Configurer un hôte bastion

Cette page explique comment configurer un hôte bastion sur votre déploiement Google Distributed Cloud connecté pour permettre aux ingénieurs Google d'accéder aux nœuds de votre zone Distributed Cloud connectée et de résoudre les problèmes les concernant via Secure Shell (SSH).

Google fournit le code source complet à partir duquel vous pouvez créer une machine virtuelle hôte bastion personnalisée en fonction des besoins de votre entreprise.

Prérequis

Cette section liste les prérequis pour déployer la solution d'hôte bastion connecté Distributed Cloud.

Spécifications des machines virtuelles

La solution d'hôte bastion connecté Distributed Cloud nécessite l'équivalent d'un déploiement OpenStack de taille small avec les spécifications suivantes :

• Processeur : 1 vCPU
• Mémoire RAM : 2 Go
• Disque : 20 Go

Google recommande de déployer des machines virtuelles hôtes bastion N+1 par région Google Cloud pour une fiabilité accrue.

Exigences de mise en réseau

La solution d'hôte bastion connecté au cloud distribué nécessite que vous configuriez les sessions d'appairage de réseau suivantes pour chaque machine virtuelle d'hôte bastion :

• Northbound : Connecte la machine virtuelle de l'hôte bastion à Internet. Nécessite un accès à Internet et doit autoriser les connexions sur le port 22 à partir d'adresses IP spécifiques que Google fournit dans le package de code source et l'image de disque de la solution d'hôte bastion.
• Southbound : Connecte la machine virtuelle hôte bastion sur le port 22 aux zones connectées Distributed Cloud correspondantes dans une seule région Google Cloud .
• Gestion Connecte la machine virtuelle hôte bastion à votre réseau local à des fins d'opération et de maintenance. Configurez cette session de peering conformément à la règle de sécurité de votre organisation.

Bonnes pratiques concernant la sécurité

Google vous recommande vivement de suivre les bonnes pratiques de sécurité décrites dans cette section lorsque vous configurez une solution d'hôte bastion sur votre déploiement Distributed Cloud connecté, en plus des règles de sécurité de votre organisation :

• Suivez la règle du moindre privilège et séparez clairement les tâches des utilisateurs.
• Pour tous les comptes utilisateur autres que celui de l'administrateur, utilisez uniquement l'authentification basée sur les certificats. Désactivez l'authentification basée sur les mots de passe et l'accès racine aux machines virtuelles de l'hôte bastion.
• Refusez l'accès à partir de toutes les adresses IP de la session d'appairage Northbound qui ne font pas partie de la liste d'adresses IP d'assistance fournie par Google.
• Fermez tous les ports de la session d'appairage en aval, à l'exception du port 22 (SSH), et autorisez-le uniquement pour les adresses IP figurant dans la liste des adresses IP d'assistance fournies par Google.
• Maintenez à jour toutes les machines virtuelles de l'hôte bastion. Google fournit un nouveau package de code source à chaque correctif de sécurité et mise à jour de version.
• Configurez une solution d'alerte qui respecte les règles de sécurité de votre organisation.

Activer la prise en charge de l'hôte bastion

Pour activer la prise en charge de l'hôte bastion sur votre déploiement Distributed Cloud connecté, envoyez une demande.

Configurer une machine virtuelle d'hôte bastion

Suivez les étapes de cette section pour configurer une machine virtuelle hôte bastion.

Obtenir et compiler le logiciel de l'hôte bastion

Le package logiciel de l'hôte bastion vous est envoyé une fois que l'assistance Google a activé la fonctionnalité d'hôte bastion pour votre déploiement Distributed Cloud connecté. Le package contient les éléments suivants :

• Code source Vous pouvez personnaliser et créer vos propres images de machine virtuelle hôte bastion en fonction des besoins de votre entreprise.
• Documentation Documentation supplémentaire pour les tâches telles que la configuration des certificats.

Configurer les comptes utilisateur requis

La fonctionnalité d'hôte bastion de Distributed Cloud Connected nécessite un ou plusieurs comptes utilisateur dans chacune des catégories suivantes :

• Gestion Il s'agit du compte administrateur de la machine virtuelle de l'hôte bastion. Il dispose d'un accès root.
• Utilisateur hôte. Il s'agit du compte de l'ingénieur des opérations. Il peut démarrer et gérer des sessions de multiplexeur de terminal pour l'assistance Google, mais ne peut saisir aucune commande dans ces sessions.
• Utilisateur invité : Il s'agit du compte de l'ingénieur de l'assistance Google. Il peut établir une connexion SSH dans une session de multiplexeur de terminal partagée avec votre ingénieur des opérations sur une machine virtuelle hôte bastion. Il ne dispose d'aucun autre droit.
• Utilisateur conjoint. Ce compte établit la session du multiplexeur de terminal sur la machine virtuelle hôte bastion. Votre ingénieur des opérations et un ingénieur de l'assistance Google se connecteront ensemble à cette session.

Configurer des certificats

Vous devez configurer des certificats qui permettent aux comptes décrits dans la section précédente d'accéder à la machine virtuelle hôte bastion. Les instructions de configuration de ces certificats sont incluses dans le package logiciel de l'hôte bastion.

Configurer la journalisation

Il vous incombe de faire pivoter et d'exporter les journaux des machines virtuelles hôtes bastion en fonction des besoins de votre entreprise. Vous devez également disposer de suffisamment d'espace disque pour les stocker sur la machine virtuelle.

Tester votre configuration

Collaborez avec l'assistance Google pour tester le déploiement de votre machine virtuelle hôte bastion, y compris la connectivité de bout en bout et le contrôle des accès approprié pour les comptes utilisateur requis.

Étapes suivantes

• Déployer des charges de travail sur Distributed Cloud connecté
• Gérer les machines
• Créer et gérer des clusters
• Créer et gérer des réseaux
• Créer et gérer des pools de nœuds