Configura un bastion host

Questa pagina descrive come configurare un bastion host nel deployment di Google Distributed Cloud per consentire agli ingegneri Google di accedere ai nodi nella zona Google Distributed Cloud e risolvere i relativi problemi tramite Secure Shell (SSH).

Google fornisce il codice sorgente completo da cui puoi creare una macchina virtuale bastion host personalizzata in base ai requisiti aziendali.

Prerequisiti

Questa sezione elenca i prerequisiti per il deployment della soluzione bastion host di Google Distributed Cloud.

Specifiche della macchina virtuale

La soluzione bastion host di Google Distributed Cloud richiede l'equivalente di un deployment OpenStack di dimensioni small con le seguenti specifiche:

• CPU: 1 vCPU
• RAM: 2GB
• Disco: 20 GB

Google consiglia di eseguire il deployment di macchine virtuali bastion host N+1 per Google Cloud regione per una maggiore affidabilità.

Requisiti di networking

La soluzione bastion host Google Distributed Cloud richiede la configurazione delle seguenti sessioni di peering di rete per ogni macchina virtuale bastion host:

• Direzione nord. Connette la macchina virtuale bastion host a internet. Richiede l'accesso a internet e deve consentire le connessioni sulla porta 22 da indirizzi IP specifici che Google fornisce come parte del pacchetto di codice sorgente e dell'immagine del disco della soluzione bastion host.
• Direzione sud. Connette la macchina virtuale bastion host tramite la porta 22 alle zone Google Distributed Cloud corrispondenti in una singola Google Cloud regione.
• Gestione. Collega la macchina virtuale bastion host alla rete locale per scopi di funzionamento e manutenzione. Configura questa sessione di peering in base alle norme di sicurezza della tua organizzazione.

Best practice per la sicurezza

Google consiglia vivamente di seguire le best practice per la sicurezza descritte in questa sezione quando configuri una soluzione bastion host nel deployment Google Distributed Cloud, oltre alle norme di sicurezza della tua organizzazione:

• Segui la regola del privilegio minimo e mantieni una chiara separazione dei compiti per gli utenti.
• Per tutti gli account utente diversi dall'amministratore, utilizza solo l'autenticazione basata su certificati; disattiva l'autenticazione basata su password e l'accesso root alle macchine virtuali bastion host.
• Rifiuta l'accesso da tutti gli IP della sessione di peering in direzione nord che non fanno parte dell'elenco di indirizzi IP di assistenza fornito da Google.
• Chiudi tutte le porte nella sessione di peering in uscita, ad eccezione della porta 22 (SSH), e consentila solo per gli indirizzi IP nell'elenco degli indirizzi IP di assistenza forniti da Google.
• Mantieni aggiornate tutte le macchine virtuali bastion host. Google fornisce un nuovo pacchetto di codice sorgente con ogni patch di sicurezza e aggiornamento della versione.
• Configura una soluzione di avviso che soddisfi le norme di sicurezza della tua organizzazione.

Attiva il supporto del bastion host

Per abilitare il supporto dell'bastion host nella tua implementazione di Google Distributed Cloud, invia una richiesta.

Configurare una macchina virtuale bastion host

Segui i passaggi descritti in questa sezione per configurare una macchina virtuale bastion host.

Ottieni e crea il software bastion host

Il pacchetto software dell&#bastion host ti viene inviato dopo che l'Assistenza Google attiva la funzionalità dell&bastion hostn per il tuo deployment di Google Distributed Cloud. Il pacchetto contiene quanto segue:

• Codice sorgente. Puoi personalizzare e creare le tue immagini di macchine virtuali bastion host in base alle tue esigenze aziendali.
• Documentazione. Documentazione aggiuntiva per attività come la configurazione dei certificati.

Configura gli account utente richiesti

La funzionalità Bastion Host di Google Distributed Cloud richiede uno o più account utente in ciascuna delle seguenti categorie:

• Gestione. Questo è l'account amministratore della macchina virtuale bastion host. Ha accesso root.
• Utente host. Questo è l'account dell'ingegnere delle operazioni. Può avviare e gestire sessioni di multiplexer del terminale per l'assistenza Google, ma non può inserire comandi in queste sessioni.
• Utente ospite. Questo è l'account dell'ingegnere dell'Assistenza Google. Può stabilire una connessione SSH all'interno di una sessione di multiplexer del terminale condivisa con l'ingegnere delle operazioni su una macchina virtuale bastion host. Non ha altri privilegi.
• Utente congiunto. Questo account stabilisce la sessione del multiplexer del terminale sulla macchina virtuale bastion host. Il tuo ingegnere delle operazioni e un ingegnere dell'assistenza Google si connettono congiuntamente a questa sessione.

Configurare i certificati

Devi configurare i certificati che consentono agli account descritti nella sezione precedente di accedere alla macchina virtuale bastion host. Le istruzioni per configurare questi certificati sono incluse nel pacchetto software bastion host.

Configura logging

Sei responsabile della rotazione e dell'esportazione dei log dalle macchine virtuali bastion host in base ai requisiti aziendali. Devi anche mantenere uno spazio su disco adeguato per archiviarli sulla macchina virtuale.

Test della configurazione

Collabora con l'assistenza Google per testare il deployment della macchina virtuale bastion host, inclusa la connettività da entrambe le estremità e controllo dell'accesso dell'accesso appropriato per gli account utente richiesti.

Passaggi successivi

• Esegui il deployment dei carichi di lavoro su Google Distributed Cloud
• Gestisci macchine
• Creare e gestire i cluster
• Creare e gestire le reti
• Creare e gestire i pool di nodi