踏み台インスタンスを構成する

このページでは、Google エンジニアが Secure Shell(SSH)経由で Distributed Cloud 接続ゾーンのノードにアクセスしてトラブルシューティングできるように、Google Distributed Cloud 接続デプロイに踏み台ホストを構成する方法について説明します。

Google は、ビジネス要件に基づいてカスタマイズされた要塞ホスト仮想マシンを構築できる完全なソースコードを提供します。

前提条件

このセクションでは、Distributed Cloud 接続バストホスト ソリューションをデプロイするための前提条件について説明します。

仮想マシンの仕様

Distributed Cloud 接続バストホスト ソリューションには、次の仕様の small サイズの OpenStack デプロイメントと同等のものが必要です。

  • CPU: 1 vCPU
  • RAM: 2 GB
  • ディスク: 20 GB

信頼性を高めるために、リージョンごとに N+1 個の踏み台ホスト仮想マシンをデプロイすることをおすすめします。 Google Cloud

ネットワーキングの要件

Distributed Cloud 接続の要塞ホスト ソリューションでは、各要塞ホスト仮想マシンに対して次のネットワーク ピアリング セッションを構成する必要があります。

  • ノースバウンド。踏み台インスタンスの仮想マシンをインターネットに接続します。インターネット アクセスが必要で、Google が提供する特定の IP アドレスからのポート 22 での接続を許可する必要があります。これらの IP アドレスは、要塞ホスト ソリューションのディスク イメージとソースコード パッケージの一部です。
  • サウスバウンド。ポート 22 経由で、単一の Google Cloud リージョン内の対応する Distributed Cloud 接続ゾーンに、要塞ホストの仮想マシンを接続します。
  • 管理。運用とメンテナンスのために、要塞ホストの仮想マシンをローカル ネットワークに接続します。組織のセキュリティ ポリシーに従って、このピアリング セッションを構成します。

おすすめのセキュリティ対策

組織のセキュリティ ポリシーに加えて、Distributed Cloud 接続デプロイに要塞ホスト ソリューションを構成する際は、このセクションで説明するセキュリティのベスト プラクティスに従うことを強くおすすめします。

  • 最小権限の原則に従い、ユーザーの職務分掌を明確に維持します。
  • 管理者以外のすべてのユーザー アカウントで、証明書ベースの認証のみを使用します。パスワードベースの認証と、要塞ホスト仮想マシンへの root アクセスを無効にします。
  • Google が提供するサポート IP アドレス リストに含まれていない、北方向のピアリング セッションのすべての IP からのアクセスを拒否します。
  • ポート 22(SSH)を除くサウスバウンド ピアリング セッションのすべてのポートを閉じ、Google が提供するサポート IP アドレス リストの IP アドレスに対してのみ許可します。
  • すべての踏み台ホスト仮想マシンを最新の状態に保ちます。Google は、セキュリティ パッチとバージョン アップデートごとに新しいソースコード パッケージを提供します。
  • 組織のセキュリティ ポリシーを満たすアラート ソリューションを構成します。

踏み台ホストのサポートを有効にする

Distributed Cloud 接続デプロイで踏み台ホストのサポートを有効にするには、リクエストを送信します。

踏み台ホストの仮想マシンを構成する

このセクションの手順に沿って、踏み台ホストの仮想マシンを構成します。

踏み台インスタンス ソフトウェアを取得してビルドする

踏み台ホストのソフトウェア パッケージは、Google サポートが Distributed Cloud 接続デプロイの踏み台ホスト機能を有効にした後に送信されます。このパッケージには次のものが含まれます。

  • ソースコード。ビジネス要件に基づいて、独自の要塞ホスト仮想マシン イメージをカスタマイズして構築できます。
  • ドキュメント。証明書の構成などのタスクに関する追加のドキュメント。

必要なユーザー アカウントを構成する

Distributed Cloud Connected の踏み台ホスト機能には、次のカテゴリのユーザー アカウントが 1 つ以上必要です。

  • 管理。これは、踏み台ホストの仮想マシンの管理者アカウントです。ルートアクセス権限があります。
  • ホストユーザー。これはオペレーション エンジニアのアカウントです。Google サポートのターミナル マルチプレクサ セッションを開始して管理できますが、これらのセッションにコマンドを入力することはできません。
  • ゲストユーザー。これは Google サポート エンジニアのアカウントです。オペレーション エンジニアと共有されているターミナル マルチプレクサ セッション内で、踏み台ホスト仮想マシンに SSH 接続を確立できます。他の権限はありません。
  • 共同ユーザー。このアカウントは、踏み台ホストの仮想マシンでターミナル マルチプレクサ セッションを確立します。オペレーション エンジニアと Google サポート エンジニアがこのセッションに共同で接続します。

証明書を構成する

前のセクションで説明したアカウントが要塞ホストの仮想マシンにアクセスできるようにする証明書を構成する必要があります。これらの証明書を構成する手順は、要塞ホスト ソフトウェア パッケージに含まれています。

ロギングを構成する

ビジネス要件に基づいて、踏み台ホストの仮想マシンからログをローテーションしてエクスポートするのは、ユーザーの責任です。また、仮想マシンに保存するための十分なディスク容量を維持する必要があります。

設定をテストする

Google サポートと協力して、両端からの接続や、必要なユーザー アカウントに対する適切なアクセス制御など、踏み台ホストの仮想マシン デプロイをテストします。

次のステップ