Mengonfigurasi bastion host

Halaman ini menjelaskan cara mengonfigurasi host bastion pada deployment Google Distributed Cloud Anda untuk memungkinkan engineer Google mengakses dan memecahkan masalah node di zona Google Distributed Cloud Anda melalui Secure Shell (SSH).

Google menyediakan kode sumber lengkap yang dapat Anda gunakan untuk membangun virtual machine host bastion yang disesuaikan berdasarkan persyaratan bisnis Anda.

Prasyarat

Bagian ini mencantumkan prasyarat untuk men-deploy solusi host bastion Google Distributed Cloud.

Spesifikasi virtual machine

Solusi host bastion Google Distributed Cloud memerlukan deployment OpenStack berukuran small yang setara dengan spesifikasi berikut:

• CPU: 1 vCPU
• RAM: 2 GB
• Disk: 20GB

Google merekomendasikan deployment virtual machine bastion host N+1 per Google Cloud region untuk meningkatkan keandalan.

Persyaratan jaringan

Solusi host bastion Google Distributed Cloud mengharuskan Anda mengonfigurasi sesi peering jaringan berikut untuk setiap mesin virtual host bastion:

• Arah utara. Menghubungkan virtual machine bastion host ke Internet. Memerlukan akses Internet dan harus mengizinkan koneksi di port 22 dari alamat IP tertentu yang disediakan Google sebagai bagian dari paket kode sumber dan image disk solusi host bastion.
• Menuju selatan. Menghubungkan virtual machine bastion host melalui port 22 ke zona Google Distributed Cloud yang sesuai dalam satu Google Cloud region.
• Pengelolaan. Menghubungkan mesin virtual bastion host ke jaringan lokal Anda untuk tujuan operasi dan pemeliharaan. Konfigurasi sesi peering ini sesuai dengan kebijakan keamanan organisasi Anda.

Praktik keamanan terbaik

Google sangat merekomendasikan agar Anda mengikuti praktik terbaik keamanan yang dijelaskan di bagian ini saat mengonfigurasi solusi bastion host pada deployment Google Distributed Cloud Anda selain kebijakan keamanan organisasi Anda:

• Ikuti aturan hak istimewa terendah dan pertahankan pemisahan tugas yang jelas untuk pengguna.
• Untuk semua akun pengguna selain Administrator, gunakan hanya autentikasi berbasis sertifikat; nonaktifkan autentikasi berbasis sandi dan akses root ke virtual machine bastion host.
• Menolak akses dari semua IP pada sesi peering northbound yang bukan bagian dari daftar alamat IP dukungan yang disediakan Google.
• Tutup semua port pada sesi peering southbound kecuali port 22 (SSH) dan izinkan hanya untuk alamat IP dalam daftar alamat IP dukungan yang disediakan Google.
• Selalu perbarui semua virtual machine host bastion. Google menyediakan paket kode sumber baru dengan setiap patch keamanan dan update versi.
• Konfigurasi solusi pemberitahuan yang memenuhi kebijakan keamanan organisasi Anda.

Mengaktifkan dukungan bastion host

Untuk mengaktifkan dukungan host bastion pada deployment Google Distributed Cloud Anda, kirim permintaan.

Mengonfigurasi virtual machine bastion host

Ikuti langkah-langkah di bagian ini untuk mengonfigurasi virtual machine host bastion.

Mendapatkan dan membangun software bastion host

Paket software bastion host akan dikirimkan kepada Anda setelah Dukungan Google mengaktifkan fitur bastion host untuk deployment Google Distributed Cloud Anda. Paket berisi hal berikut:

• Kode sumber. Anda dapat menyesuaikan dan membuat image virtual machine host bastion sendiri berdasarkan persyaratan bisnis Anda.
• Dokumentasi. Dokumentasi tambahan untuk tugas seperti mengonfigurasi sertifikat.

Mengonfigurasi akun pengguna yang diperlukan

Fitur host bastion Google Distributed Cloud memerlukan satu atau beberapa akun pengguna dalam setiap kategori berikut:

• Pengelolaan. Ini adalah akun administrator untuk virtual machine bastion host. Perangkat memiliki akses root.
• Pengguna host. Ini adalah akun engineer operasi. Dapat memulai dan mengelola sesi multiplexer terminal untuk Dukungan Google, tetapi tidak dapat memasukkan perintah apa pun ke dalam sesi tersebut.
• Pengguna tamu. Ini adalah akun engineer Dukungan Google. Hal ini dapat membuat koneksi SSH dalam sesi multiplexer terminal yang dibagikan dengan engineer operasi Anda di mesin virtual bastion host. Pengguna ini tidak memiliki hak istimewa lainnya.
• Pengguna gabungan. Akun ini membuat sesi multiplexer terminal di mesin virtual host bastion. Engineer operasi Anda dan engineer dukungan Google akan terhubung bersama ke sesi ini.

Mengonfigurasi sertifikat

Anda harus mengonfigurasi sertifikat yang memungkinkan akun yang dijelaskan di bagian sebelumnya mengakses virtual machine host bastion. Petunjuk untuk mengonfigurasi sertifikat ini disertakan dalam paket software bastion host.

Mengonfigurasi logging

Anda bertanggung jawab untuk merotasi dan mengekspor log dari virtual machine bastion host berdasarkan persyaratan bisnis Anda. Anda juga harus menyediakan ruang disk yang cukup untuk menyimpannya di virtual machine.

Menguji konfigurasi Anda

Bekerja sama dengan Dukungan Google untuk menguji deployment virtual machine bastion host Anda, termasuk konektivitas dari kedua ujung, dan kontrol akses yang tepat untuk akun pengguna yang diperlukan.

Langkah berikutnya

• Men-deploy workload di Google Distributed Cloud
• Mengelola komputer
• Membuat dan mengelola cluster
• Membuat dan mengelola jaringan
• Membuat dan mengelola kumpulan node