배스천 호스트 구성

이 페이지에서는 Google 엔지니어가 보안 셸 (SSH)을 통해 Google Distributed Cloud 영역의 노드에 액세스하고 문제를 해결할 수 있도록 Google Distributed Cloud 배포에서 배스천 호스트를 구성하는 방법을 설명합니다.

Google에서는 비즈니스 요구사항에 따라 맞춤설정된 배스천 호스트 가상 머신을 빌드할 수 있는 전체 소스 코드를 제공합니다.

기본 요건

이 섹션에서는 Google Distributed Cloud 배스천 호스트 솔루션 배포를 위한 기본 요건을 나열합니다.

가상 머신 사양

Google Distributed Cloud 배스천 호스트 솔루션에는 다음 사양을 갖춘 small 크기의 OpenStack 배포가 필요합니다.

  • CPU: 1 vCPU
  • RAM: 2GB
  • 디스크: 20GB

신뢰성을 높이기 위해 Google Cloud 리전당 N+1 배스천 호스트 가상 머신을 배포하는 것이 좋습니다.

네트워킹 요구사항

Google Distributed Cloud 배스천 호스트 솔루션에서는 각 배스천 호스트 가상 머신에 대해 다음 네트워크 피어링 세션을 구성해야 합니다.

  • Northbound 배스천 호스트 가상 머신을 인터넷에 연결합니다. 인터넷 액세스가 필요하며 Google에서 배스천 호스트 솔루션 디스크 이미지 및 소스 코드 패키지의 일부로 제공하는 특정 IP 주소에서 포트 22로의 연결을 허용해야 합니다.
  • Southbound 포트 22를 통해 Google Cloud 단일 리전의 해당 Google Distributed Cloud 영역에 배스천 호스트 가상 머신을 연결합니다.
  • 관리. 작업 및 유지관리 목적으로 배스천 호스트 가상 머신을 로컬 네트워크에 연결합니다. 조직의 보안 정책에 따라 이 피어링 세션을 구성합니다.

보안 권장사항

Google에서는 조직의 보안 정책 외에도 Google Distributed Cloud 배포에서 배스천 호스트 솔루션을 구성할 때 이 섹션에 설명된 보안 권장사항을 따를 것을 적극 권장합니다.

  • 최소 권한 규칙을 따르고 사용자의 업무를 명확하게 구분합니다.
  • 관리자를 제외한 모든 사용자 계정의 경우 인증서 기반 인증만 사용하고, 비밀번호 기반 인증과 배스천 호스트 가상 머신에 대한 루트 액세스를 사용 중지합니다.
  • Google에서 제공하는 지원 IP 주소 목록에 포함되지 않은 북바운드 피어링 세션의 모든 IP로부터의 액세스를 거부합니다.
  • 포트 22 (SSH)를 제외한 모든 포트를 다운스트림 피어링 세션에서 닫고 Google 제공 지원 IP 주소 목록의 IP 주소에 대해서만 허용합니다.
  • 모든 배스천 호스트 가상 머신을 최신 상태로 유지합니다. Google은 각 보안 패치 및 버전 업데이트와 함께 새로운 소스 코드 패키지를 제공합니다.
  • 조직의 보안 정책을 충족하는 알림 솔루션을 구성합니다.

배스천 호스트 지원 사용 설정

Google Distributed Cloud 배포에서 배스천 호스트 지원을 사용 설정하려면 요청을 제출하세요.

배스천 호스트 가상 머신 구성

이 섹션의 단계에 따라 배스천 호스트 가상 머신을 구성합니다.

배스천 호스트 소프트웨어 획득 및 빌드

Google 지원팀이 Google Distributed Cloud 배포의 배스천 호스트 기능을 활성화하면 배스천 호스트 소프트웨어 패키지가 전송됩니다. 패키지에는 다음이 포함됩니다.

  • 소스 코드 비즈니스 요구사항에 따라 자체 배스천 호스트 가상 머신 이미지를 맞춤설정하고 빌드할 수 있습니다.
  • 문서 인증서 구성과 같은 작업에 대한 추가 문서입니다.

필요한 사용자 계정 구성

Google Distributed Cloud의 배스천 호스트 기능에는 다음 카테고리별로 하나 이상의 사용자 계정이 필요합니다.

  • 관리. 배스천 호스트 가상 머신의 관리자 계정입니다. 루트 액세스 권한이 있습니다.
  • 호스트 사용자. 운영 엔지니어 계정입니다. Google 지원을 위한 터미널 멀티플렉서 세션을 시작하고 관리할 수 있지만 이러한 세션에 명령어를 입력할 수는 없습니다.
  • 게스트 사용자. Google 지원 엔지니어 계정입니다. 배스천 호스트 가상 머신에서 운영 엔지니어와 공유하는 터미널 멀티플렉서 세션 내에서 SSH 연결을 설정할 수 있습니다. 다른 권한은 없습니다.
  • 공동 사용자. 이 계정은 배스천 호스트 가상 머신에서 터미널 멀티플렉서 세션을 설정합니다. 운영 엔지니어와 Google 지원 엔지니어가 이 세션에 공동으로 연결됩니다.

인증서 구성

이전 섹션에 설명된 계정이 베스천 호스트 가상 머신에 액세스할 수 있도록 허용하는 인증서를 구성해야 합니다. 이러한 인증서 구성에 관한 안내는 배스천 호스트 소프트웨어 패키지에 포함되어 있습니다.

로깅 구성

비즈니스 요구사항에 따라 배스천 호스트 가상 머신에서 로그를 순환하고 내보낼 책임은 사용자에게 있습니다. 또한 가상 머신에 저장할 수 있도록 충분한 디스크 공간을 유지해야 합니다.

구성 테스트

Google 지원팀과 협력하여 양쪽 끝의 연결과 필수 사용자 계정의 적절한 액세스 제어를 비롯한 배스천 호스트 가상 머신 배포를 테스트합니다.

다음 단계