Bastion Host konfigurieren

Auf dieser Seite wird beschrieben, wie Sie einen Bastion Host in Ihrer Google Distributed Cloud-Bereitstellung konfigurieren, damit Google-Techniker über Secure Shell (SSH) auf die Knoten in Ihrer Google Distributed Cloud-Zone zugreifen und Fehler beheben können.

Google stellt den vollständigen Quellcode zur Verfügung, mit dem Sie eine benutzerdefinierte Bastion Host-VM erstellen können, die Ihren geschäftlichen Anforderungen entspricht.

Vorbereitung

In diesem Abschnitt werden die Voraussetzungen für die Bereitstellung der Google Distributed Cloud-Bastion Host-Lösung aufgeführt.

Spezifikationen der virtuellen Maschine

Für die Google Distributed Cloud-Bastion Host-Lösung ist eine OpenStack-Bereitstellung in der Größe small mit den folgenden Spezifikationen erforderlich:

• CPU: 1 vCPU
• RAM: 2GB
• Festplatte: 20 GB

Google empfiehlt, für eine höhere Zuverlässigkeit N+1 Bastion Host-VMs pro Google Cloud Region bereitzustellen.

Netzwerkanforderungen

Für die Google Distributed Cloud-Bastion Host-Lösung müssen Sie die folgenden Network Peering-Sitzungen für jede Bastion Host-VM konfigurieren:

• Northbound Verbindet die Bastion Host-VM mit dem Internet. Erfordert Internetzugriff und muss Verbindungen über Port 22 von bestimmten IP-Adressen zulassen, die Google als Teil des Bastion Host-Lösungs-Festplattenimages und des Quellcodepakets bereitstellt.
• Southbound Verbindet die Bastion Host-VM über Port 22 mit den entsprechenden Google Distributed Cloud-Zonen in einer einzelnen Google Cloud Region.
• Verwaltung Verbindet die Bastion Host-VM zu Betriebs- und Wartungszwecken mit Ihrem lokalen Netzwerk. Konfigurieren Sie diese Peering-Sitzung gemäß der Sicherheitsrichtlinie Ihrer Organisation.

Best Practices für Sicherheit

Google empfiehlt dringend, zusätzlich zu den Sicherheitsrichtlinien Ihrer Organisation die in diesem Abschnitt beschriebenen Best Practices für die Sicherheit zu befolgen, wenn Sie eine Bastion Host-Lösung in Ihrer Google Distributed Cloud-Bereitstellung konfigurieren:

• Befolgen Sie die Regel der geringsten Berechtigung und sorgen Sie für eine klare Aufgabenteilung für die Nutzer.
• Verwenden Sie für alle Nutzerkonten außer dem Administrator nur die zertifikatbasierte Authentifizierung. Deaktivieren Sie die passwortbasierte Authentifizierung und den Root-Zugriff auf die Bastion Host-VMs.
• Lehnen Sie den Zugriff von allen IP-Adressen in der Northbound-Peering-Sitzung ab, die nicht in der von Google bereitgestellten Liste der Support-IP-Adressen enthalten sind.
• Schließen Sie alle Ports in der Southbound-Peering-Sitzung außer Port 22 (SSH) und lassen Sie ihn nur für IP-Adressen in der von Google bereitgestellten Liste der Support-IP-Adressen zu.
• Halten Sie alle Bastion Host-VMs auf dem neuesten Stand. Google stellt mit jedem Sicherheitspatch und jeder Versionsaktualisierung ein neues Quellcodepaket zur Verfügung.
• Konfigurieren Sie eine Benachrichtigungslösung, die den Sicherheitsrichtlinien Ihrer Organisation entspricht.

Bastion Host-Support aktivieren

Wenn Sie den Bastion Host-Support in Ihrer Google Distributed Cloud-Bereitstellung aktivieren möchten, senden Sie eine Anfrage.

Bastion Host-VM konfigurieren

Folgen Sie der Anleitung in diesem Abschnitt, um eine Bastion Host-VM zu konfigurieren.

Bastion Host-Software abrufen und erstellen

Das Bastion Host-Softwarepaket wird Ihnen zugesendet, nachdem der Google-Support die Bastion Host-Funktion für Ihre Google Distributed Cloud-Bereitstellung aktiviert hat. Das Paket enthält Folgendes:

• Quellcode Sie können Ihre eigenen Bastion Host-VM-Images anpassen und erstellen, die Ihren geschäftlichen Anforderungen entsprechen.
• Dokumentation Zusätzliche Dokumentation für Aufgaben wie das Konfigurieren von Zertifikaten.

Erforderliche Nutzerkonten konfigurieren

Für die Bastion Host-Funktion von Google Distributed Cloud sind ein oder mehrere Nutzerkonten in jeder der folgenden Kategorien erforderlich:

• Verwaltung Dies ist das Administratorkonto für die Bastion Host-VM. Es hat Root-Zugriff.
• Hostnutzer Dies ist das Konto des Betriebsingenieurs. Er kann Terminalsitzungen für den Google-Support starten und verwalten, aber keine Befehle in diese Sitzungen eingeben.
• Gastnutzer Dies ist das Konto des Google-Supporttechnikers. Er kann eine SSH-Verbindung in einer Terminalsitzung herstellen, die mit Ihrem Betriebsingenieur auf einer Bastion Host-VM geteilt wird. Er hat keine anderen Berechtigungen.
• Gemeinsamer Nutzer Mit diesem Konto wird die Terminalsitzung auf der Bastion Host-VM eingerichtet. Ihr Betriebsingenieur und ein Google-Supporttechniker stellen gemeinsam eine Verbindung zu dieser Sitzung her.

Zertifikate konfigurieren

Sie müssen Zertifikate konfigurieren, mit denen die im vorherigen Abschnitt beschriebenen Konten auf die Bastion Host-VM zugreifen können. Eine Anleitung zum Konfigurieren dieser Zertifikate ist im Bastion Host-Softwarepaket enthalten.

Logging konfigurieren

Sie sind dafür verantwortlich, Logs von Bastion Host-VMs gemäß Ihren geschäftlichen Anforderungen zu rotieren und zu exportieren. Außerdem müssen Sie ausreichend Speicherplatz auf der Festplatte zur Verfügung stellen, um sie auf der VM zu speichern.

Konfiguration testen

Testen Sie gemeinsam mit dem Google-Support die Bereitstellung Ihrer Bastion Host-VM, einschließlich der Konnektivität von beiden Seiten und der ordnungsgemäßen Zugriffssteuerung für die erforderlichen Nutzerkonten.

Nächste Schritte

• Arbeitslasten in Google Distributed Cloud bereitstellen
• Maschinen verwalten
• Cluster erstellen und verwalten
• Netzwerke erstellen und verwalten
• Knotenpools erstellen und verwalten