Compute Engine משתמש באימות SSH מבוסס-מפתח כדי ליצור חיבורים למכונות וירטואליות (VM) של Linux, ותומך גם באימות מבוסס-אישור למכונות וירטואליות של OS Login. אפשר גם להפעיל SSH למכונות וירטואליות של Windows. כברירת מחדל, סיסמאות לא מוגדרות למשתמשים מקומיים במכונות וירטואליות של Linux.
כדי להתחבר למכונה וירטואלית, צריך לבצע כמה הגדרות. אם אתם משתמשים במסוף Google Cloud או ב-Google Cloud CLI כדי להתחבר למכונות הווירטואליות, מערכת Compute Engine מבצעת את ההגדרות האלה בשבילכם. מערכת Compute Engine מבצעת הגדרות שונות בהתאם לכלי שבו משתמשים כדי להתחבר, ולשיטה שבה מנהלים את הגישה למכונות וירטואליות באמצעות מטא-נתונים או OS Login. השירות OS Login זמין רק למכונות וירטואליות של Linux.
חיבורי SSH שמנוהלים על ידי מטא-נתונים
כברירת מחדל, מערכת Compute Engine משתמשת במטא-נתונים מותאמים אישית של הפרויקט או של המכונה כדי להגדיר מפתחות SSH ולנהל את הגישה ל-SSH. כל המכונות הווירטואליות של Windows משתמשות במטא-נתונים כדי לנהל מפתחות SSH, בעוד שמכונות וירטואליות של Linux יכולות להשתמש במפתחות מטא-נתונים או ב-OS Login. אם אתם משתמשים ב-OS Login, מפתחות SSH במטא-נתונים מושבתים.כדי לקבל מידע נוסף על ההגדרות שמערכת Compute Engine מבצעת לפני שהיא מאשרת חיבורי SSH כשמשתמשים במסוף Google Cloud , ב-CLI של gcloud או בכלים של צד שלישי כדי להתחבר למכונות וירטואליות, לוחצים על כל אחת מהכרטיסיות. אם אתם מתחברים למכונות וירטואליות בלי להשתמש במסוף Google Cloud או ב-CLI של gcloud, אתם צריכים לבצע בעצמכם כמה הגדרות.
המסוף
- אתם משתמשים בלחצן SSH ב Google Cloud מסוף כדי להתחבר למכונה הווירטואלית.
- Compute Engine מגדיר שם משתמש ויוצר זוג מפתחות SSH זמני עם ההגדרה הבאה:
- שם המשתמש שלכם מוגדר כשם המשתמש בחשבון Google. לדוגמה, אם כתובת האימייל שמשויכת לחשבון Google שלכם היא
cloudysanfrancisco@gmail.com, אז שם המשתמש שלכם הואcloudysanfrancisco. - המפתחות הציבוריים והפרטיים של SSH מאוחסנים בסשן הדפדפן.
- תוקף מפתח ה-SSH הוא שלוש דקות. שלוש דקות אחרי שמערכת Compute Engine יוצרת את המפתח, אי אפשר יותר להשתמש במפתח ה-SSH כדי להתחבר ל-VM.
- שם המשתמש שלכם מוגדר כשם המשתמש בחשבון Google. לדוגמה, אם כתובת האימייל שמשויכת לחשבון Google שלכם היא
- מערכת Compute Engine מאמתת את מפתח ה-SSH ומאשרת את החיבור.
- מערכת Compute Engine מעלה את המפתח הציבורי של ה-SSH ואת שם המשתמש למטא-נתונים.
- Compute Engine מאחזר את מפתח ה-SSH ואת שם המשתמש מהמטא-נתונים, יוצר חשבון משתמש עם שם המשתמש, ובמכונות וירטואליות של Linux, מאחסן את המפתח הציבורי בקובץ
~/.ssh/authorized_keysשל המשתמש במכונה הווירטואלית. במכונות וירטואליות של Windows, Compute Engine לא מאחסן את המפתח הציבורי במכונה הווירטואלית. - מערכת Compute Engine מאשרת את החיבור.
gcloud
- משתמשים בפקודה
gcloud compute sshכדי להתחבר ל-VM. - Compute Engine מגדיר שם משתמש ויוצר זוג מפתחות SSH קבוע עם ההגדרות הבאות:
- שם המשתמש שלכם מוגדר כשם המשתמש במחשב המקומי.
- מפתח ה-SSH הציבורי שלכם מאוחסן במטא-נתונים של הפרויקט. אם Compute Engine לא יכול לאחסן את מפתח ה-SSH במטא-נתונים של הפרויקט, למשל כי הערך של
block-project-ssh-keysמוגדר ל-TRUE, Compute Engine מאחסן את מפתח ה-SSH במטא-נתונים של המכונה. - המפתח הפרטי של SSH מאוחסן במחשב המקומי.
- למפתח ה-SSH שלכם אין תאריך תפוגה. הוא ישמש לכל חיבורי ה-SSH העתידיים שתבצעו, אלא אם תגדירו מפתח חדש.
- שם המשתמש שלכם מוגדר כשם המשתמש במחשב המקומי.
- מערכת Compute Engine מאמתת את מפתח ה-SSH ומאשרת את החיבור.
- מערכת Compute Engine מעלה את המפתח הציבורי של ה-SSH ואת שם המשתמש למטא-נתונים.
- Compute Engine מאחזר את מפתח ה-SSH ואת שם המשתמש מהמטא-נתונים, יוצר חשבון משתמש עם שם המשתמש, ובמכונות וירטואליות של Linux, מאחסן את המפתח הציבורי בקובץ
~/.ssh/authorized_keysשל המשתמש במכונה הווירטואלית. במכונות וירטואליות של Windows, Compute Engine לא מאחסן את המפתח הציבורי במכונה הווירטואלית. - מערכת Compute Engine מאשרת את החיבור.
כלי צד שלישי
- יוצרים זוג מפתחות SSH ושם משתמש. פרטים נוספים זמינים במאמר בנושא יצירת מפתחות SSH.
- מעלים את המפתח הציבורי ואת שם המשתמש למטא-נתונים. פרטים נוספים זמינים במאמר איך מוסיפים מפתחות SSH למכונות וירטואליות שמשתמשות במפתחות SSH שמבוססים על מטא-נתונים.
- מתחברים ל-VM.
- Compute Engine מאחזר את מפתח ה-SSH ואת שם המשתמש מהמטא-נתונים, יוצר חשבון משתמש עם שם המשתמש, ובמכונות וירטואליות של Linux, מאחסן את המפתח הציבורי בקובץ
~/.ssh/authorized_keysשל המשתמש במכונה הווירטואלית. במכונות וירטואליות של Windows, Compute Engine לא מאחסן את המפתח הציבורי במכונה הווירטואלית. - מערכת Compute Engine מאשרת את החיבור.
חיבורי SSH שמנוהלים על ידי OS Login
כשמגדירים מטא-נתונים של OS Login, Compute Engine מוחק את הקבצים authorized_keys של המכונה הווירטואלית ולא מקבל יותר חיבורים ממפתחות SSH ששמורים במטא-נתונים של הפרויקט או המכונה. OS Login תומך בחיבורים ממפתחות SSH שמשויכים לחשבון Google שלכם, ובאישורי SSH שנחתמים על ידי רשות האישורים של OS Login. אפשר גם להגדיר ש-OS Login יאפשר רק חיבורים באמצעות אישורי SSH, כמו שמתואר במאמר דרישת אישורי SSH באמצעות OS Login.
חיבורים באמצעות מפתח SSH
אפשר ללחוץ על כל כרטיסייה כדי לקבל מידע נוסף על ההגדרות שמערכת Compute Engine מבצעת לפני שהיא מאשרת חיבורי SSH כשמשתמשים במפתחות SSH כדי להתחבר למכונות וירטואליות. ההגדרות ש-Compute Engine מבצע משתנות בהתאם לאופן שבו מתחברים למכונות הווירטואליות: באמצעות מסוף Google Cloud , ה-CLI של gcloud או כלים של צד שלישי. אם אתם מתחברים באמצעות כלים של צד שלישי, אתם צריכים לבצע בעצמכם כמה הגדרות.
המסוף
- אתם משתמשים בלחצן SSH ב Google Cloud מסוף כדי להתחבר למכונה הווירטואלית.
- Compute Engine מגדיר שם משתמש ויוצר זוג מפתחות SSH זמני עם ההגדרה הבאה:
- שם המשתמש הוא השם שהוגדר על ידי האדמין של Cloud Identity או Google Workspace בארגון. אם הארגון שלכם לא הגדיר לכם שם משתמש, או שהפרויקט לא שייך לארגון, Compute Engine משתמש בכתובת האימייל של חשבון Google שלכם, בפורמט הבא:
USERNAME_DOMAIN_SUFFIX
cloudysanfrancisco@gmail.com, שם המשתמש שייווצר הואcloudysanfrancisco_gmail_com. - מפתח ה-SSH הציבורי שלכם מאוחסן בסשן הדפדפן ובחשבון Google.
- מפתח ה-SSH הפרטי מאוחסן בסשן הדפדפן.
- תוקף מפתח ה-SSH הוא שלוש דקות. שלוש דקות אחרי שמערכת Compute Engine יוצרת את המפתח, אי אפשר יותר להשתמש במפתח ה-SSH כדי להתחבר ל-VM.
- שם המשתמש הוא השם שהוגדר על ידי האדמין של Cloud Identity או Google Workspace בארגון. אם הארגון שלכם לא הגדיר לכם שם משתמש, או שהפרויקט לא שייך לארגון, Compute Engine משתמש בכתובת האימייל של חשבון Google שלכם, בפורמט הבא:
- מערכת Compute Engine מאמתת את מפתח ה-SSH ומאשרת את החיבור.
gcloud
- משתמשים בפקודה
gcloud compute sshכדי להתחבר ל-VM. - Compute Engine מגדיר שם משתמש ויוצר זוג מפתחות SSH קבוע עם ההגדרות הבאות:
- שם המשתמש הוא השם שהוגדר על ידי האדמין של Cloud Identity או Google Workspace בארגון. אם הארגון שלכם לא הגדיר לכם שם משתמש, Compute Engine משתמש בכתובת האימייל של חשבון Google שלכם, בפורמט הבא:
USERNAME_DOMAIN_SUFFIX
cloudysanfrancisco@gmail.com, שם המשתמש שייווצר הואcloudysanfrancisco_gmail_com. - מפתח ה-SSH הציבורי שלכם מאוחסן בחשבון Google.
- מפתח ה-SSH הפרטי מאוחסן במחשב המקומי בקובץ
google_compute_engine. - למפתח ה-SSH שלכם אין תאריך תפוגה. הוא ישמש לכל חיבורי ה-SSH העתידיים שתבצעו, אלא אם תגדירו מפתח חדש.
- שם המשתמש הוא השם שהוגדר על ידי האדמין של Cloud Identity או Google Workspace בארגון. אם הארגון שלכם לא הגדיר לכם שם משתמש, Compute Engine משתמש בכתובת האימייל של חשבון Google שלכם, בפורמט הבא:
- מערכת Compute Engine מאמתת את מפתח ה-SSH ומאשרת את החיבור.
כלי צד שלישי
- יוצרים זוג מפתחות SSH. פרטים נוספים זמינים במאמר בנושא יצירת מפתחות SSH.
- מעלים את המפתח הציבורי SSH לפרופיל ב-OS Login. פרטים נוספים זמינים במאמר איך מוסיפים מפתחות למכונות וירטואליות שמשתמשות ב-OS Login.
- המפתח מאוחסן בחשבון Google שלכם ב-Compute Engine.
- Compute Engine מגדיר את שם המשתמש בפורמט שמוגדר כברירת מחדל:
USERNAME_DOMAIN_SUFFIXcloudysanfrancisco@gmail.com, שם המשתמש שייווצר הואcloudysanfrancisco_gmail_com. - אפשר להגדיר שם משתמש באמצעות Google Workspace Admin SDK Directory API.
- מתחברים ל-VM.
- מערכת Compute Engine מאמתת את מפתח ה-SSH ומאשרת את החיבור.
חיבורים לאישורי SSH
אפשר ללחוץ על כל כרטיסייה כדי לקבל מידע נוסף על ההגדרות שמערכת Compute Engine מבצעת לפני שהיא מאשרת חיבורי SSH כשמשתמשים באישורים של SSH כדי להתחבר למכונות וירטואליות. מערכת Compute Engine מבצעת הגדרות שונות בהתאם לאופן שבו מתחברים למכונות וירטואליות: באמצעות מסוף Google Cloud , ה-CLI של gcloud או כלים של צד שלישי. אם אתם מתחברים באמצעות כלים של צד שלישי, תצטרכו לבצע בעצמכם כמה הגדרות.
המסוף
- אתם משתמשים בלחצן SSH בGoogle Cloud מסוף כדי להתחבר ל-VM.
- מערכת Compute Engine מגדירה שם משתמש ויוצרת זוג מפתחות SSH זמני. שם המשתמש הוא שם המשתמש שהוגדר על ידי האדמין של Cloud Identity או Google Workspace בארגון. אם הארגון שלכם לא הגדיר לכם שם משתמש, או שהפרויקט לא שייך לארגון, Compute Engine משתמש בכתובת האימייל של חשבון Google שלכם, בפורמט הבא:
USERNAME_DOMAIN_SUFFIX
cloudysanfrancisco@gmail.com, שם המשתמש שייווצר הואcloudysanfrancisco_gmail_com. - Compute Engine שולח את המפתח הציבורי שלכם לרשות האישורים של OS Login ומבצע הרשאה ב-IAM כדי לוודא שיש לכם את ההרשאות להתחבר למכונה הווירטואלית.
- רשות האישורים של OS Login מספקת אישור SSH חתום לטווח קצר.
- Compute Engine מאמת את האישור לזמן קצר ומאשר את החיבור.
gcloud
- משתמשים בפקודה
gcloud beta compute sshכדי להתחבר ל-VM. - מערכת Compute Engine מגדירה שם משתמש ויוצרת זוג מפתחות SSH זמני. שם המשתמש הוא שם המשתמש שהוגדר על ידי האדמין של Cloud Identity או Google Workspace בארגון. אם הארגון שלכם לא הגדיר לכם שם משתמש, או שהפרויקט לא שייך לארגון, Compute Engine משתמש בכתובת האימייל של חשבון Google שלכם, בפורמט הבא:
USERNAME_DOMAIN_SUFFIX
cloudysanfrancisco@gmail.com, שם המשתמש שייווצר הואcloudysanfrancisco_gmail_com. - Compute Engine שולח את המפתח הציבורי שלכם לרשות האישורים של OS Login ומבצע הרשאה ב-IAM כדי לוודא שיש לכם את ההרשאות להתחבר למכונה הווירטואלית.
- רשות האישורים של OS Login מספקת אישור SSH חתום לטווח קצר.
- Compute Engine מאמת את האישור לזמן קצר ומאשר את החיבור.
כלי צד שלישי
- יוצרים זוג מפתחות SSH. פרטים נוספים זמינים במאמר בנושא יצירת מפתחות SSH.
- אם לא התחברתם בעבר למכונה וירטואלית שמשתמשת ב-OS Login, אתם צריכים להקצות חשבון POSIX.
- Compute Engine מגדיר את שם המשתמש בפורמט שמוגדר כברירת מחדל:
USERNAME_DOMAIN_SUFFIX
cloudysanfrancisco@gmail.com, שם המשתמש שנוצר הואcloudysanfrancisco_gmail_com. - האדמין יכול גם להגדיר שם משתמש באמצעות Google Workspace Admin SDK Directory API. אם הארגון שלכם משתמש באיחוד שירותי אימות הזהות של כוח העבודה, אתם צריכים לפנות לאדמין כדי לשנות את שם המשתמש.
- שולחים את המפתח הציבורי לרשות האישורים של OS Login.
- רשות האישורים של OS Login מספקת אישור SSH חתום לטווח קצר.
- משתמשים באישור כדי להתחבר ל-VM.
- Compute Engine מאמת את האישור לזמן קצר ומאשר את החיבור.
מה השלב הבא?
- מידע נוסף על היתרונות של שימוש ב-OS Login
- הגדרת OS Login כדי לנהל את הגישה למכונות הווירטואליות.
- איך דורשים אישורי SSH באמצעות OS Login
- אם אתם לא רוצים להשתמש ב-OS Login, אתם יכולים לנהל מפתחות SSH במטא-נתונים.
- איך מתחברים למכונות וירטואליות
- כדי למצוא שיטות וכלים לאבחון ולפתרון של חיבורי SSH שנכשלו, אפשר לעיין במאמר בנושא פתרון בעיות ב-SSH.