

4. Assim que o aplicativo abrir, clique no botão fazer login com o Google para fazer login. Use o nome de usuário e a senha fornecidos no console do laboratório para autenticar no IAP Desktop. Certifique-se de selecionar a opção "Acessar, editar, configurar e excluir dados do Google Cloud".

5. Você precisará adicionar o projeto para se conectar às instâncias do Compute Engine no IAP Desktop após a autenticação. Selecione o projeto de laboratório associado à sua instância de laboratório:

Clique duas vezes na instância windows-iap no aplicativo IAP Desktop para fazer login na instância.

6. Talvez você seja solicitado a fornecer credenciais para a instância na primeira vez que tentar conectar-se a ela usando o IAP Desktop. Selecione "Gerar novas credenciais" na primeira vez que fizer login na instância.

7. Após a criação das credenciais, você será levado à área de trabalho da instância windows-iap e poderá ver a experiência do usuário final.

Tarefa 6: demonstrar tunelamento usando conexões SSH e RDP

1. Você testará a conectividade com a instância RDP usando um cliente RDP. Isso ocorre porque você precisa se conectar à instância localmente usando um túnel IAP.

2. Acesse a página Compute Engine > Instâncias de VM.

3. Para a instância windows-connectivity, clique na seta para baixo e selecione Definir senha do Windows. Copie a senha e salve-a.

Em seguida, clique na seta para baixo ao lado de conectar para fazer o download e clique em fazer o download do arquivo RDP. Abra o arquivo RDP com seu cliente e digite sua senha.

4. Depois de se conectar à instância do windows-connectivity. Abra o SDK do Google Cloud Shell:

Agora, na linha de comando, digite o seguinte comando para ver se você consegue se conectar à instância linux-iap instance:

gcloud compute ssh linux-iap

Clique em Y quando solicitado para continuar e selecionar a zona.

Certifique-se de selecionar a zona correta para a instância quando solicitado.

Em seguida, aceite o alerta de segurança do Putty.

Você deverá receber uma mensagem informando que nenhum endereço IP externo foi encontrado e que usará o tunelamento IAP.

Atualize as configurações do Putty para permitir conexões de túnel localmente. Clique no canto superior esquerdo da janela do Putty > Alterar configurações.

Permita que as portas locais aceitem conexões de outros hosts marcando a caixa de seleção "As portas locais aceitam conexões de outros hosts".

5. Feche a sessão do Putty e clique em Aplicar. Use o seguinte comando para criar um túnel criptografado para a porta RDP da instância de VM:

gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

Depois de ver a mensagem sobre “Escutando na porta [XXX]”. Copie o número da porta do túnel.

6. Retorne ao console do Google Cloud e acesse a página Compute Engine > Instâncias de VM.

Defina e copie a senha da instância windows-iap.

Retorne à sessão RDP agora.

Deixe o em execução e abra o aplicativo Conexão de Área de Trabalho Remota do Microsoft Windows.

Insira o ponto final do túnel, em que o ponto final é o número da porta do túnel da etapa anterior, assim:

• localhost:endpoint

  

Clique em Conectar.

Em seguida, insira as credenciais anteriores que você copiou anteriormente. Você será submetido a RDP com sucesso em sua instância agora!

Se solicitado, clique em Sim.

Você conseguiu acessar a instância mesmo sem um endereço IP externo usando o IAP Confirme se a VM está acessível usando a SA habilitada para IAP Parabéns! Você conseguiu se conectar a ambas as instâncias usando o IAP.

Parabéns

Você aprendeu como usar o BeyondCorp Enterprise (BCE) e Encaminhamento TCP do Identity-Aware Proxy (IAP) implantando 2 VMs, windows-iap e linux-iap,sem endereços IP e configurando um túnel IAP que deu acesso a ambas as instâncias usando uma terceira VM, conectividade do Windows.

Próximas etapas/Saiba mais

• Leia mais sobre o BeyondCorp Enterprise (BCE) e o modelo de segurança de confiança zero a seguir cloud documentation site.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 16 de abril de 2024

Laboratório testado em 5 de dezembro de 2023

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.