Configurar um Bastion Host

Nesta página, descrevemos como configurar um Bastion Host na implantação conectada do Google Distributed Cloud para permitir que os engenheiros do Google acessem e resolvam problemas nos nós da zona conectada do Distributed Cloud usando o Secure Shell (SSH).

O Google fornece o código-fonte completo para que você possa criar uma máquina virtual Bastion Host personalizada com base nos requisitos da sua empresa.

Pré-requisitos

Esta seção lista os pré-requisitos para implantar a solução de Bastion Host conectado do Distributed Cloud.

Especificações da máquina virtual

A solução Bastion Host conectado do Distributed Cloud requer o equivalente a uma implantação do OpenStack de tamanho small com as seguintes especificações:

• CPU: 1 vCPU
• RAM: 2GB
• Disco: 20 GB

O Google recomenda implantar máquinas virtuais de bastion host N+1 por Google Cloud região para aumentar a confiabilidade.

Requisitos de rede

A solução de bastion host conectado do Distributed Cloud exige que você configure as seguintes sessões de peering de rede para cada máquina virtual de bastion host:

• Northbound. Conecta a máquina virtual do Bastion Host à Internet. Requer acesso à Internet e precisa permitir conexões na porta 22 de endereços IP específicos que o Google fornece como parte da imagem do disco da solução de Bastion Host e do pacote de código-fonte.
• Sentido sul. Conecta a máquina virtual do Bastion Host pela porta 22 às zonas conectadas do Distributed Cloud correspondentes em uma única região Google Cloud .
• Gerenciamento. Conecta a máquina virtual do Bastion Host à sua rede local para fins de operação e manutenção. Configure essa sessão de peering de acordo com a política de segurança da sua organização.

Práticas recomendadas de segurança

O Google recomenda seguir as práticas recomendadas de segurança descritas nesta seção ao configurar uma solução de bastion host na sua implantação conectada do Distributed Cloud, além das políticas de segurança da sua organização:

• Siga a regra de privilégio mínimo e mantenha uma separação clara de tarefas para os usuários.
• Para todas as contas de usuário, exceto a de administrador, use apenas a autenticação baseada em certificado. Desative a autenticação baseada em senha e o acesso root às máquinas virtuais do Bastion Host.
• Rejeitar o acesso de todos os IPs na sessão de peering de saída que não fazem parte da lista de endereços IP de suporte fornecida pelo Google.
• Feche todas as portas na sessão de peering southbound, exceto a porta 22 (SSH), e permita apenas para endereços IP na lista de endereços IP de suporte fornecida pelo Google.
• Mantenha todas as máquinas virtuais do Bastion Host atualizadas. O Google fornece um novo pacote de código-fonte com cada patch de segurança e atualização de versão.
• Configure uma solução de alertas que atenda às políticas de segurança da sua organização.

Ativar o suporte a Bastion Host

Para ativar o suporte Bastion Host na sua implantação conectada do Distributed Cloud, envie uma solicitação.

Configurar uma máquina virtual do Bastion Host

Siga as etapas nesta seção para configurar uma máquina virtual Bastion Host.

Extrair e criar o software do Bastion Host

O pacote de software do Bastion Host é enviado a você depois que o suporte do Google ativa o recurso Bastion Host para sua implantação conectada do Distributed Cloud. O pacote contém o seguinte:

• Código-fonte. É possível personalizar e criar suas próprias imagens de máquina virtual Bastion Host com base nos requisitos da sua empresa.
• Documentação. Documentação adicional para tarefas como configuração de certificados.

Configurar as contas de usuário necessárias

O recurso Bastion Host do Distributed Cloud Connected requer uma ou mais contas de usuário em cada uma das seguintes categorias:

• Gerenciamento. Esta é a conta de administrador da máquina virtual do bastion host. Ele tem acesso à raiz.
• Usuário host. Esta é a conta do engenheiro de operações. Ele pode iniciar e gerenciar sessões de multiplexador de terminal para o suporte do Google, mas não pode inserir comandos nessas sessões.
• Usuário visitante. Esta é a conta do engenheiro de suporte do Google. Ele pode estabelecer uma conexão SSH em uma sessão de multiplexador de terminal compartilhada com seu engenheiro de operações em uma máquina virtual Bastion Host. Ele não tem outros privilégios.
• Usuário conjunto. Essa conta estabelece a sessão do multiplexador de terminal na máquina virtual do Bastion Host. Seu engenheiro de operações e um engenheiro de suporte do Google se conectam juntos a essa sessão.

Configurar certificados

É necessário configurar certificados que permitam que as contas descritas na seção anterior acessem a máquina virtual do Bastion Host. As instruções para configurar esses certificados estão incluídas no pacote de software do Bastion Host.

Configurar a geração de registros

Você é responsável por fazer a rotação e exportar os registros das máquinas virtuais do Bastion Host com base nos requisitos da sua empresa. Também é necessário manter espaço em disco suficiente para armazená-los na máquina virtual.

Testar a configuração

Trabalhe com o suporte do Google para testar a implantação da máquina virtual do bastion host, incluindo a conectividade de ambas as extremidades e o controle de acesso adequado para as contas de usuário necessárias.

A seguir

• Implantar cargas de trabalho no Distributed Cloud conectado
• Gerenciar máquinas
• Criar e gerenciar clusters
• Criar e gerenciar redes
• Criar e gerenciar pools de nós