Supporto SSH

Questa pagina descrive come utilizzare la CLI gcloud per connetterti alla tua workstation da una macchina locale utilizzando SSH (o qualsiasi altro protocollo TCP).

Cloud Workstations utilizza un tunnel per inoltrare il traffico TCP tra una porta sulla tua macchina locale e una porta sulla tua workstation senza esporre apertamente la workstation a internet. Le connessioni vengono autenticate utilizzando le credenziali della CLI gcloud e autorizzate in base alle policy IAM della workstation di destinazione.

Una volta stabilito il tunnel TCP tra la porta locale e la workstation, puoi utilizzarlo per inoltrare il traffico da un client SSH, curl o qualsiasi altra applicazione che utilizza TCP.

Per comodità, Cloud Workstations fornisce il comando gcloud workstations ssh, che stabilisce il tunnel TCP ed esegue un client SSH con un singolo comando CLI gcloud.

Per tutti gli altri casi d'uso, utilizza il comando gcloud workstations start-tcp-tunnel per stabilire il tunnel TCP ed eseguire l'applicazione che utilizzerà il tunnel (ad esempio, curl) in un terminale separato.

Prima di iniziare

1. Se non hai ancora una workstation a cui connetterti, configurane una.

2. Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente:

   gcloud init

   Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla CLI gcloud con la tua identità federata.

3. Assicurati di disporre del ruolo IAM Utente Cloud Workstations nella workstation a cui ti connetterai.

   Vai a IAM

Connettiti alla workstation tramite SSH

Per stabilire una connessione SSH sicura alla tua workstation, utilizza il comando gcloud workstations ssh, che avvia un tunnel TCP ed esegue un client SSH.

Esegui questo comando in una finestra del terminale locale:

gcloud workstations ssh \
    --project=PROJECT_ID \
    --region=REGION \
    --cluster=CLUSTER_NAME \
    --config=CONFIG_NAME  \
    --port=WORKSTATION_PORT  \
    --local-host-port=localhost:LOCAL_PORT  \
    WORKSTATION_NAME

Sostituisci i seguenti valori:

• PROJECT_ID: l'ID progetto Google Cloud del progetto contenente la workstation. Se omesso, viene utilizzato il progetto corrente.

• REGION: la regione in cui si trova il cluster della workstation, ad esempio us-central1.

• CLUSTER_NAME: il nome del cluster di workstation che contiene la workstation.

• CONFIG_NAME: il nome della configurazione della workstation contenente queste workstation.

• WORKSTATION_PORT (facoltativo): la porta sulla workstation a cui deve essere inviato il traffico. Se omesso, il traffico verrà inviato alla porta 22. Tutte le immagini Cloud Workstations preconfigurate includono un server SSH in esecuzione sulla porta 22 della workstation.

• LOCAL_PORT (facoltativo): la porta localhost da cui verrà inviato il traffico. I numeri di porta validi sono compresi tra 1024 e 65535. Se ometti il flag --local-host-port o specifichi una porta 0, viene selezionata automaticamente una porta non utilizzata.

• WORKSTATION_NAME: il nome della workstation.

Configurazione SSH e file .ssh/config

Quando utilizzi gcloud workstations ssh, il comando indirizza la connessione tramite localhost. Di conseguenza, non applica automaticamente le voci Host del file ~/.ssh/config che utilizzano il nome della workstation.

Per applicare configurazioni SSH personalizzate, scegli una delle seguenti opzioni:

Opzione 1: trasmetti i flag sulla riga di comando

Puoi passare le opzioni SSH direttamente al client SSH sottostante aggiungendole dopo un doppio trattino (--):

gcloud workstations ssh \
    --project=PROJECT_ID \
    --region=REGION \
    --cluster=CLUSTER_NAME \
    --config=CONFIG_NAME \
    WORKSTATION_NAME \
    -- -o SSH_OPTION=VALUE

Opzione 2: utilizza un tunnel TCP persistente e .ssh/config

Se preferisci utilizzare il file ~/.ssh/config:

1. Avvia un tunnel TCP persistente in una finestra del terminale separata e specifica una porta locale:

   gcloud workstations start-tcp-tunnel \
       --project=PROJECT_ID \
       --region=REGION \
       --cluster=CLUSTER_NAME \
       --config=CONFIG_NAME \
       --local-host-port=localhost:LOCAL_PORT \
       WORKSTATION_NAME \
       22
   

2. Aggiungi un blocco di configurazione al file ~/.ssh/config sulla tua macchina locale:

   Host WORKSTATION_NAME
       HostName localhost
       Port LOCAL_PORT
       User user
       # Disable host key checking for ephemeral cloud workstations
       StrictHostKeyChecking no
       UserKnownHostsFile /dev/null
       # Add any other SSH options here
   

3. Connettiti alla workstation utilizzando SSH standard:

   ssh WORKSTATION_NAME
   

Utilizza un tunnel TCP per inoltrare traffico TCP arbitrario alla workstation

Per connetterti a una workstation utilizzando un'applicazione TCP diversa da ssh, utilizza il comando gcloud workstations start-tcp-tunnel:

1. Esegui questo comando gcloud CLI per creare un tunnel TCP autenticato.

   Per copiare il comando nel buffer di copia e incolla, fai clic su content_copy Copia esempio di codice e poi incolla il comando in una finestra del terminale locale:

   gcloud workstations start-tcp-tunnel \
       --project=PROJECT_ID \
       --region=REGION \
       --cluster=CLUSTER_NAME \
       --config=CONFIG_NAME \
       --local-host-port=localhost:LOCAL_PORT \
       WORKSTATION_NAME \
       WORKSTATION_PORT
   

   Sostituisci i seguenti valori:

   • PROJECT_ID: l'ID progetto Google Cloud del progetto contenente la workstation. Se omesso, viene utilizzato il progetto corrente.

   • REGION: la regione in cui si trova il cluster della workstation, ad esempio us-central1.

   • CLUSTER_NAME: il nome del cluster di workstation che contiene la workstation.

   • CONFIG_NAME: il nome della configurazione della workstation che contiene queste workstation.

   • LOCAL_PORT (facoltativo): la porta localhost da cui verrà inviato il traffico. I numeri di porta validi sono compresi tra 1024 e 65535. Se ometti il flag --local-host-port o specifichi una porta 0, viene selezionata automaticamente una porta non utilizzata.

   • WORKSTATION_NAME: il nome della workstation.

   • WORKSTATION_PORT: la porta della workstation a cui deve essere inviato il traffico. Le immagini Cloud Workstations preconfigurate includono un server SSH in esecuzione sulla porta 22 della workstation.

2. Il comando CLI gcloud esegue un test di connettività con la workstation, apre un tunnel e poi visualizza un numero di porta:

   Listening on port [LOCAL_PORT].
   

   Tutto il traffico inviato a localhost:LOCAL_PORT viene inoltrato alla workstation. La porta è accessibile solo dalle applicazioni in esecuzione sul tuo computer locale.

3. Lascia in esecuzione la CLI gcloud e apri un altro terminale per eseguire l'applicazione che si connette alla tua workstation.

   Ad esempio, se esegui un server sulla tua workstation che gestisce la porta WORKSTATION_PORT e nel passaggio precedente hai creato un tunnel TCP che inoltra il traffico tra la porta locale LOCAL_PORT e la porta della workstation WORKSTATION_PORT, puoi eseguire curl sulla tua macchina locale per connetterti al server sulla tua workstation:

   curl localhost:LOCAL_PORT
   Hello, world!
   

4. Al termine, torna al terminale in cui hai avviato il tunnel TCP e interrompi la CLI gcloud premendo Ctrl+C.

Utilizzare server SSH su porte diverse

Le immagini container personalizzate possono utilizzare anche server SSH su qualsiasi porta. Per supportare le connessioni dal tunnel della CLI gcloud, devi configurare server SSH personalizzati per consentire l'autenticazione tramite password e impostare l'utente di destinazione con una password vuota. Cloud Workstations utilizza Cloud IAM per garantire che solo il traffico autorizzato venga inviato al server SSH.

Mantenere persistenti le sessioni SSH

Se la connessione di rete si interrompe, la sessione SSH si disconnette. Per mantenere i processi in esecuzione durante la disconnessione e ricollegarti alla sessione in un secondo momento, utilizza uno strumento come tmux.

Per installare tmux sulla workstation:

1. Installa tmux manualmente nella sessione corrente per utilizzarlo immediatamente:

   sudo apt update
   sudo apt install -y tmux
   

2. Configura la workstation per installare tmux all'avvio. Crea o aggiungi al file /home/user/.workstation/customize_environment per includere i seguenti comandi:

   #!/bin/bash
   sudo apt update
   sudo apt install -y tmux
   

   Per saperne di più, vedi Personalizzare un'immagine workstation esistente senza estenderla.

3. Rendi eseguibile il file in modo che venga eseguito all'avvio della workstation:

   chmod +x /home/user/.workstation/customize_environment
   

Una volta installato tmux:

1. Connettiti alla workstation:

   gcloud workstations ssh \
       --project=PROJECT_ID \
       --region=REGION \
       --cluster=CLUSTER_NAME \
       --config=CONFIG_NAME \
       WORKSTATION_NAME
   

2. Avvia una nuova sessione tmux dalla workstation:

   tmux
   

3. Se la connessione si interrompe, riconnettiti e collegati alla sessione eseguendo il seguente comando dal terminale locale:

   gcloud workstations ssh \
       --project=PROJECT_ID \
       --region=REGION \
       --cluster=CLUSTER_NAME \
       --config=CONFIG_NAME \
       WORKSTATION_NAME \
       -- -t tmux attach
   

Passaggi successivi

• Imposta le variabili di ambiente del container nelle sessioni SSH per le immagini container personalizzate
• Attiva l'inoltro X11 per le immagini container personalizzate