For version information, see the Distributed Cloud connected release notes.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת יעד מבוצר (bastion host)

בדף הזה מוסבר איך להגדיר יעד מבוצר (bastion host) בפריסת Google Distributed Cloud כדי לאפשר למהנדסי Google לגשת לצמתים באזור Google Distributed Cloud ולפתור בהם בעיות באמצעות Secure Shell‏ (SSH).

‫Google מספקת את קוד המקור המלא שבעזרתו אפשר ליצור מכונה וירטואלית של יעד מבוצר (bastion host) מותאם אישית בהתאם לדרישות העסקיות שלכם.

דרישות מוקדמות

בקטע הזה מפורטות הדרישות המוקדמות לפריסת פתרון של יעד מבוצר (bastion host) ב-Google Distributed Cloud.

מפרטים של מכונות וירטואליות

פתרון ה-bastion host של Google Distributed Cloud דורש פריסת OpenStack בגודל small עם המפרט הבא:

מעבד: ‎1 vCPU
‫RAM: ‏ 2GB
דיסק: 20GB

‫Google ממליצה לפרוס מכונות וירטואליות של יעדים מבוצרים (bastion host) מסוג N+1 לכל Google Cloud אזור כדי לשפר את האמינות.

דרישות רשת

כדי להשתמש בפתרון של Google Distributed Cloud ליעד מבוצר (bastion host), צריך להגדיר את סשנים של קישור בין רשתות שכנות (peering) לכל מכונה וירטואלית של יעד מבוצר (bastion host):

צפונה. חיבור המכונה הוירטואלית של יעד מבוצר (bastion host) לאינטרנט. נדרשת גישה לאינטרנט, וצריך לאפשר חיבורים ביציאה 22 מכתובות IP ספציפיות ש-Google מספקת כחלק מקובץ אימג' של פתרון יעד מבוצר (bastion host) וחבילת קוד מקור.
דרומה. החיבור של המכונה הווירטואלית של יעד מבוצר (bastion host) מתבצע דרך יציאה 22 לאזורים המתאימים של Google Distributed Cloud באזור Google Cloud יחיד.
ניהול. מחבר את המכונה הווירטואלית של יעד מבוצר (bastion host) לרשת המקומית למטרות תפעול ותחזוקה. צריך להגדיר את סשן ה-Peering הזה בהתאם למדיניות האבטחה של הארגון.

שיטות מומלצות לאבטחה

‫Google ממליצה מאוד לפעול לפי השיטות המומלצות לאבטחה שמתוארות בקטע הזה כשמגדירים פתרון של יעד מבוצר (bastion host) בפריסת Google Distributed Cloud, בנוסף למדיניות האבטחה של הארגון:

כדאי לפעול לפי כלל ההרשאות המינימליות ולשמור על הפרדת תפקידים ברורה בין המשתמשים.
לכל חשבונות המשתמשים מלבד חשבון האדמין, משתמשים רק באימות מבוסס-אישור. משביתים את האימות מבוסס-הסיסמה ואת גישת הרמה הבסיסית (root) למכונות הווירטואליות של יעד מבוצר (bastion host).
דחיית גישה מכל כתובות ה-IP בסשן הפירינג הצפוני שלא נכללות ברשימת כתובות ה-IP לתמיכה ש-Google מספקת.
סוגרים את כל היציאות בסשן הפירינג מדרום לצפון, מלבד יציאה 22 (SSH), ומאפשרים אותה רק לכתובות IP ברשימת כתובות ה-IP לתמיכה ש-Google מספקת.
חשוב לוודא שכל המכונות הווירטואליות של יעד מבוצר (bastion host) עדכניות. ‫Google מספקת חבילת קוד מקור חדשה עם כל תיקון אבטחה ועדכון גרסה.
הגדרת פתרון התראות שעומד בדרישות מדיניות האבטחה של הארגון.

הפעלת תמיכה ביעד מבוצר (bastion host)

כדי להפעיל תמיכה ביעד מבוצר (bastion host) בפריסת Google Distributed Cloud, שולחים בקשה.

הגדרת מכונה וירטואלית של יעד מבוצר (bastion host)

כדי להגדיר מכונה וירטואלית של יעד מבוצר (bastion host), פועלים לפי השלבים שמפורטים בקטע הזה.

השגת תוכנת יעד מבוצר (bastion host) ובנייתה

חבילת התוכנה של יעד מבוצר (bastion host) נשלחת אליכם אחרי שתמיכה של Google מפעילה את התכונה של יעד מבוצר (bastion host) לפריסת Google Distributed Cloud. החבילה מכילה את הפריטים הבאים:

קוד מקור. אתם יכולים להתאים אישית וליצור תמונות של מכונות וירטואליות של יעדים מבוצרים (bastion host) על סמך הדרישות העסקיות שלכם.
מסמכי תיעוד תיעוד נוסף למשימות כמו הגדרת אישורים.

הגדרת חשבונות המשתמשים הנדרשים

כדי להשתמש בתכונת יעד מבוצר (bastion host) של Google Distributed Cloud, צריך לפחות חשבון משתמש אחד בכל אחת מהקטגוריות הבאות:

ניהול. זהו חשבון האדמין של המכונה הווירטואלית של יעד מבוצר (bastion host). יש לו גישת רוט (Root).
משתמש מארח. זה החשבון של מהנדס התפעול. הוא יכול להתחיל ולנהל סשנים של טרמינל מולטיפלקסר לתמיכה של Google, אבל הוא לא יכול להזין פקודות בסשנים האלה.
משתמש אורח. זהו חשבון של מהנדס תמיכה של Google. הוא יכול ליצור חיבור SSH בתוך סשן של טרמינל מולטיפלקסר שמשותף עם מהנדס התפעול שלכם במכונה וירטואלית של יעד מבוצר (bastion host). אין לו הרשאות אחרות.
משתמש משותף. חשבון זה יוצר את סשן ה-terminal multiplexer במכונה הוירטואלית של יעד מבוצר (bastion host). מהנדס התפעול שלכם ומהנדס תמיכה של Google יתחברו יחד לסשן הזה.

הגדרת אישורים

צריך להגדיר אישורים שמאפשרים לחשבונות שמתוארים בקטע הקודם לגשת למכונה הוירטואלית של יעד מבוצר (bastion host). הוראות להגדרת האישורים האלה כלולות בחבילת התוכנה של יעד מבוצר (bastion host).

הגדרת רישום ביומן

אתם אחראים לסיבוב ולייצוא של יומנים ממכונות וירטואליות של יעדים מבוצרים (bastion host), בהתאם לדרישות העסקיות שלכם. צריך גם להקצות מספיק מקום בדיסק כדי לאחסן אותם במכונה הווירטואלית.

בדיקת ההגדרה

עובדים עם תמיכה של Google כדי לבדוק את ה-Deployment (פריסה) של המכונה הווירטואלית של יעד מבוצר (bastion host), כולל הקישוריות משני הקצוות ובקרת הגישה המתאימה לחשבונות המשתמשים הנדרשים.