Checkpoint
Check that all three instances are configured properly
/ 25
Check proper firewall rules have been created
/ 25
Check that IAM roles have been set for the service account
/ 25
Confirm VM is accessible via IAP enabled SA (ssh and RDP ability for both VMs.)
/ 25
Protezione delle macchine virtuali utilizzando BeyondCorp Enterprise (BCE)
- GSP1036
- Panoramica
- Configurazione
- Attività 1: abilita l'inoltro TCP di IAP nel tuo progetto Google Cloud
- Attività 2: crea istanze Linux e Windows
- Attività 3: testa la connettività alle tue istanze Linux e Windows
- Attività 4: configura le regole firewall richieste per BCE
- Attività 5: concedi le autorizzazioni per utilizzare l'inoltro TCP di IAP
- Attività 5: utilizza IAP Desktop per connetterti alle istanze Windows e Linux
- Attività 6: illustra il tunneling utilizzando connessioni SSH e RDP
- Complimenti
GSP1036
Panoramica
In questo lab imparerai come utilizzare BeyondCorp Enterprise (BCE) e l'inoltro TCP di Identity-Aware Proxy (IAP) per abilitare l'accesso amministrativo alle istanze VM che non dispongono di indirizzi IP esterni o che non consentono l'accesso diretto su internet.
Cosa imparerai a fare:
- Abilitare l'inoltro TCP di IAP nel tuo progetto Google Cloud
- Testare la connettività alle tue istanze Linux e Windows
- Configurare le regole firewall richieste per BCE
- Concedere le autorizzazioni per utilizzare l'inoltro TCP di IAP
- Illustrare il tunneling utilizzando connessioni SSH e RDP
Configurazione
Prima di fare clic sul pulsante Avvia lab
Leggi le seguenti istruzioni. I lab sono a tempo e non possono essere messi in pausa. Il timer si avvia quando fai clic su Avvia lab e ti mostra per quanto tempo avrai a disposizione le risorse Google Cloud.
Con questo lab pratico avrai la possibilità di completare le attività in prima persona, in un ambiente cloud reale e non di simulazione o demo. Riceverai delle nuove credenziali temporanee che potrai utilizzare per accedere a Google Cloud per la durata del lab.
Per completare il lab, avrai bisogno di:
- Accesso a un browser internet standard (Chrome è il browser consigliato).
- È ora di completare il lab: ricorda che, una volta iniziato, non puoi metterlo in pausa.
Come avviare il lab e accedere alla console Google Cloud
-
Fai clic sul pulsante Avvia lab. Se devi effettuare il pagamento per il lab, si apre una finestra popup per permetterti di selezionare il metodo di pagamento. A sinistra, trovi il riquadro Dettagli lab con le seguenti informazioni:
- Pulsante Apri console Google
- Tempo rimanente
- Credenziali temporanee da utilizzare per il lab
- Altre informazioni per seguire questo lab, se necessario
-
Fai clic su Apri console Google. Il lab avvia le risorse e apre un'altra scheda con la pagina di accesso.
Suggerimento: disponi le schede in finestre separate posizionate fianco a fianco.
Note: se visualizzi la finestra di dialogo Scegli un account, fai clic su Utilizza un altro account. -
Se necessario, copia il Nome utente dal riquadro Dettagli lab e incollalo nella finestra di dialogo di accesso. Fai clic su Avanti.
-
Copia la Password dal riquadro Dettagli lab e incollala nella finestra di dialogo di benvenuto. Fai clic su Avanti.
Importante: devi utilizzare le credenziali presenti nel riquadro di sinistra. Non utilizzare le tue credenziali Google Cloud Skills Boost. Nota: utilizzare il tuo account Google Cloud per questo lab potrebbe comportare addebiti aggiuntivi. -
Fai clic nelle pagine successive:
- Accetta i termini e le condizioni.
- Non inserire opzioni di recupero o l'autenticazione a due fattori, perché si tratta di un account temporaneo.
- Non registrarti per le prove gratuite.
Dopo qualche istante, la console Google Cloud si apre in questa scheda.
Avrai bisogno di un client RDP preinstallato per poter connettere e testare le istanze Windows.
Attività 1: abilita l'inoltro TCP di IAP nel tuo progetto Google Cloud
-
Apri il menu di navigazione e seleziona API e servizi > Libreria.
-
Cerca IAP e seleziona Cloud Identity-Aware Proxy API.
-
Fai clic su Abilita.
Attività 2: crea istanze Linux e Windows
Crea tre istanze per questo lab: - Due a scopo dimostrativo (Linux e Windows) - Una per testare la connettività (Windows)
Istanza Linux
-
Apri il menu di navigazione e seleziona Compute Engine.
-
Fai clic su Crea istanza e utilizza la seguente configurazione per creare una VM. Mantieni tutte le altre impostazioni predefinite.
- Nome: linux-iap
- Zona:
-
Fai clic su Opzioni avanzate e seleziona Networking. In interfacce di rete fai clic sulla rete predefinita da modificare. Quindi cambia l'indirizzo IPV4 esterno in Nessuno.
-
Fai clic su Fine.
-
Quindi, fai clic su Crea. Questa VM verrà indicata come linux-iap
Istanze Windows
- Per creare la VM demo Windows fai clic su Crea istanza e utilizza la seguente configurazione per creare una VM. Mantieni tutte le altre impostazioni predefinite.
- Nome: windows-iap
- Zona:
- Nella sezione disco di avvio, fai clic su Cambia
-
Per il sistema operativo, seleziona le seguenti opzioni:
- Immagini pubbliche > Sistema operativo > Windows Server
- Versione > Windows Server 2016 Datacenter
-
Fai clic su Seleziona.
-
Fai clic su Opzioni avanzate e seleziona Networking. In interfacce di rete fai clic sulla rete predefinita da modificare. Quindi cambia l'indirizzo IPV4 esterno in Nessuno. Fai clic su Fine.
-
Quindi, fai clic su Crea. Questa VM verrà indicata come windows-iap
-
Per creare la VM di connettività Windows fai clic su Crea istanza e utilizza la seguente configurazione per creare una VM. Mantieni tutte le altre impostazioni predefinite.
- Nome: windows-connectivity
- Zona:
- Nella sezione disco di avvio, fai clic su Cambia
-
Per il sistema operativo, imposta le seguenti opzioni nella scheda Immagini personalizzate:
- Progetto di origine per le immagini:
Qwiklabs Resources
- Immagine:
iap-desktop-v001
- Progetto di origine per le immagini:
-
Fai clic su Seleziona.
-
Per gli ambiti di accesso, seleziona Consenti l'accesso completo a tutte le API Cloud
Non disabilitare l'IP esterno per questa istanza
-
Quindi, fai clic su Crea. Questa VM verrà indicata come windows-connectivity
Attività 3: testa la connettività alle tue istanze Linux e Windows
-
Dopo aver creato le istanze, testerai l'accesso a linux-iap e windows-iap per assicurarti di non essere in grado di accedere alle VM senza l'IP esterno.
-
Per linux-iap fai clic sul pulsante SSH per accedere alla macchina e assicurarti di ricevere un messaggio simile al seguente.
-
Per windows-iap: fai clic sul pulsante RDP e assicurati di ricevere un messaggio simile al seguente:
Attività 4: configura le regole firewall richieste per BCE
-
Apri il menu di navigazione e seleziona Rete VPC > Firewall e fai clic su Crea regola firewall
-
Configura le seguenti impostazioni:
Campo | Impostazione |
---|---|
Nome | allow-ingress-from-iap |
Direzione del traffico | In entrata |
Destinazione | Tutte le istanze nella rete |
Filtro di origine | Intervalli IPv4 |
Intervalli IPv4 di origine | 35.235.240.0/20 |
Protocolli e porte | Seleziona TCP e inserisci 22, 3389 per consentire sia RDP che SSH, rispettivamente |
- Fai clic su CREA per creare la regola firewall.
Attività 5: concedi le autorizzazioni per utilizzare l'inoltro TCP di IAP
Per configurare il ruolo iap.tunnelResourceAccessor per VM, procedi nel seguente modo.
- Apri il menu di navigazione e seleziona Sicurezza > Identity-Aware Proxy e passa alla scheda Risorse SSH e TCP (ignora senza problemi l'errore della schermata per il consenso OAuth nella sezione HTTPS).
- Seleziona le istanze VM linux-iap e windows-iap.
- Fai clic su Aggiungi entità, quindi immetti il service account associato alla tua VM di connettività Windows. Dovrebbe essere nel formato
-compute@developer.gserviceaccount.com. - Seleziona Cloud IAP > Utente del tunnel con protezione IAP come ruolo.
- Fai clic su SALVA.
- Dall'angolo in alto a destra della pagina, fai clic sull'icona "S" per aprire il tuo profilo e copiare l'email dell'account studente.
- Fai di nuovo clic su Aggiungi entità per aggiungere il tuo account studente.
- Inserisci l'account studente. Puoi copiare questo valore dal riquadro dei dettagli del lab.
- Seleziona Cloud IAP > Utente del tunnel con protezione IAP come ruolo.
- Fai clic su SALVA.
Attività 5: utilizza IAP Desktop per connetterti alle istanze Windows e Linux
Puoi utilizzare IAP Desktop per connetterti alle istanze tramite una Graphic User Interface da un'istanza con Windows Desktop. Per saperne di più su IAP Desktop nel repository GitHub che ospita il download dello strumento.
Per utilizzare IAP Desktop per connetterti alle istanze in questo lab:
-
Connettiti tramite RDP all'istanza
windows-connectivity
scaricando il file RDP. Vai alla pagina Compute Engine > Istanze VM. Seleziona la Freccia giù accanto all'istanza windows-connectivity nella pagina di destinazione di Compute Engine e scarica il file. -
Apri il file RDP per connetterti all'istanza tramite Remote Desktop Protocol. Quando vengono richieste, utilizzerai le seguenti credenziali per connetterti all'istanza:
- Nome utente: student
- Password: Learn123!
-
Una volta connesso all'istanza windows-connectivity, individua e apri l'applicazione IAP Desktop sul computer dell'istanza.
-
Una volta aperta l'applicazione, fai clic sul pulsante Accedi con Google per effettuare l'accesso. Utilizza il nome utente e la password forniti nella console del lab per autenticarti con IAP Desktop. Assicurati di selezionare l'opzione "Visualizzare, modificare, configurare ed eliminare i dati di Google Cloud".
- Dovrai aggiungere il progetto per connetterti alle istanze Compute Engine all'interno di IAP Desktop dopo l'autenticazione. Seleziona il progetto del lab associato alla tua istanza del lab:
Fai doppio clic sull'istanza windows-iap nell'applicazione IAP Desktop per accedere all'istanza.
- È possibile che ti venga richiesto di fornire le credenziali per l'istanza la prima volta che provi a connetterti tramite IAP Desktop. Seleziona "Genera nuove credenziali" la prima volta che accedi all'istanza.
- Una volta create le credenziali verrai indirizzato al desktop dell'istanza
windows-iap
dove potrai vedere l'esperienza dell'utente finale.
Attività 6: illustra il tunneling utilizzando connessioni SSH e RDP
-
Ora testerai la connettività all'istanza RDP utilizzando un client RDP, perché hai la necessità di connetterti all'istanza tramite un tunnel IAP localmente.
-
Vai alla pagina Compute Engine > Istanze VM.
-
Per l'istanza windows-connectivity fai clic sulla Freccia giù e seleziona Imposta password di Windows. Copia la password e salvala.
Quindi fai clic sulla Freccia giù accanto a Connetti e fai clic su Scarica il file RDP. Apri il file RDP con il tuo client e inserisci la tua password.
- Dopo esserti connesso all'istanza windows-connectivity, apri Google Cloud SDK Shell:
Ora dalla riga di comando inserisci il seguente comando per vedere se riesci a connetterti all'istanza linux-iap:
Quando viene richiesto di continuare e selezionare la zona, fai clic su Y.
Quando viene richiesto, assicurati di selezionare la zona corretta per l'istanza.
Quindi accetta l'avviso di sicurezza PuTTY.
Aggiorna le impostazioni PuTTY per consentire le connessioni tunnel localmente. Fai clic sull'angolo in alto a sinistra della finestra PuTTY > Modifica impostazioni.
Consenti alle porte locali di accettare connessioni da altri host selezionando la casella di controllo "Local ports accept connections from other hosts" (Le porte locali accettano connessioni da altri host).
- Chiudi la sessione PuTTY e fai clic su Apply (Applica). Utilizza il seguente comando per creare un tunnel criptato sulla porta RDP dell'istanza VM:
Una volta visualizzato il messaggio "Listening on port [XXX]" (In ascolto sulla porta [XXX]), copia il numero della porta del tunnel.
- Torna alla console Google Cloud e vai alla pagina Compute Engine > Istanze VM.
Imposta e copia la password per l'istanza windows-iap.
Ora torna alla sessione RDP.
Lascia gcloud in esecuzione e apri l'app Connessione desktop remoto di Microsoft Windows.
Inserisci l'endpoint del tunnel, ovvero il numero di porta del tunnel del passaggio precedente, in questo modo:
-
localhost:endpoint
Fai clic su Connect (Connetti).
Quindi inserisci le credenziali che hai copiato in precedenza. Verrà eseguita la connessione all'istanza tramite RDP.
Se richiesto, fai clic su Yes (Sì).
Complimenti
Hai imparato a utilizzare BeyondCorp Enterprise (BCE) e l'inoltro TCP di Identity-Aware Proxy (IAP) eseguendo il deployment di due VM, windows-iap
e linux-iap
, senza indirizzi IP e configurando un tunnel IAP che ti ha fornito accesso a entrambe le istanze utilizzando un terza VM, windows-connectivity
.
Prossimi passi/Scopri di più
- Per saperne di più su BeyondCorp Enterprise (BCE) e sul modello di sicurezza Zero Trust, consulta il seguente sito della documentazione cloud.
Formazione e certificazione Google Cloud
… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.
Ultimo aggiornamento del manuale: 16 aprile 2024
Ultimo test del lab: 5 dicembre 2023
Copyright 2024 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.