Questa pagina descrive come configurare un bastion host nel deployment di Google Distributed Cloud per consentire agli ingegneri Google di accedere ai nodi nella zona Google Distributed Cloud e risolvere i problemi tramite Secure Shell (SSH).
Google fornisce il codice sorgente completo da cui puoi creare una macchina virtuale bastion host personalizzata in base ai requisiti aziendali.
Prerequisiti
Questa sezione elenca i prerequisiti per il deployment della soluzione bastion host di Google Distributed Cloud.
Specifiche della macchina virtuale
La soluzione bastion host di Google Distributed Cloud richiede l'equivalente di un deployment OpenStack di dimensioni small con le seguenti specifiche:
- CPU: 1 vCPU
- RAM: 2GB
- Disco: 20 GB
Per una maggiore affidabilità, Google consiglia di eseguire il deployment di N+1 macchine virtuali bastion host per Google Cloud regione.
Requisiti di networking
La soluzione bastion host di Google Distributed Cloud richiede la configurazione delle seguenti sessioni di peering di rete per ogni macchina virtuale bastion host:
- Northbound. Connette la macchina virtuale bastion host a internet. Richiede l'accesso a internet e deve consentire le connessioni sulla porta 22 da indirizzi IP specifici forniti da Google come parte del pacchetto di codice sorgente e dell'immagine del disco della soluzione bastion host.
- Southbound. Connette la macchina virtuale bastion host tramite la porta 22 alle zone Google Distributed Cloud corrispondenti in una singola Google Cloud regione.
- Gestione. Connette la macchina virtuale bastion host alla rete locale per scopi operativi e di manutenzione. Configura questa sessione di peering in base alle norme di sicurezza della tua organizzazione.
Best practice per la sicurezza
Google consiglia vivamente di seguire le best practice per la sicurezza descritte in questa sezione quando configuri una soluzione bastion host nel deployment di Google Distributed Cloud, oltre alle norme di sicurezza della tua organizzazione:
- Segui la regola del privilegio minimo e mantieni una chiara separazione dei compiti per gli utenti.
- Per tutti gli account utente diversi dall'account amministratore, utilizza solo l'autenticazione basata su certificati; disattiva l'autenticazione basata su password e l'accesso root alle macchine virtuali bastion host.
- Rifiuta l'accesso da tutti gli indirizzi IP nella sessione di peering northbound che non fanno parte dell'elenco di indirizzi IP di assistenza fornito da Google.
- Chiudi tutte le porte nella sessione di peering southbound tranne la porta 22 (SSH) e consentila solo per gli indirizzi IP nell'elenco di indirizzi IP di assistenza fornito da Google.
- Mantieni aggiornate tutte le macchine virtuali bastion host. Google fornisce un nuovo pacchetto di codice sorgente con ogni patch di sicurezza e aggiornamento della versione.
- Configura una soluzione di avviso che soddisfi le norme di sicurezza della tua organizzazione.
Attivare il supporto per bastion host
Per attivare il supporto per bastion host nel deployment di Google Distributed Cloud, invia una richiesta.
Configurare una macchina virtuale bastion host
Segui i passaggi descritti in questa sezione per configurare una macchina virtuale bastion host.
Ottenere e creare il software bastion host
Il pacchetto software bastion host ti viene inviato dopo che l'Assistenza Google ha attivato la funzionalità bastion host per il deployment di Google Distributed Cloud. Il pacchetto contiene:
- Codice sorgente. Puoi personalizzare e creare le tue immagini di macchine virtuali bastion host in base ai requisiti aziendali.
- Documentazione. Documentazione aggiuntiva per attività come la configurazione dei certificati.
Configurare gli account utente richiesti
La funzionalità bastion host di Google Distributed Cloud richiede uno o più account utente in ciascuna delle seguenti categorie:
- Gestione. Questo è l'account amministratore per la macchina virtuale bastion host. Ha accesso root.
- Utente host. Questo è l'account dell'ingegnere operativo. Può avviare e gestire le sessioni di multiplexer terminale per l'Assistenza Google, ma non può inserire comandi in queste sessioni.
- Utente ospite. Questo è l'account del tecnico del servizio di assistenza Google. Può stabilire una connessione SSH all'interno di una sessione di multiplexer terminale condivisa con l'ingegnere operativo su una macchina virtuale bastion host. Non ha altri privilegi.
- Utente congiunto. Questo account stabilisce la sessione di multiplexer terminale sulla macchina virtuale bastion host. L'ingegnere operativo e un tecnico del servizio di assistenza Google si connettono congiuntamente a questa sessione.
Configurare i certificati
Devi configurare i certificati che consentono agli account descritti nella sezione precedente di accedere alla macchina virtuale bastion host. Le istruzioni per la configurazione di questi certificati sono incluse nel pacchetto software bastion host.
Configurare logging
Hai la responsabilità di ruotare ed esportare i log dalle macchine virtuali bastion host in base ai requisiti aziendali. Devi anche mantenere uno spazio su disco sufficiente per archiviarli sulla macchina virtuale.
Test della configurazione
Collabora con l'Assistenza Google per testare il deployment della macchina virtuale bastion host, inclusa la connettività da entrambe le estremità e il controllo dell'accesso appropriato per gli account utente richiesti.
Passaggi successivi
- Eseguire il deployment dei carichi di lavoro su Google Distributed Cloud
- Gestire le macchine
- Creare e gestire cluster
- Creare e gestire reti
- Creare e gestire pool di nodi