Auf dieser Seite wird beschrieben, wie Sie einen Bastion-Host in Ihrer Google Distributed Cloud-Bereitstellung konfigurieren, damit Google-Techniker über Secure Shell (SSH) auf die Knoten in Ihrer Google Distributed Cloud-Zone zugreifen und Fehler beheben können.
Google stellt den vollständigen Quellcode zur Verfügung, mit dem Sie eine benutzerdefinierte Bastion Host-VM erstellen können, die Ihren geschäftlichen Anforderungen entspricht.
Vorbereitung
In diesem Abschnitt werden die Voraussetzungen für die Bereitstellung der Google Distributed Cloud-Bastion Host-Lösung aufgeführt.
Spezifikationen für virtuelle Maschinen
Für die Bastion Host-Lösung von Google Distributed Cloud ist eine OpenStack-Bereitstellung mit small-Größe und den folgenden Spezifikationen erforderlich:
- CPU: 1 vCPU
- RAM: 2 GB
- Speicherplatz: 20 GB
Google empfiehlt, N+1 Bastion Host-VMs pro Google Cloud Region bereitzustellen, um die Zuverlässigkeit zu erhöhen.
Netzwerkanforderungen
Für die Bastion Host-Lösung von Google Distributed Cloud müssen Sie die folgenden Network Peering-Sitzungen für jede Bastion Host-VM konfigurieren:
- Northbound: Verbindet die Bastion Host-VM mit dem Internet. Erfordert Internetzugriff und muss Verbindungen über Port 22 von bestimmten IP-Adressen zulassen, die Google als Teil des Datenträger-Image und Quellcode-Pakets für die Bastion-Host-Lösung bereitstellt.
- Richtung Süden Stellt über Port 22 eine Verbindung zwischen der Bastion Host-VM und den entsprechenden Google Distributed Cloud-Zonen in einer einzelnen Google Cloud Region her.
- Verwaltung: Verbindet die Bastion Host-VM mit Ihrem lokalen Netzwerk für Betriebs- und Wartungszwecke. Konfigurieren Sie diese Peering-Sitzung gemäß der Sicherheitsrichtlinie Ihrer Organisation.
Best Practices für Sicherheit
Google empfiehlt dringend, dass Sie bei der Konfiguration einer Bastion Host-Lösung für Ihre Google Distributed Cloud-Bereitstellung zusätzlich zu den Sicherheitsrichtlinien Ihrer Organisation die in diesem Abschnitt beschriebenen Best Practices für die Sicherheit befolgen:
- Halten Sie sich an den Grundsatz der geringsten Berechtigung und sorgen Sie für eine klare Aufgabentrennung für Nutzer.
- Verwenden Sie für alle Nutzerkonten außer dem Administrator nur die zertifikatbasierte Authentifizierung. Deaktivieren Sie die passwortbasierte Authentifizierung und den Root-Zugriff auf die Bastion-Host-VMs.
- Zugriff von allen IPs in der Northbound-Peering-Sitzung ablehnen, die nicht Teil der von Google bereitgestellten Support-IP-Adressliste sind.
- Schließen Sie alle Ports in der Downstream-Peering-Sitzung mit Ausnahme von Port 22 (SSH) und lassen Sie sie nur für IP-Adressen in der von Google bereitgestellten Support-IP-Adressliste zu.
- Halten Sie alle Bastion Host-VMs auf dem neuesten Stand. Google stellt mit jedem Sicherheitspatch und jeder Versionsaktualisierung ein neues Quellcodepaket bereit.
- Konfigurieren Sie eine Benachrichtigungslösung, die den Sicherheitsrichtlinien Ihrer Organisation entspricht.
Bastion Host-Unterstützung aktivieren
Wenn Sie die Unterstützung von Bastion-Hosts in Ihrer Google Distributed Cloud-Bereitstellung aktivieren möchten, stellen Sie eine Anfrage.
Bastion-Host-VM konfigurieren
Führen Sie die Schritte in diesem Abschnitt aus, um eine Bastion Host-VM zu konfigurieren.
Bastion-Host-Software herunterladen und erstellen
Das Softwarepaket für den Bastion-Host wird Ihnen zugesendet, nachdem der Google-Support das Bastion-Host-Feature für Ihre Google Distributed Cloud-Bereitstellung aktiviert hat. Das Paket enthält Folgendes:
- Quellcode: Sie können eigene Bastion Host-VM-Images erstellen und an Ihre geschäftlichen Anforderungen anpassen.
- Dokumentation Zusätzliche Dokumentation für Aufgaben wie das Konfigurieren von Zertifikaten.
Erforderliche Nutzerkonten konfigurieren
Für die Bastion Host-Funktion von Google Distributed Cloud sind ein oder mehrere Nutzerkonten in jeder der folgenden Kategorien erforderlich:
- Verwaltung Dies ist das Administratorkonto für die Bastion Host-VM. Es hat Root-Zugriff.
- Hostnutzer. Dies ist das Konto des Operations Engineer. Es kann Terminal-Multiplexer-Sitzungen für den Google-Support starten und verwalten, aber keine Befehle in diese Sitzungen eingeben.
- Gastnutzer: Dies ist das Konto des Google-Supporttechnikers. Es kann eine SSH-Verbindung innerhalb einer Terminal-Multiplexer-Sitzung herstellen, die mit Ihrem Betriebsingenieur auf einer Bastion Host-VM geteilt wird. Er hat keine weiteren Berechtigungen.
- Gemeinsamer Nutzer Mit diesem Konto wird die Terminal-Multiplexer-Sitzung auf der Bastion Host-VM eingerichtet. Ihr Einsatztechniker und ein Google-Supporttechniker stellen gemeinsam eine Verbindung zu dieser Sitzung her.
Zertifikate konfigurieren
Sie müssen Zertifikate konfigurieren, die den im vorherigen Abschnitt beschriebenen Konten den Zugriff auf die Bastion Host-VM ermöglichen. Eine Anleitung zum Konfigurieren dieser Zertifikate ist im Softwarepaket des Bastion Hosts enthalten.
Logging konfigurieren
Sie sind dafür verantwortlich, Logs von Bastion Host-VMs entsprechend Ihren geschäftlichen Anforderungen zu rotieren und zu exportieren. Außerdem muss auf der virtuellen Maschine genügend Speicherplatz vorhanden sein, um sie zu speichern.
Konfiguration testen
Arbeiten Sie mit dem Google-Support zusammen, um die Bereitstellung der Bastion Host-VM zu testen, einschließlich der Konnektivität von beiden Enden und der richtigen Zugriffssteuerung für die erforderlichen Nutzerkonten.
Nächste Schritte
- Arbeitslasten in Google Distributed Cloud bereitstellen
- Maschinen verwalten
- Cluster erstellen und verwalten
- Netzwerke erstellen und verwalten
- Knotenpools erstellen und verwalten