Configura i Controlli di servizio VPC e i cluster privati

Questa pagina descrive come funzionano i Controlli di servizio VPC e i cluster privati e come configurarli in Cloud Workstations.

Controlli di servizio VPC

I Controlli di servizio VPC aumentano la sicurezza delle workstation, contribuendo a mitigare il rischio di esfiltrazione di dati. Utilizzando i Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio che possono proteggere risorse e servizi da richieste provenienti dall'esterno del perimetro.

Di seguito sono riportati i requisiti per l'utilizzo di Cloud Workstations in un perimetro di servizio VPC:

  • Per proteggere Cloud Workstations, devi limitare l'API Compute Engine nel perimetro di servizio ogni volta che limiti l'API Cloud Workstations.

  • Assicurati che l'API Google Cloud Storage e l'API Artifact Registry siano accessibili tramite VPC nel perimetro di servizio. Questa operazione è necessaria per eseguire il pull delle immagini sulla workstation. Ti consigliamo inoltre di consentire l'accesso tramite VPC all'API Cloud Logging e all'API Error Reporting nel tuo perimetro di servizio, anche se non è obbligatorio per utilizzare Cloud Workstations.

  • Assicurati che il cluster di workstation sia privato. La configurazione di un cluster privato impedisce le connessioni alle workstation dall'esterno del perimetro di servizio VPC. Il servizio Cloud Workstations impedisce la creazione di cluster pubblici in un perimetro di servizio VPC.
  • Assicurati di disattivare gli indirizzi IP pubblici nella configurazione della workstation configurazione. In caso contrario, nel progetto verranno create VM con indirizzi IP pubblici. Ti consigliamo vivamente di utilizzare il constraints/compute.vmExternalIpAccess vincolo della policy dell'organizzazione per disattivare gli indirizzi IP pubblici per tutte le VM nel perimetro di servizio VPC. Per i dettagli, consulta Limitare gli indirizzi IP esterni a VM specifiche.

Per saperne di più sui perimetri di servizio, consulta Dettagli e configurazione del perimetro di servizio.

Architettura

Quando configuri un cluster di workstation come privato, il piano di controllo del cluster di workstation ha solo un indirizzo IP interno. Ciò significa che i client della rete internet pubblica non possono connettersi alle workstation appartenenti al cluster di workstation. Per utilizzare un cluster privato, devi connetterlo manualmente alla rete Virtual Private Cloud (VPC) tramite un endpoint Private Service Connect.

Le configurazioni con cluster privati richiedono due endpoint PSC:

  • Per impostazione predefinita, Cloud Workstations crea un endpoint PSC separato per connettere il piano di controllo alle VM workstation.

  • Devi creare un endpoint PSC aggiuntivo per i cluster privati. Per connetterti dalla tua macchina locale a una workstation in un cluster privato, la tua macchina locale deve essere connessa alla rete VPC. Utilizza Cloud VPN o Cloud Interconnect per connettere la rete esterna in cui esegui la macchina alla rete VPC network. Questo endpoint PSC aggiuntivo deve essere creato nella stessa rete a cui si connette la rete esterna con Cloud VPN o Cloud Interconnect.

Il seguente diagramma illustra un esempio di architettura di un cluster privato:

Figura 1. Cluster privati

Prima di iniziare

Prima di iniziare, assicurati di completare i seguenti passaggi di configurazione obbligatori:

  1. Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Abilita l'API Cloud Workstations.

    Ruoli richiesti per abilitare le API

    Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo servizi (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

    Abilitare l'API

  7. Assicurati di disporre di un ruolo IAM Amministratore di Cloud Workstations nel progetto in modo da poter creare configurazioni di workstation. Per controllare i tuoi ruoli IAM nella Google Cloud console, vai alla IAM pagina:

    Vai a IAM

  8. Cloud Workstations è ospitato su VM avviate da immagini pubbliche preconfigurate di Container-Optimized OS (COS) di Compute Engine. Se viene applicato il vincolo della policy dell'organizzazione constraints/compute.trustedimageProjects, devi impostare i vincoli di accesso alle immagini per consentire agli utenti di creare dischi di avvio da projects/cos-cloud o da tutte le immagini pubbliche.
  9. (Facoltativo) Abilita l'API Container File System per consentire un avvio più rapido della workstation.

    Abilita l'API Container File System

    Per saperne di più, consulta Ridurre il tempo di avvio della workstation con lo streaming di immagini.

Creare un cluster privato

Per creare un cluster privato:

  1. Nella Google Cloud console, vai alla pagina Cloud Workstations.

    Vai a Cloud Workstations

  2. Vai alla pagina Gestione dei cluster delle workstation.

  3. Fai clic su Crea.

  4. Inserisci il Nome e seleziona una Regione per il cluster di workstation.

  5. Nella sezione Networking, seleziona Reti in questo progetto.

  6. Seleziona una Rete e una Subnet.

  7. In Tipo di gateway, seleziona Gateway privato.

  8. (Facoltativo) Specifica uno o più progetti aggiuntivi che ospitano l'endpoint Private Service Connect che consente l'accesso HTTP al cluster privato. Per impostazione predefinita, questo endpoint può essere creato solo nel progetto del cluster di workstation e nel progetto host della rete VPC (se diverso). Se necessario, questi progetti possono essere specificati anche dopo la creazione del cluster.

  9. Fai clic su Crea. Durante la creazione del cluster, lo stato viene visualizzato come Aggiornamento.

    La creazione di un cluster richiede alcuni minuti. Al termine della creazione del cluster, lo stato del cluster potrebbe essere visualizzato come Degradato. Dopo aver completato i passaggi nella sezione Creare un endpoint PSC, lo stato del cluster cambierà in Pronto entro pochi minuti.

Abilitare la connettività del cluster privato

I client non possono connettersi alle workstation nei cluster di workstation privati dalla rete internet pubblica. I client devono trovarsi su una rete che si connette al cluster di workstation utilizzando Private Service Connect (PSC). Segui i passaggi in questa sezione per connetterti a una workstation:

  1. Crea un endpoint PSC che abbia come target il collegamento del servizio della workstation.

  2. Crea una zona DNS privata.

  3. Utilizza Cloud DNS per creare un record DNS che esegua il mapping del nome host del cluster all'endpoint PSC.

Creare un endpoint Private Service Connect

Per creare un endpoint PSC:

  1. Nella Google Cloud console, vai a Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Endpoint connessi e poi su addConnetti endpoint.

  3. In Target, seleziona Servizio pubblicato.

  4. Nel campo Servizio di destinazione, inserisci l'URI del collegamento del servizio creato per il cluster di workstation. Per trovarlo, vai al cluster di workstation nella console e cerca il campo URI del collegamento del servizio in Impostazioni di rete.

  5. Nel campo Endpoint, inserisci un nome endpoint.

  6. Seleziona una Rete per l'endpoint e poi seleziona una Subnet. Questa rete deve essere la rete che vuoi utilizzare per connetterti alle workstation e deve essere la stessa rete a cui si connette la rete esterna con Cloud VPN o Cloud Interconnect.

  7. Seleziona un indirizzo IP per l'endpoint.

    Se hai bisogno di un nuovo indirizzo IP, seleziona Crea indirizzo IP:

    1. Inserisci un Nome e una Descrizione (facoltativa) per l'indirizzo IP.
    2. Per un indirizzo IP statico, seleziona Assegna automaticamente. Per un indirizzo IP personalizzato, seleziona Scelta manuale e inserisci l'indirizzo IP che vuoi utilizzare.
    3. In Scopo, seleziona Non condiviso.
    4. Fai clic su Prenota.

  8. Seleziona uno spazio dei nomi dall'elenco a discesa o creane uno nuovo. La Regione viene compilata in base alla subnet selezionata.

  9. Fai clic su Aggiungi endpoint.

  10. Copia l'indirizzo IP dell'endpoint in modo da poterlo utilizzare nella sezione successiva per creare una zona DNS privata e un record DNS.

Creare una zona DNS privata

Per creare una zona DNS privata per questo cluster di workstation con il nome DNS impostato su clusterHostname, che puoi trovare andando al cluster di workstation nella console:

  1. Nella Google Cloud console, vai alla pagina Crea una zona DNS.

    Vai a Crea una zona DNS

  2. In Tipo di zona, seleziona Privata.

  3. Inserisci un Nome zona, ad esempio private-workstations-cluster-zone.

  4. Inserisci un suffisso per il nome DNS della zona privata. Tutti i record nella zona condividono questo suffisso. Imposta questo nome su clusterHostname.

    Per trovare clusterHostname, vai alla pagina Cloud Workstations  > Gestione dei cluster nella Google Cloud console, quindi fai clic sul cluster di workstation per visualizzare il nome host.

  5. (Facoltativo) Aggiungi una descrizione.

  6. In Opzioni, seleziona Predefinita (privata).

  7. Seleziona la rete su cui hai creato l' endpoint PSC nella sezione precedente , perché l'indirizzo IP è valido solo su quella rete.

  8. Fai clic su Crea.

Per saperne di più sulle zone DNS private, consulta la documentazione di Cloud DNS su come creare una zona privata e le best practice per le zone private di Cloud DNS.

Creare un record DNS

Per aggiungere un record che esegua il mapping di *.<clusterHostname> all'indirizzo IP riservato quando hai creato l'endpoint Private Service Connect, segui questi passaggi:

  1. Nella Google Cloud console, vai alla pagina delle zone Cloud DNS.

    Vai alle zone Cloud DNS

  2. Fai clic sul nome della zona gestita a cui vuoi aggiungere il record.

  3. Nella pagina Dettagli zona, fai clic su Aggiungi standard.

  4. Nella pagina Crea set di record, nel campo Nome DNS, inserisci *.<clusterHostname>.

  5. Nel campo Indirizzo IP, inserisci l'indirizzo IP che hai riservato per l'endpoint Private Service Connect nella sezione precedente.

  6. Fai clic su Crea.

  7. La rete VPC dovrebbe ora essere connessa al cluster di workstation e puoi connetterti alle workstation utilizzando questa rete.

Abilitare la risoluzione DNS on-premise

Per utilizzare l'editor predefinito basato sul browser sulla workstation, utilizza un browser da una macchina connessa alla rete VPC. Puoi utilizzare Cloud VPN o Cloud Interconnect per connetterti dalla rete esterna in cui esegui il browser alla rete VPC.

Per connetterti da una rete esterna, devi configurare il DNS nella rete esterna. Analogamente ai passaggi precedenti, puoi creare una zona DNS per clusterHostname e aggiungere un record che esegua il mapping di *.<clusterHostname> all'indirizzo IP riservato quando hai creato l'endpoint Private Service Connect. In alternativa, puoi configurare zone di forwarding DNS o policy dei server DNS per consentire le ricerche di nomi DNS tra l'ambiente on-premise e quello Google Cloud .

Potresti anche dover aggiungere *cloudworkstations.dev alla lista consentita dell'infrastruttura on-premise.

Passaggi successivi