このページでは、Google エンジニアが Secure Shell(SSH)経由で Google Distributed Cloud ゾーンのノードにアクセスしてトラブルシューティングを行えるように、Google Distributed Cloud デプロイに踏み台インスタンスを構成する方法について説明します。
Google は、ビジネス要件に基づいてカスタマイズされた踏み台インスタンス仮想マシンを構築できる完全なソースコードを提供しています。
前提条件
このセクションでは、Google Distributed Cloud 踏み台インスタンス ソリューションをデプロイするための前提条件について説明します。
仮想マシンの仕様
Google Distributed Cloud 踏み台インスタンス ソリューションには、次の仕様の small サイズの OpenStack デプロイメントと同等のものが必要です。
- CPU: 1 vCPU
- RAM: 2GB
- ディスク: 20 GB
信頼性を高めるため、 Google Cloud リージョン ごとに N+1 個の踏み台インスタンス仮想マシンをデプロイすることをおすすめします。
ネットワーキングの要件
Google Distributed Cloud 踏み台インスタンス ソリューションでは、踏み台インスタンス仮想マシンごとに次のネットワーク ピアリング セッションを構成する必要があります。
- ノースバウンド 。踏み台インスタンス仮想マシンをインターネットに接続します。インターネット アクセスが必要であり、Google が踏み台インスタンス ソリューション ディスク イメージとソースコード パッケージの一部として提供する特定の IP アドレスからのポート 22 での接続を許可する必要があります。
- サウスバウンド 。ポート 22 経由で、踏み台インスタンス仮想マシンを単一 Google Cloud リージョン内の対応する Google Distributed Cloud ゾーンに接続します。
- 管理 。運用とメンテナンスのために、踏み台インスタンス仮想マシンをローカル ネットワークに接続します。組織のセキュリティ ポリシーに従って、このピアリング セッションを構成します。
おすすめのセキュリティ対策
組織のセキュリティ ポリシーに加えて、Google Distributed Cloud デプロイに踏み台インスタンス ソリューションを構成する際は、このセクションで説明するセキュリティに関するベスト プラクティスに従うことを強くおすすめします。
- 最小権限の原則に従い、ユーザーの職務を明確に分離します。
- 管理者以外のすべてのユーザー アカウントで、証明書ベースの認証のみを使用します。パスワードベースの認証と踏み台インスタンス仮想マシンへのルートアクセスを無効にします。
- Google が提供するサポート IP アドレス リストに含まれていないノースバウンド ピアリング セッション上のすべての IP からのアクセスを拒否します。
- サウスバウンド ピアリング セッションのすべてのポートを閉じ、ポート 22(SSH)を除き、Google が提供するサポート IP アドレス リストの IP アドレスに対してのみ許可します。
- すべての踏み台インスタンス仮想マシンを最新の状態に保ちます。Google は、セキュリティ パッチとバージョン アップデートごとに新しいソースコード パッケージを提供します。
- 組織のセキュリティ ポリシーを満たすアラート ソリューションを構成します。
踏み台インスタンスのサポートを有効にする
Google Distributed Cloud デプロイで踏み台インスタンスのサポートを有効にするには、リクエストを送信してください。
踏み台インスタンス仮想マシンを構成する
このセクションの手順に沿って、踏み台インスタンス仮想マシンを構成します。
踏み台インスタンス ソフトウェアを取得してビルドする
Google サポートが Google Distributed Cloud デプロイの踏み台インスタンス機能を有効にすると、踏み台インスタンス ソフトウェア パッケージが送信されます。パッケージには次のものが含まれています。
- ソースコード 。ビジネス要件に基づいて、独自の踏み台インスタンス仮想マシン イメージをカスタマイズしてビルドできます。
- ドキュメント 。証明書の構成などのタスクに関する追加ドキュメント。
必要なユーザー アカウントを構成する
Google Distributed Cloud の踏み台インスタンス機能では、次のカテゴリごとに 1 つ以上のユーザー アカウントが必要です。
- 管理 。これは、踏み台インスタンス仮想マシンの管理者アカウントです。ルートアクセス権限があります。
- ホストユーザー 。これはオペレーション エンジニア アカウントです。Google サポートのターミナル マルチプレクサ セッションを開始して管理できますが、これらのセッションにコマンドを入力することはできません。
- ゲストユーザー 。これは Google サポート エンジニア アカウントです。踏み台インスタンス仮想マシンでオペレーション エンジニアと共有されるターミナル マルチプレクサ セッション内で SSH 接続を確立できます。他の権限はありません。
- 共同ユーザー 。このアカウントは、踏み台インスタンス仮想マシンでターミナル マルチプレクサ セッションを確立します。オペレーション エンジニアと Google サポート エンジニアが共同でこのセッションに接続します。
証明書を構成する
前のセクションで説明したアカウントが踏み台インスタンス仮想マシンにアクセスできるようにする証明書を構成する必要があります。これらの証明書の構成手順は、踏み台インスタンス ソフトウェア パッケージに含まれています。
ロギングを構成する
ビジネス要件に基づいて、踏み台インスタンス仮想マシンからログをローテーションしてエクスポートする必要があります。また、仮想マシンにログを保存するための十分なディスク容量を確保する必要があります。
設定をテストする
Google サポートと協力して、両端からの接続や、必要なユーザー アカウントに対する適切なアクセス制御など、踏み台インスタンス仮想マシンのデプロイをテストします。