本页面介绍了如何在 Google Distributed Cloud 连接的部署中配置堡垒主机,以允许 Google 工程师通过 Secure Shell (SSH) 访问和排查 Distributed Cloud 连接区域中的节点。
Google 提供完整的源代码,您可以根据自己的业务需求构建自定义堡垒主机虚拟机。
前提条件
本部分列出了部署 Distributed Cloud 连接堡垒主机解决方案的前提条件。
虚拟机规格
Distributed Cloud 连接的堡垒主机解决方案需要相当于 small 大小的 OpenStack 部署,并具有以下规范:
- CPU:1 个 vCPU
- RAM:2 GB
- 磁盘:20GB
Google 建议为每个 Google Cloud 区域部署 N+1 个堡垒主机虚拟机,以提高可靠性。
网络要求
Distributed Cloud 连接的堡垒主机解决方案要求您为每个堡垒主机虚拟机配置以下网络对等互连会话:
- 北向。将堡垒主机虚拟机连接到互联网。需要互联网访问权限,并且必须允许从特定 IP 地址(Google 提供,作为堡垒主机解决方案磁盘映像和源代码软件包的一部分)建立端口 22 上的连接。
- 南向。通过端口 22 将堡垒主机虚拟机连接到单个 Google Cloud 区域中的相应分布式云连接区域。
- 管理。将堡垒主机虚拟机连接到本地网络,以进行操作和维护。请根据贵组织的安全政策配置此对等互连会话。
安全性方面的最佳做法
Google 强烈建议您在分布式云连接部署中配置堡垒主机解决方案时,除了遵循组织的安全政策之外,还应遵循本部分所述的安全最佳实践:
- 遵循最小权限规则,并明确划分用户的职责。
- 对于管理员以外的所有用户账号,仅使用基于证书的身份验证;停用基于密码的身份验证和对堡垒主机虚拟机的 root 访问权限。
- 拒绝来自北向对等会话中所有不在 Google 提供的支持 IP 地址列表中的 IP 的访问。
- 关闭南向对等互连会话上的所有端口(端口 22 [SSH] 除外),并仅允许 Google 提供的支持 IP 地址列表中的 IP 地址使用该端口。
- 确保所有堡垒主机虚拟机均为最新版本。Google 会在每次发布安全补丁和版本更新时提供新的源代码软件包。
- 配置符合组织安全政策的提醒解决方案。
启用堡垒主机支持
如需在 Distributed Cloud 连接的部署中启用堡垒主机支持,请提交请求。
配置堡垒主机虚拟机
请按照本部分中的步骤配置堡垒主机虚拟机。
获取并构建堡垒主机软件
Google 支持团队为您的 Distributed Cloud connected 部署激活堡垒主机功能后,会将堡垒主机软件包发送给您。该软件包包含以下内容:
- 源代码。您可以根据业务需求自定义和构建自己的堡垒主机虚拟机映像。
- 文档。有关配置证书等任务的其他文档。
配置所需的用户账号
Distributed Cloud Connected 的堡垒主机功能需要以下每个类别中的一个或多个用户账号:
- 管理。这是堡垒主机虚拟机的管理员账号。它具有 root 访问权限。
- 宿主用户。这是运营工程师账号。它可以为 Google 支持人员启动和管理终端多路复用器会话,但无法在这些会话中输入任何命令。
- 访客用户。这是 Google 支持工程师账号。它可以在堡垒主机虚拟机上与运维工程师共享的终端复用器会话中建立 SSH 连接。没有其他权限。
- 联名用户。此账号在堡垒主机虚拟机上建立终端多路复用器会话。您的运营工程师和 Google 支持工程师共同连接到此会话。
配置证书
您必须配置证书,以允许上一部分中所述的账号访问堡垒主机虚拟机。堡垒主机软件包中包含有关配置这些证书的说明。
配置日志记录
您负责根据业务需求轮换和导出堡垒主机虚拟机的日志。您还必须保持足够的磁盘空间,以便将它们存储在虚拟机上。
测试配置
与 Google 支持团队合作,测试堡垒主机虚拟机部署,包括两端的连接性,以及所需用户账号的适当访问权限控制。