For version information, see the Distributed Cloud connected release notes.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת יעד מבוצר (bastion host)

בדף הזה מוסבר איך להגדיר יעד מבוצר (bastion host) בפריסה שמחוברת ל-Google Distributed Cloud, כדי לאפשר למהנדסי Google לגשת לצמתים באזור שמחובר ל-Distributed Cloud ולפתור בעיות בהם באמצעות Secure Shell ‏(SSH).

‫Google מספקת את קוד המקור המלא שבעזרתו אפשר ליצור מכונה וירטואלית של יעד מבוצר (bastion host) מותאם אישית בהתאם לדרישות העסקיות שלכם.

דרישות מוקדמות

בקטע הזה מפורטות הדרישות המוקדמות לפריסת פתרון של יעד מבוצר (bastion host) מחובר ל-Distributed Cloud.

מפרטים של מכונות וירטואליות

פתרון יעד מבוצר (bastion host) המחובר ל-Distributed Cloud דורש פריסת OpenStack בגודל small עם המפרט הבא:

מעבד: ‎1 vCPU
‫RAM: ‏ 2GB
דיסק: 20GB

‫Google ממליצה לפרוס מכונות וירטואליות של יעדים מבוצרים (bastion host) מסוג N+1 לכל Google Cloud אזור כדי לשפר את האמינות.

דרישות רשת

כדי להשתמש בפתרון של יעד מבוצר (bastion host) מחובר ב-Distributed Cloud, צריך להגדיר את סשנים של קישור בין רשתות שכנות (peering) לכל מכונה וירטואלית של יעד מבוצר (bastion host):

צפונה. חיבור המכונה הוירטואלית של יעד מבוצר (bastion host) לאינטרנט. נדרשת גישה לאינטרנט, וצריך לאפשר חיבורים ביציאה 22 מכתובות IP ספציפיות ש-Google מספקת כחלק מקובץ אימג' של פתרון יעד מבוצר (bastion host) וחבילת קוד מקור.
דרומה. החיבור של המכונה הווירטואלית של יעד מבוצר (bastion host) מתבצע דרך יציאה 22 לאזורים המחוברים המתאימים של Distributed Cloud באזור Google Cloud יחיד.
ניהול. מחבר את המכונה הווירטואלית של יעד מבוצר (bastion host) לרשת המקומית למטרות תפעול ותחזוקה. צריך להגדיר את סשן ה-Peering הזה בהתאם למדיניות האבטחה של הארגון.

שיטות מומלצות לאבטחה

‫Google ממליצה מאוד לפעול לפי השיטות המומלצות לאבטחה שמתוארות בקטע הזה כשמגדירים פתרון של שרת Bastion בפריסה שמחוברת ל-Distributed Cloud, בנוסף למדיניות האבטחה של הארגון:

כדאי לפעול לפי כלל ההרשאות המינימליות ולשמור על הפרדת תפקידים ברורה בין המשתמשים.
לכל חשבונות המשתמשים מלבד חשבון האדמין, משתמשים רק באימות מבוסס-אישור. משביתים את האימות מבוסס-הסיסמה ואת גישת הרמה הבסיסית (root) למכונות הווירטואליות של יעד מבוצר (bastion host).
דחיית גישה מכל כתובות ה-IP בסשן הפירינג הצפוני שלא נכללות ברשימת כתובות ה-IP לתמיכה ש-Google מספקת.
סוגרים את כל היציאות בסשן הפירינג מדרום לצפון, מלבד יציאה 22 (SSH), ומאפשרים אותה רק לכתובות IP ברשימת כתובות ה-IP לתמיכה ש-Google מספקת.
חשוב לוודא שכל המכונות הווירטואליות של יעד מבוצר (bastion host) עדכניות. ‫Google מספקת חבילת קוד מקור חדשה עם כל תיקון אבטחה ועדכון גרסה.
הגדרת פתרון התראות שעומד בדרישות מדיניות האבטחה של הארגון.

הפעלת תמיכה ביעד מבוצר (bastion host)

כדי להפעיל תמיכה ביעד מבוצר (bastion host) בפריסה שלכם ב-Distributed Cloud במודל מחובר, צריך להגיש בקשה.

הגדרת מכונה וירטואלית של יעד מבוצר (bastion host)

כדי להגדיר מכונה וירטואלית של יעד מבוצר (bastion host), פועלים לפי השלבים שמפורטים בקטע הזה.

השגת תוכנת יעד מבוצר (bastion host) ובנייתה

חבילת התוכנה של יעד מבוצר (bastion host) נשלחת אליכם אחרי שהתמיכה של Google מפעילה את התכונה של יעד מבוצר (bastion host) עבור הפריסה המחוברת שלכם ב-Distributed Cloud. החבילה מכילה את הפריטים הבאים:

קוד מקור. אתם יכולים להתאים אישית וליצור תמונות של מכונות וירטואליות של יעדים מבוצרים (bastion host) על סמך הדרישות העסקיות שלכם.
מסמכי תיעוד תיעוד נוסף למשימות כמו הגדרת אישורים.

הגדרת חשבונות המשתמשים הנדרשים

התכונה 'יעד מבוצר (bastion host)' ב-Distributed Cloud במודל מחובר דורשת חשבון משתמש אחד או יותר בכל אחת מהקטגוריות הבאות:

ניהול. זהו חשבון האדמין של המכונה הווירטואלית של יעד מבוצר (bastion host). יש לו גישת רוט (Root).
משתמש מארח. זה החשבון של מהנדס התפעול. הוא יכול להתחיל ולנהל סשנים של טרמינל מולטיפלקסר לתמיכה של Google, אבל הוא לא יכול להזין פקודות בסשנים האלה.
משתמש אורח. זהו חשבון של מהנדס תמיכה של Google. הוא יכול ליצור חיבור SSH בתוך סשן של טרמינל מולטיפלקסר שמשותף עם מהנדס התפעול שלכם במכונה וירטואלית של יעד מבוצר (bastion host). אין לו הרשאות אחרות.
משתמש משותף. חשבון זה יוצר את סשן ה-terminal multiplexer במכונה הוירטואלית של יעד מבוצר (bastion host). מהנדס התפעול שלכם ומהנדס תמיכה של Google יתחברו יחד לסשן הזה.

הגדרת אישורים

צריך להגדיר אישורים שמאפשרים לחשבונות שמתוארים בקטע הקודם לגשת למכונה הוירטואלית של יעד מבוצר (bastion host). הוראות להגדרת האישורים האלה כלולות בחבילת התוכנה של יעד מבוצר (bastion host).

הגדרת רישום ביומן

אתם אחראים לסיבוב ולייצוא של יומנים ממכונות וירטואליות של יעדים מבוצרים (bastion host), בהתאם לדרישות העסקיות שלכם. בנוסף, צריך להקצות מספיק מקום בדיסק כדי לאחסן אותם במכונה הווירטואלית.

בדיקת ההגדרה

עובדים עם תמיכה של Google כדי לבדוק את ה-Deployment (פריסה) של המכונה הווירטואלית של יעד מבוצר (bastion host), כולל הקישוריות משני הקצוות ובקרת הגישה המתאימה לחשבונות המשתמשים הנדרשים.