VPC Service Controls und private Cluster konfigurieren

Auf dieser Seite wird beschrieben, wie VPC Service Controls und private Cluster funktionieren und wie Sie sie in Cloud Workstations einrichten.

VPC Service Controls

VPC Service Controls bietet zusätzliche Sicherheit für Ihre Workstations und verringert das Risiko einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie Projekte in Dienstperimeter einfügen, die Ressourcen und Dienste vor Anfragen schützen, die ihren Ursprung außerhalb des Perimeters haben.

Das sind die Anforderungen für die Verwendung von Cloud Workstations in einem VPC-Dienstperimeter:

  • Für den Schutz von Cloud Workstations müssen Sie die Compute Engine API in Ihrem Dienstperimeter einschränken, wenn Sie die Cloud Workstations API einschränken.

  • Achten Sie darauf, dass die Google Cloud Storage API und die Artifact Registry API über VPC zugänglich sind in Ihrem Dienst perimeter. Dies ist erforderlich, um Images auf Ihre Workstation herunterladen zu können. Wir empfehlen außerdem, dass die Cloud Logging API und die Cloud Error Reporting API in Ihrem Dienstperimeter über VPC zugänglich sind. Dies ist jedoch nicht erforderlich, um Cloud Workstations zu verwenden.

  • Der Workstation-Cluster muss privat sein. Durch das Konfigurieren eines privaten Clusters werden Verbindungen zu Ihren Workstations von außerhalb Ihres VPC-Dienstperimeters verhindert. Der Cloud Workstations Dienst verhindert das Erstellen öffentlicher Cluster in einem VPC Dienstperimeter.
  • Achten Sie darauf, dass Sie öffentliche IP-Adressen in Ihrer Workstation Konfiguration deaktivieren. Andernfalls werden in Ihrem Projekt VMs mit öffentlichen IP Adressen erstellt. Wir empfehlen dringend, die constraints/compute.vmExternalIpAccess Organisationsrichtlinien-Einschränkung zu verwenden, um öffentliche IP-Adressen für alle VMs in Ihrem VPC-Dienstperimeter zu deaktivieren. Weitere Informationen finden Sie unter Externe IP-Adressen auf bestimmte VMs beschränken.

Weitere Informationen zu Dienstperimetern finden Sie unter Informationen zu Dienstperimetern und deren Konfiguration.

Architektur

Wenn Sie einen Workstation-Cluster als privat konfigurieren, hat die Steuerungsebene des Workstation-Clusters nur eine interne IP-Adresse. Das bedeutet, dass Clients aus dem öffentlichen Internet keine Verbindung zu den Workstations herstellen können, die zum Workstation-Cluster gehören. Wenn Sie einen privaten Cluster verwenden möchten, müssen Sie ihn manuell über einen Private Service Connect -Endpunkt mit Ihrem VPC-Netzwerk (Virtual Private Cloud) verbinden.

Für Konfigurationen mit privaten Clustern sind zwei PSC-Endpunkte erforderlich:

  • Standardmäßig erstellt Cloud Workstations einen separaten PSC-Endpunkt, um die Steuerungsebene mit den Workstation-VMs zu verbinden.

  • Sie müssen einen zusätzlichen PSC-Endpunkt für private Cluster erstellen. Wenn Sie von Ihrem lokalen Computer aus eine Verbindung zu einer Workstation in einem privaten Cluster herstellen möchten, muss Ihr lokaler Computer mit Ihrem VPC-Netzwerk verbunden sein. Verwenden Sie Cloud VPN oder Cloud Interconnect um das externe Netzwerk, in dem Sie Ihren Computer ausführen, mit dem VPC Netzwerk zu verbinden. Dieser zusätzliche PSC-Endpunkt muss in demselben Netzwerk erstellt werden, mit dem Ihr externes Netzwerk über Cloud VPN oder Cloud Interconnect verbunden ist.

Das folgende Diagramm zeigt eine Beispielarchitektur eines privaten Clusters:

Abbildung 1. Private Cluster

Hinweis

Führen Sie zuerst die folgenden erforderlichen Einrichtungsschritte aus:

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch nicht mit Google Cloudvertraut sind, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Aktivieren Sie die Cloud Workstations API.

    Erforderliche Rollen zum Aktivieren von APIs

    Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen.

    API aktivieren

  7. Achten Sie darauf, dass Sie im Projekt über die Cloud Workstations-Admin-IAM-Rolle verfügen, damit Sie Workstation-Konfigurationen erstellen können. Rufen Sie in der Google Cloud Console die Seite IAM auf, um Ihre IAM-Rollen zu prüfen:

    Zu IAM

  8. Cloud Workstations werden auf VMs gehostet, die von vorkonfigurierten öffentlichen Container-Optimized OS-Images (COS) von Compute Engine gestartet werden. Wenn die constraints/compute.trustedimageProjects Organisationsrichtlinien-Einschränkung erzwungen wird, müssen Sie Einschränkungen für den Imagezugriff festlegen, damit Nutzer Bootlaufwerke aus projects/cos-cloud oder allen öffentlichen Images erstellen können.
  9. Optional:Aktivieren Sie die Container File System API, um den Start der Workstation zu beschleunigen.

    Container File System API aktivieren

    Weitere Informationen finden Sie unter Workstation-Startzeit mit Image-Streaming verkürzen.

Privaten Cluster erstellen

So erstellen Sie einen privaten Cluster:

  1. Rufen Sie in der Google Cloud Console die Seite Cloud Workstations auf.

    Zu Cloud Workstations

  2. Rufen Sie die Seite Clusterverwaltung der Workstation auf.

  3. Klicken Sie auf Erstellen.

  4. Geben Sie den Namen ein und wählen Sie eine Region für Ihren Workstation-Cluster aus.

  5. Wählen Sie im Abschnitt „Netzwerk“ die Option Netzwerke in diesem Projekt aus.

  6. Wählen Sie ein Netzwerk und ein Teilnetzwerk aus.

  7. Wählen Sie für Gateway-Typ die Option Privates Gateway aus.

  8. Optional: Geben Sie ein oder mehrere zusätzliche Projekte an, die den Private Service Connect-Endpunkt hosten, der den HTTP-Zugriff auf Ihren privaten Cluster ermöglicht. Standardmäßig kann dieser Endpunkt nur im Workstation-Clusterprojekt und im VPC-Netzwerk-Hostprojekt (falls unterschiedlich) erstellt werden. Bei Bedarf können diese Projekte auch nach der Clustererstellung angegeben werden.

  9. Klicken Sie auf Erstellen. Während der Cluster erstellt wird, wird der Status Wird aktualisiert angezeigt.

    Das Erstellen eines Clusters dauert einige Minuten. Nach Abschluss der Clustererstellung wird der Status des Clusters möglicherweise als Herabgestuft angezeigt. Nachdem Sie die Schritte im Abschnitt PSC-Endpunkt erstellen ausgeführt haben, ändert sich der Status des Clusters innerhalb weniger Minuten in Bereit.

Verbindung zu privaten Clustern aktivieren

Clients können keine Verbindung zu Workstations in privaten Workstation-Clustern aus dem öffentlichen Internet herstellen. Clients müssen sich in einem Netzwerk befinden, das über Private Service Connect (PSC) mit dem Workstation-Cluster verbunden ist. Führen Sie die Schritte in diesem Abschnitt aus, um eine Verbindung zu einer Workstation herzustellen:

  1. Erstellen Sie einen PSC-Endpunkt der auf den Dienstanhang Ihrer Workstation verweist.

  2. Erstellen Sie eine private DNS-Zone.

  3. Erstellen Sie mit Cloud DNS einen DNS-Eintrag, der den Hostnamen Ihres Clusters dem PSC-Endpunkt zuordnet.

Private Service Connect-Endpunkt erstellen

So erstellen Sie einen PSC-Endpunkt:

  1. Rufen Sie in der Google Cloud Console Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbundene Endpunkte und dann auf Endpunkt verbinden.

  3. Wählen Sie für Ziel die Option Veröffentlichter Dienst aus.

  4. Geben Sie im Feld Zieldienst den URI des Dienstanhangs ein, der für den Workstation-Cluster erstellt wurde. Sie finden ihn, indem Sie in der Console zu Ihrem Workstation-Cluster navigieren und unter Netzwerkeinstellungen nach dem Feld URI des Dienstanhangs suchen.

  5. Geben Sie im Feld Endpunkt einen Endpunktnamen ein.

  6. Wählen Sie ein Netzwerk für den Endpunkt und dann ein Teilnetzwerk aus. Dieses Netzwerk sollte das Netzwerk sein, das Sie für die Verbindung zu Ihren Workstations verwenden möchten, und muss dasselbe Netzwerk sein, mit dem Ihr externes Netzwerk über Cloud VPN oder Cloud Interconnect verbunden ist.

  7. Wählen Sie eine IP-Adresse für den Endpunkt aus.

    Wenn Sie eine neue IP-Adresse benötigen, wählen Sie IP-Adresse erstellen aus:

    1. Geben Sie einen Namen und optional eine Beschreibung für die IP-Adresse ein.
    2. Wählen Sie für eine statische IP-Adresse die Option Automatisch zuweisen aus. Wählen Sie für eine benutzerdefinierte IP-Adresse die Option Selbst auswählen aus und geben Sie die IP-Adresse ein, die Sie verwenden möchten.
    3. Wählen Sie als Zweck die Option Nicht freigegeben aus.
    4. Klicken Sie auf Reservieren.

  8. Wählen Sie einen Namespace aus der Drop-down-Liste aus oder erstellen Sie einen neuen Namespace. Die Region wird anhand des ausgewählten Teilnetzwerks ausgefüllt.

  9. Klicken Sie auf Endpunkt hinzufügen.

  10. Kopieren Sie die IP-Adresse des Endpunkts, damit Sie sie im nächsten Abschnitt zum Erstellen einer privaten DNS-Zone und eines DNS-Eintrags verwenden können.

Private DNS-Zone erstellen

Führen Sie die folgenden Schritte aus, um eine private DNS-Zone für diesen Workstation-Cluster zu erstellen. Legen Sie für den DNS-Namen Ihren clusterHostname fest, den Sie finden, indem Sie in der Console zu Ihrem Workstation-Cluster navigieren.

  1. Rufen Sie in der Google Cloud Console die Seite DNS-Zone erstellen auf.

    Zur Seite „DNS-Zone erstellen“

  2. Wählen Sie als Zonentyp die Option Privat aus.

  3. Geben Sie unter Zonenname einen Namen wie private-workstations-cluster-zone ein.

  4. Geben Sie unter DNS-Name ein Suffix für die private Zone ein. Alle Einträge in der Zone haben dieses Suffix. Legen Sie für diesen Namen Ihren clusterHostname fest.

    Den clusterHostname finden Sie in der Google Cloud console auf der Seite Cloud Workstations  > Cluster management. Klicken Sie dann auf Ihren Workstation-Cluster, um den Hostnamen aufzurufen.

  5. Optional: Fügen Sie eine Beschreibung hinzu.

  6. Wählen Sie unter Optionen die Option Standard (privat) aus.

  7. Wählen Sie das Netzwerk aus, in dem Sie im vorherigen Abschnitt den PSC-Endpunkt erstellt haben, da die IP-Adresse nur in diesem Netzwerk gültig ist.

  8. Klicken Sie auf Erstellen.

Weitere Informationen zu privaten DNS-Zonen finden Sie in der Cloud DNS Dokumentation unter Private Zone erstellen und Best Practices für private Cloud DNS-Zonen.

DNS-Eintrag erstellen

So fügen Sie einen Eintrag hinzu, der *.<clusterHostname> der IP Adresse zuordnet, die Sie beim Erstellen des Private Service Connect-Endpunkts reserviert haben: Führen Sie die folgenden Schritte aus:

  1. Rufen Sie in der Google Cloud Console die Cloud DNS-Zonen Seite auf.

    Cloud DNS-Zonen aufrufen

  2. Klicken Sie auf den Namen der verwalteten Zone, der Sie den Eintrag hinzufügen möchten.

  3. Klicken Sie auf der Seite Zonendetails auf Standard hinzufügen.

  4. Geben Sie auf der Seite Eintrag erstellen im Feld DNS-Name die Zeichenfolge ein *.<clusterHostname>.

  5. Geben Sie im Feld IP-Adresse die IP-Adresse ein, die Sie im vorherigen Abschnitt für Ihren Private Service Connect-Endpunkt reserviert haben.

  6. Klicken Sie auf Erstellen.

  7. Ihr VPC-Netzwerk sollte jetzt mit dem Workstation-Cluster verbunden sein und Sie können über dieses Netzwerk eine Verbindung zu Workstations herstellen.

DNS-Auflösung lokal aktivieren

Wenn Sie den standardmäßigen browserbasierten Editor auf Ihrer Workstation verwenden möchten, verwenden Sie einen Browser auf einem Computer, der mit dem VPC-Netzwerk verbunden ist. Sie können Cloud VPN oder Cloud Interconnect verwenden, um eine Verbindung vom externen Netzwerk, in dem Sie Ihren Browser ausführen, zum VPC Netzwerk herzustellen.

Wenn Sie eine Verbindung von einem externen Netzwerk aus herstellen möchten, müssen Sie DNS im externen Netzwerk konfigurieren. Ähnlich wie in den vorherigen Schritten können Sie eine DNS-Zone für clusterHostname erstellen und einen Eintrag hinzufügen, der *.<clusterHostname> der IP Adresse zuordnet, die Sie beim Erstellen des Private Service Connect-Endpunkts reserviert haben. Alternativ können Sie DNS-Weiterleitungszonen oder DNS-Serverrichtlinien einrichten, um DNS-Namen zwischen Ihrer lokalen Umgebung und der Google Cloud Umgebung nachschlagen zu können.

Möglicherweise müssen Sie auch *cloudworkstations.dev der Zulassungsliste Ihrer lokalen Infrastruktur hinzufügen.

Nächste Schritte