Pour en savoir plus sur les versions, consultez les notes de version de Distributed Cloud Connected.

Configurer un hôte bastion

Cette page explique comment configurer un hôte bastion sur votre déploiement Google Distributed Cloud pour permettre aux ingénieurs Google d'accéder aux nœuds de votre zone Google Distributed Cloud et de résoudre les problèmes qui s'y posent via Secure Shell (SSH).

Google fournit le code source complet à partir duquel vous pouvez créer une machine virtuelle d'hôte bastion personnalisée en fonction des besoins de votre entreprise.

Prérequis

Cette section répertorie les prérequis pour déployer la solution d'hôte bastion Google Distributed Cloud.

Spécifications de la machine virtuelle

La solution d'hôte bastion Google Distributed Cloud nécessite l'équivalent d'un déploiement OpenStack de taille small avec les spécifications suivantes :

Processeur : 1 vCPU
Mémoire RAM : 2 Go
Disque : 20 Go

Google recommande de déployer N+1 machines virtuelles d'hôte bastion par Google Cloud région pour une fiabilité accrue.

Exigences de mise en réseau

La solution d'hôte bastion Google Distributed Cloud nécessite que vous configuriez les sessions d'appairage réseau suivantes pour chaque machine virtuelle d'hôte bastion :

Northbound. Connecte la machine virtuelle d'hôte bastion à Internet. Nécessite un accès à Internet et doit autoriser les connexions sur le port 22 à partir d'adresses IP spécifiques que Google fournit dans le cadre de l'image de disque et du package de code source de la solution d'hôte bastion.
Southbound. Connecte la machine virtuelle d'hôte bastion via le port 22 aux zones Google Distributed Cloud correspondantes dans une seule Google Cloud région.
Gestion. Connecte la machine virtuelle d'hôte bastion à votre réseau local à des fins d'exploitation et de maintenance. Configurez cette session d'appairage conformément à la politique de sécurité de votre organisation.

Bonnes pratiques concernant la sécurité

Google vous recommande vivement de suivre les bonnes pratiques de sécurité décrites dans cette section lorsque vous configurez une solution d'hôte bastion sur votre déploiement Google Distributed Cloud, en plus des politiques de sécurité de votre organisation :

Suivez la règle du moindre privilège et maintenez une séparation claire des tâches pour les utilisateurs.
Pour tous les comptes utilisateur autres que l'administrateur, n'utilisez que l'authentification basée sur les certificats. Désactivez l'authentification basée sur les mots de passe et l'accès root aux machines virtuelles d'hôte bastion.
Refusez l'accès à partir de toutes les adresses IP de la session d'appairage Northbound qui ne font pas partie de la liste d'adresses IP d'assistance fournie par Google.
Fermez tous les ports de la session d'appairage Southbound, à l'exception du port 22 (SSH), et n'autorisez-le que pour les adresses IP de la liste d'adresses IP d'assistance fournie par Google.
Maintenez toutes les machines virtuelles d'hôte bastion à jour. Google fournit un nouveau package de code source à chaque correctif de sécurité et mise à jour de version.
Configurez une solution d'alerte qui répond aux politiques de sécurité de votre organisation.

Activer la prise en charge de l'hôte bastion

Pour activer la prise en charge de l'hôte bastion sur votre déploiement Google Distributed Cloud, envoyez une demande.

Configurer une machine virtuelle d'hôte bastion

Suivez les étapes de cette section pour configurer une machine virtuelle d'hôte bastion.

Obtenir et créer le logiciel d'hôte bastion

Le package logiciel d'hôte bastion vous est envoyé une fois que l'assistance Google a activé la fonctionnalité d'hôte bastion pour votre déploiement Google Distributed Cloud. Le package contient les éléments suivants :

Code source. Vous pouvez personnaliser et créer vos propres images de machine virtuelle d'hôte bastion en fonction des besoins de votre entreprise.
Documentation. Documentation supplémentaire pour des tâches telles que la configuration de certificats.

Configurer les comptes utilisateur requis

La fonctionnalité d'hôte bastion de Google Distributed Cloud nécessite un ou plusieurs comptes utilisateur dans chacune des catégories suivantes :

Gestion. Il s'agit du compte administrateur de la machine virtuelle d'hôte bastion. Il dispose d'un accès root.
Utilisateur hôte. Il s'agit du compte d'ingénieur des opérations. Il peut démarrer et gérer des sessions de multiplexeur de terminal pour l'assistance Google, mais ne peut saisir aucune commande dans ces sessions.
Utilisateur invité. Il s'agit du compte d'ingénieur de l'assistance Google. Il peut établir une connexion SSH dans une session de multiplexeur de terminal partagée avec votre ingénieur des opérations sur une machine virtuelle d'hôte bastion. Il ne dispose d'aucun autre privilège.
Utilisateur conjoint. Ce compte établit la session de multiplexeur de terminal sur la machine virtuelle d'hôte bastion. Votre ingénieur des opérations et un ingénieur de l'assistance Google se connectent conjointement à cette session.

Configurer des certificats

Vous devez configurer des certificats qui permettent aux comptes décrits dans la section précédente d'accéder à la machine virtuelle d'hôte bastion. Les instructions de configuration de ces certificats sont incluses dans le package logiciel d'hôte bastion.

Configurer la journalisation

Vous êtes responsable de la rotation et de l'exportation des journaux à partir des machines virtuelles d'hôte bastion en fonction des besoins de votre entreprise. Vous devez également disposer d'un espace disque suffisant pour les stocker sur la machine virtuelle.

Tester votre configuration

Collaborez avec l'assistance Google pour tester le déploiement de votre machine virtuelle d'hôte bastion, y compris la connectivité des deux côtés et le contrôle des accès approprié pour les comptes utilisateur requis.