En esta página, se describe cómo configurar un host de bastión en tu implementación conectada de Google Distributed Cloud para permitir que los ingenieros de Google accedan a los nodos de tu zona conectada de Distributed Cloud y solucionen problemas en ellos a través de Secure Shell (SSH).
Google proporciona el código fuente completo con el que puedes compilar una máquina virtual de host de bastión personalizada según los requisitos de tu empresa.
Requisitos previos
En esta sección, se enumeran los requisitos previos para implementar la solución de host de bastión conectado de Distributed Cloud.
Especificaciones de la máquina virtual
La solución de host de bastión conectado de Distributed Cloud requiere el equivalente a una implementación de OpenStack de tamaño small con las siguientes especificaciones:
- CPU: 1 CPU virtual
- RAM: 2 GB
- Disco: 20 GB
Google recomienda implementar N+1 máquinas virtuales de host de bastión por Google Cloud región para aumentar la confiabilidad.
Requisitos de Herramientas de redes
La solución de host de bastión conectado de Distributed Cloud requiere que configures las siguientes sesiones de intercambio de tráfico de red para cada máquina virtual del host de bastión:
- Sentido norte. Conecta la máquina virtual del host de bastión a Internet. Requiere acceso a Internet y debe permitir conexiones en el puerto 22 desde direcciones IP específicas que Google proporciona como parte de la imagen de disco de la solución de host de bastión y el paquete de código fuente.
- Hacia el sur. Conecta la máquina virtual del host de bastión a través del puerto 22 a las zonas conectadas de Distributed Cloud correspondientes en una sola región Google Cloud .
- Administración: Conecta la máquina virtual del host de bastión a tu red local para fines de operación y mantenimiento. Configura esta sesión de peering según la política de seguridad de tu organización.
Prácticas recomendadas en materia de seguridad
Google recomienda que sigas las prácticas recomendadas de seguridad que se describen en esta sección cuando configures una solución de host de bastión en tu implementación conectada de Distributed Cloud, además de las políticas de seguridad de tu organización:
- Sigue la regla de privilegio mínimo y mantén una separación clara de las obligaciones de los usuarios.
- Para todas las cuentas de usuario que no sean la del administrador, usa solo la autenticación basada en certificados; inhabilita la autenticación basada en contraseñas y el acceso raíz a las máquinas virtuales del host de bastión.
- Rechaza el acceso desde todas las IPs de la sesión de interconexión de salida que no formen parte de la lista de direcciones IP de asistencia proporcionada por Google.
- Cierra todos los puertos de la sesión de peering de salida, excepto el puerto 22 (SSH), y permítelo solo para las direcciones IP de la lista de direcciones IP de asistencia proporcionada por Google.
- Mantén actualizadas todas las máquinas virtuales del host de bastión. Google proporciona un nuevo paquete de código fuente con cada parche de seguridad y actualización de versión.
- Configura una solución de alertas que satisfaga las políticas de seguridad de tu organización.
Habilita la compatibilidad con el host de bastión
Para habilitar la compatibilidad con el host de bastión en tu implementación conectada de Distributed Cloud, envía una solicitud.
Configura una máquina virtual host de bastión
Sigue los pasos de esta sección para configurar una máquina virtual de host de bastión.
Obtén y compila el software del host de bastión
El paquete de software del host de bastión se te envía después de que el Atención al cliente de Google activa la función del host de bastión para tu implementación conectada de Distributed Cloud. El paquete contiene lo siguiente:
- Código fuente: Puedes personalizar y compilar tus propias imágenes de máquina virtual de host de bastión según tus requisitos comerciales.
- Documentación: Documentación adicional para tareas como la configuración de certificados
Configura las cuentas de usuario necesarias
La función de host de bastión de Distributed Cloud Connected requiere una o más cuentas de usuario en cada una de las siguientes categorías:
- Administración Esta es la cuenta de administrador de la máquina virtual del host de bastión. Tiene acceso de administrador.
- Usuario host. Esta es la cuenta del ingeniero de operaciones. Puede iniciar y administrar sesiones de multiplexor de terminal para el Atención al cliente de Google, pero no puede ingresar ningún comando en esas sesiones.
- Usuario invitado. Esta es la cuenta del ingeniero de Atención al cliente de Google. Puede establecer una conexión SSH dentro de una sesión de multiplexor de terminal compartida con tu ingeniero de operaciones en una máquina virtual de host de bastión. No tiene otros privilegios.
- Usuario conjunto. Esta cuenta establece la sesión del multiplexor de terminal en la máquina virtual del host de bastión. Tu ingeniero de operaciones y un ingeniero de asistencia de Google se conectarán de forma conjunta a esta sesión.
Configura certificados
Debes configurar certificados que permitan que las cuentas descritas en la sección anterior accedan a la máquina virtual del host de bastión. Las instrucciones para configurar estos certificados se incluyen en el paquete de software del host de bastión.
Configura el registro
Eres responsable de rotar y exportar los registros de las máquinas virtuales del host de bastión según tus requisitos comerciales. También debes mantener suficiente espacio en el disco para almacenarlos en la máquina virtual.
Prueba la configuración
Trabaja con el Atención al cliente de Google para probar la implementación de la máquina virtual del host de bastión, incluida la conectividad desde ambos extremos y el control de acceso adecuado para las cuentas de usuario requeridas.
¿Qué sigue?
- Implementa cargas de trabajo en Distributed Cloud conectado
- Administrar máquinas
- Cómo crear y administrar clústeres
- Crea y administra redes
- Crear y administrar grupos de nodos