踏み台インスタンスを構成する

このページでは、Google Distributed Cloud デプロイに踏み台ホストを構成して、Google エンジニアが Secure Shell(SSH)経由で Google Distributed Cloud ゾーンのノードにアクセスしてトラブルシューティングできるようにする方法について説明します。

Google は、ビジネス要件に基づいてカスタマイズされた要塞ホスト仮想マシンを構築できる完全なソースコードを提供します。

前提条件

このセクションでは、Google Distributed Cloud の踏み台ホスト ソリューションをデプロイするための前提条件について説明します。

仮想マシンの仕様

Google Distributed Cloud の要塞ホスト ソリューションには、次の仕様の small サイズの OpenStack デプロイメントと同等のものが必要です。

  • CPU: 1 vCPU
  • RAM: 2 GB
  • ディスク: 20 GB

信頼性を高めるために、リージョンごとに N+1 個の踏み台ホスト仮想マシンをデプロイすることをおすすめします。 Google Cloud

ネットワーキングの要件

Google Distributed Cloud の踏み台ホスト ソリューションでは、踏み台ホストの各仮想マシンに対して次のネットワーク ピアリング セッションを構成する必要があります。

  • ノースバウンド。踏み台インスタンスの仮想マシンをインターネットに接続します。インターネット アクセスが必要で、Google が提供する特定の IP アドレスからのポート 22 での接続を許可する必要があります。これらの IP アドレスは、要塞ホスト ソリューションのディスク イメージとソースコード パッケージの一部です。
  • サウスバウンド。ポート 22 経由で、単一の Google Cloud リージョン内の対応する Google Distributed Cloud ゾーンに要塞ホスト仮想マシンを接続します。
  • 管理。運用とメンテナンスのために、要塞ホストの仮想マシンをローカル ネットワークに接続します。組織のセキュリティ ポリシーに従って、このピアリング セッションを構成します。

おすすめのセキュリティ対策

Google では、組織のセキュリティ ポリシーに加えて、Google Distributed Cloud デプロイに踏み台ホスト ソリューションを構成する際は、このセクションで説明するセキュリティのベスト プラクティスに従うことを強く推奨します。

  • 最小権限の原則に従い、ユーザーの職務分掌を明確に維持します。
  • 管理者以外のすべてのユーザー アカウントで、証明書ベースの認証のみを使用します。パスワードベースの認証と、要塞ホスト仮想マシンへの root アクセスを無効にします。
  • Google が提供するサポート IP アドレス リストに含まれていない、北方向のピアリング セッションのすべての IP からのアクセスを拒否します。
  • ポート 22(SSH)を除くサウスバウンド ピアリング セッションのすべてのポートを閉じ、Google が提供するサポート IP アドレス リストの IP アドレスに対してのみ許可します。
  • すべての踏み台ホスト仮想マシンを最新の状態に保ちます。Google は、セキュリティ パッチとバージョン アップデートごとに新しいソースコード パッケージを提供します。
  • 組織のセキュリティ ポリシーを満たすアラート ソリューションを構成します。

踏み台ホストのサポートを有効にする

Google Distributed Cloud デプロイで踏み台ホストのサポートを有効にするには、リクエストを送信します。

踏み台ホストの仮想マシンを構成する

このセクションの手順に沿って、踏み台ホストの仮想マシンを構成します。

踏み台インスタンス ソフトウェアを取得してビルドする

Google サポートが Google Distributed Cloud デプロイの要塞ホスト機能を有効にすると、要塞ホスト ソフトウェア パッケージが送信されます。このパッケージには次のものが含まれます。

  • ソースコード。ビジネス要件に基づいて、独自の要塞ホスト仮想マシン イメージをカスタマイズして構築できます。
  • ドキュメント。証明書の構成などのタスクに関する追加のドキュメント。

必要なユーザー アカウントを構成する

Google Distributed Cloud の踏み台ホスト機能には、次のカテゴリのユーザー アカウントが 1 つ以上必要です。

  • 管理。これは、踏み台ホストの仮想マシンの管理者アカウントです。ルートアクセス権限があります。
  • ホストユーザー。これはオペレーション エンジニアのアカウントです。Google サポートのターミナル マルチプレクサ セッションを開始して管理できますが、これらのセッションにコマンドを入力することはできません。
  • ゲストユーザー。これは Google サポート エンジニアのアカウントです。オペレーション エンジニアと共有されているターミナル マルチプレクサ セッション内で、踏み台ホスト仮想マシンに SSH 接続を確立できます。他の権限はありません。
  • 共同ユーザー。このアカウントは、踏み台ホストの仮想マシンでターミナル マルチプレクサ セッションを確立します。オペレーション エンジニアと Google サポート エンジニアがこのセッションに共同で接続します。

証明書を構成する

前のセクションで説明したアカウントが要塞ホストの仮想マシンにアクセスできるようにする証明書を構成する必要があります。これらの証明書を構成する手順は、要塞ホスト ソフトウェア パッケージに含まれています。

ロギングを構成する

ビジネス要件に基づいて、踏み台ホストの仮想マシンからログをローテーションしてエクスポートするのは、ユーザーの責任です。また、仮想マシンに保存するための十分なディスク容量を維持する必要があります。

設定をテストする

Google サポートと協力して、両端からの接続や、必要なユーザー アカウントに対する適切なアクセス制御など、踏み台ホストの仮想マシン デプロイをテストします。

次のステップ