本頁說明如何在 Google Distributed Cloud 連線部署中設定防禦主機,讓 Google 工程師透過安全殼層 (SSH) 存取及排解 Distributed Cloud 連線區域中的節點。
Google 提供完整原始碼,您可以根據業務需求,建構自訂的堡壘主機虛擬機器。
必要條件
本節列出部署 Distributed Cloud 連線堡壘主機解決方案的必要條件。
虛擬機器規格
Distributed Cloud 連結網路方案的堡壘主機解決方案需要相當於 small 大小的 OpenStack 部署作業,並符合下列規格:
- CPU:1 個 vCPU
- RAM:2 GB
- 磁碟:20 GB
為提高可靠性,Google 建議每個 Google Cloud 區域部署 N+1 個堡壘主機虛擬機器。
網路需求
Distributed Cloud 連線堡壘主機解決方案要求您為每個堡壘主機虛擬機器設定下列網路對等互連工作階段:
- 北行。將防禦主機虛擬機器連上網際網路。需要網際網路存取權,且必須允許從特定 IP 位址透過通訊埠 22 建立連線。這些 IP 位址是 Google 提供的,屬於堡壘主機解決方案磁碟映像檔和原始碼套件的一部分。
- 南向。透過 22 埠將堡壘主機虛擬機器連線至單一 Google Cloud 區域中的對應 Distributed Cloud 連線區域。
- 管理。將堡壘主機虛擬機器連上本機網路,以利作業和維護。請根據貴機構的安全性政策設定這個對等互連工作階段。
安全性最佳做法
除了貴機構的安全政策外,Google 也強烈建議您在 Distributed Cloud 連線部署中設定堡壘主機解決方案時,遵循本節所述的安全最佳做法:
- 遵循最低權限規則,並為使用者清楚劃分職責。
- 除了管理員帳戶以外,所有使用者帳戶都只能使用憑證型驗證;停用密碼型驗證,並禁止存取堡壘主機虛擬機器的根目錄。
- 拒絕來自所有 IP 的存取要求 (北向對等互連工作階段),但 Google 提供的支援 IP 位址清單除外。
- 關閉南向對等互連工作階段的所有通訊埠 (通訊埠 22 除外),並僅允許 Google 提供的支援 IP 位址清單中的 IP 位址使用。
- 將所有堡壘主機虛擬機器保持在最新狀態。Google 會在每次發布安全性修補程式和版本更新時,提供新的原始碼套件。
- 設定符合貴機構安全政策的警報解決方案。
啟用堡壘主機支援
如要在 Distributed Cloud 連線部署中啟用堡壘主機支援,請提交要求。
設定防禦主機虛擬機器
請按照本節的步驟設定堡壘主機虛擬機器。
取得並建構防禦主機軟體
Google 支援團隊為 Distributed Cloud connected 部署作業啟用防禦主機功能後,您就會收到防禦主機軟體套件。這個套件包含下列項目:
- 原始碼。您可以根據業務需求,自訂及建構自己的堡壘主機虛擬機器映像檔。
- 說明文件。其他工作 (例如設定憑證) 的說明文件。
設定必要的使用者帳戶
Distributed Cloud Connected 的堡壘主機功能需要一或多個使用者帳戶,且必須屬於下列類別:
- 管理。這是防禦主機虛擬機器的管理員帳戶。具有根層級存取權。
- 主機使用者:這是營運工程師帳戶。它可以為 Google 支援人員啟動及管理終端機多工器工作階段,但無法在這些工作階段中輸入任何指令。
- 訪客使用者:這是 Google 支援工程師帳戶。這項功能可在終端機多工器工作階段中建立 SSH 連線,並在堡壘主機虛擬機器上與作業工程師共用。沒有其他權限。
- 共同使用者。這個帳戶會在堡壘主機虛擬機器上建立終端機多工器工作階段。您的作業工程師和 Google 支援工程師會共同連線至這個工作階段。
設定憑證
您必須設定憑證,允許上一節所述帳戶存取防禦主機虛擬機器。堡壘主機軟體套件中包含設定這些憑證的操作說明。
設定記錄功能
您必須根據業務需求,負責輪替及匯出堡壘主機虛擬機器的記錄。您也必須維持足夠的磁碟空間,才能將這些檔案儲存在虛擬機器上。
測試您的設定
與 Google 支援團隊合作,測試防禦主機虛擬機器部署作業,包括兩端的連線,以及必要使用者帳戶的適當存取權控管。