배스천 호스트 구성

이 페이지에서는 Google 엔지니어가 보안 셸 (SSH)을 통해 Google Distributed Cloud 영역의 노드에 액세스하고 문제를 해결할 수 있도록 Google Distributed Cloud 배포에서 배스천 호스트를 구성하는 방법을 설명합니다.

Google은 비즈니스 요구사항에 따라 맞춤설정된 배스천 호스트 가상 머신을 빌드할 수 있는 전체 소스 코드를 제공합니다.

기본 요건

이 섹션에는 Google Distributed Cloud 배스천 호스트 솔루션을 배포하기 위한 기본 요건이 나열되어 있습니다.

가상 머신 사양

Google Distributed Cloud 배스천 호스트 솔루션에는 다음과 같은 사양의 small 크기 OpenStack 배포와 동일한 사양이 필요합니다.

  • CPU: vCPU 1개
  • RAM: 2GB
  • 디스크: 20GB

안정성을 높이기 위해 리전당 N+1개의 배스천 호스트 가상 머신을 배포하는 것이 좋습니다. Google Cloud

네트워킹 요구사항

Google Distributed Cloud 배스천 호스트 솔루션을 사용하려면 각 배스천 호스트 가상 머신에 대해 다음 네트워크 피어링 세션을 구성해야 합니다.

  • Northbound. 배스천 호스트 가상 머신을 인터넷에 연결합니다. 인터넷 액세스가 필요하며 Google에서 배스천 호스트 솔루션 디스크 이미지 및 소스 코드 패키지의 일부로 제공하는 특정 IP 주소의 포트 22에서 연결을 허용해야 합니다.
  • Southbound. 포트 22를 통해 배스천 호스트 가상 머신을 단일 Google Cloud 리전의 해당 Google Distributed Cloud 영역에 연결합니다.
  • 관리. 운영 및 유지보수 목적으로 배스천 호스트 가상 머신을 로컬 네트워크에 연결합니다. 조직의 보안 정책에 따라 이 피어링 세션을 구성합니다.

보안 권장사항

조직의 보안 정책 외에도 Google Distributed Cloud 배포에서 배스천 호스트 솔루션을 구성할 때는 이 섹션에 설명된 보안 권장사항을 따르는 것이 좋습니다.

  • 최소 권한 규칙을 따르고 사용자에게 명확한 직무 분리를 유지합니다.
  • 관리자를 제외한 모든 사용자 계정에는 인증서 기반 인증만 사용하고 배스천 호스트 가상 머신에 대한 비밀번호 기반 인증 및 루트 액세스를 사용 중지합니다.
  • Google에서 제공하는 지원 IP 주소 목록에 포함되지 않은 Northbound 피어링 세션의 모든 IP에서 액세스를 거부합니다.
  • Southbound 피어링 세션의 모든 포트를 닫고 포트 22 (SSH)를 제외한 모든 포트를 닫고 Google에서 제공하는 지원 IP 주소 목록의 IP 주소에 대해서만 허용합니다.
  • 모든 배스천 호스트 가상 머신을 최신 상태로 유지합니다. Google은 각 보안 패치 및 버전 업데이트와 함께 새로운 소스 코드 패키지를 제공합니다.
  • 조직의 보안 정책을 충족하는 알림 솔루션을 구성합니다.

배스천 호스트 지원 사용 설정

Google Distributed Cloud 배포에서 배스천 호스트 지원을 사용 설정하려면 요청을 제출하세요.

배스천 호스트 가상 머신 구성

이 섹션의 단계에 따라 배스천 호스트 가상 머신을 구성합니다.

배스천 호스트 소프트웨어 가져오기 및 빌드

Google 지원팀에서 Google Distributed Cloud 배포에 배스천 호스트 기능을 활성화한 후 배스천 호스트 소프트웨어 패키지가 전송됩니다. 패키지에는 다음이 포함됩니다.

  • 소스 코드. 비즈니스 요구사항에 따라 자체 배스천 호스트 가상 머신 이미지를 맞춤설정하고 빌드할 수 있습니다.
  • 문서. 인증서 구성과 같은 작업에 대한 추가 문서입니다.

필수 사용자 계정 구성

Google Distributed Cloud의 배스천 호스트 기능에는 다음 카테고리 각각에 하나 이상의 사용자 계정이 필요합니다.

  • 관리. 배스천 호스트 가상 머신의 관리자 계정입니다. 루트 액세스 권한이 있습니다.
  • 호스트 사용자. 운영 엔지니어 계정입니다. Google 지원팀의 터미널 멀티플렉서 세션을 시작하고 관리할 수 있지만 이러한 세션에 명령어를 입력할 수는 없습니다.
  • 게스트 사용자. Google 지원 엔지니어 계정입니다. 배스천 호스트 가상 머신에서 운영 엔지니어와 공유되는 터미널 멀티플렉서 세션 내에서 SSH 연결을 설정할 수 있습니다. 다른 권한은 없습니다.
  • 공동 사용자. 이 계정은 배스천 호스트 가상 머신에서 터미널 멀티플렉서 세션을 설정합니다. 운영 엔지니어와 Google 지원 엔지니어가 공동으로 이 세션에 연결합니다.

인증서 구성

이전 섹션에 설명된 계정이 배스천 호스트 가상 머신에 액세스할 수 있도록 인증서를 구성해야 합니다. 이러한 인증서를 구성하는 방법은 배스천 호스트 소프트웨어 패키지에 포함되어 있습니다.

로깅 구성

비즈니스 요구사항에 따라 배스천 호스트 가상 머신에서 로그를 순환하고 내보내는 것은 사용자의 책임입니다. 또한 가상 머신에 저장할 수 있는 충분한 디스크 공간을 유지해야 합니다.

구성 테스트

Google 지원팀과 협력하여 양쪽 끝의 연결 및 필요한 사용자 계정에 대한 적절한 액세스 제어를 포함하여 배스천 호스트 가상 머신 배포를 테스트합니다.

다음 단계