Schritt 4: Zugriff auf VM-Konsolen konfigurieren

Übersicht

Jetzt, da wir den Prozess der Erstellung der Windows-VM-Instanzen durchlaufen haben. Der nächste Schritt besteht darin, eine Möglichkeit zu finden, remote auf die Konsolen dieser virtuellen Maschinen zuzugreifen, um sie zu konfigurieren. Google Cloud verarbeitet den Remote-Konsolenzugriff, indem es sich auf die Netzwerkkonnektivität zur VM-Instanz und einen Remote-Konsolendienst stützt, der innerhalb der virtuellen Maschine ausgeführt wird. Für virtuelle Windows-Maschinen bedeutet dies, dass Sie einen RDP-Client verwenden, um eine Verbindung zum RDP-Listener herzustellen, der in den Instanzen ausgeführt wird. SSH verarbeitet die Verbindung für Nicht-Windows-Computer.

Die Tools und Techniken, die Sie für den Zugriff auf die VM-Konsolen verwenden, können je nach Betriebssystem und Netzwerkstandort Ihrer Workstation unterschiedlich sein. Sie können sich auch je nachdem, wie Ihr Unternehmen mit Sicherheit umgeht, unterscheiden. In diesem Abschnitt soll sichergestellt werden, dass Sie Remote-Konsolenverbindungen zu den virtuellen Maschinen in Ihrem Google Cloud-Projekt herstellen können.

Zu den gängigen Techniken zum Einrichten des Remote-Konsolenzugriffs gehören die folgenden:

  1. Verwenden eines RDP-Clients zum Herstellen einer direkten Verbindung zwischen einer administrativen Workstation und VMs im selben Netzwerk

  2. Verwenden öffentlicher IP-Adressen auf einer oder mehreren VMs und Aufbau von RDP-Verbindungen zu den öffentlichen Adressen von einer administrativen Arbeitsstation aus über das Internet

  3. Herstellen einer Verbindung zu einem Jump-Box- oder Bastion-Host und anschließender Zugriff auf die VM innerhalb des Google Cloud-Projekts mit dem bevorzugten RDP-Client. Administratoren verbinden sich häufig über eine externe IP-Adresse mit der Jump Box.

  4. Verwenden der TCP-Weiterleitungsfunktion des Google Cloud Identity Aware Proxy (IAP) sowie eines Tools wie IAP Desktop

Wenn sich Ihre administrative Workstation bereits im selben Netzwerk wie die VMs in Ihrem Google Cloud-Projekt befindet, können Sie sich über eine IP-Adresse mit ihnen verbinden, vorausgesetzt, Sie haben den RDP-Zugriff über Ihre Firewallregeln zugelassen. Wenn sich Ihre administrative Workstation NICHT im selben Netzwerk befindet, können Sie erwägen, eine Jump-Box mit einer zugewiesenen externen IP-Adresse zu verwenden. Stellen Sie in diesem Fall jedoch sicher, dass Sie den Zugriff auf den RDP-Listener (TCP 3389) so einschränken, dass nur der Zugriff von der öffentlichen IP-Adresse Ihrer administrativen Workstation aus zulässig ist.

Die sicherste Methode für den Remote-Konsolenzugriff ist die Verwendung der Google Cloud Identity Aware Proxy TCP-Weiterleitungsfunktion plus IAP Desktop. Mit der TCP-Weiterleitungsfunktion des Google Cloud Identity Aware Proxy (IAP) können Sie steuern, wer über das öffentliche Internet auf die Verwaltungsschnittstellen wie SSH und RDP auf die VMs in Ihrem Projekt zugreifen kann. IAP verhindert, dass diese Dienste direkt mit dem Internet verbunden werden. Mit IAP können Sie auch steuern, wer auf diese Dienste zugreifen kann, basierend auf Google Cloud IAM-Rollen, während IAP die Authentifizierung und Autorisierung durchführt, bevor der Zugriff gewährt wird. Der IAP Desktop ist ein Open-Source-Tool nur für Windows, das eine benutzerfreundliche Benutzeroberfläche über den IAP- und RDP-Client stellt.

In diesem Bereitstellungshandbuch werden der IAP-Dienst und die IAP Desktop-App verwendet, um sicher auf die virtuellen Maschinen für die Konfiguration zuzugreifen. Sie können den IAP-Dienst weiterhin mit einem Nicht-Windows-Endpunkt verwenden, indem Sie das Google Cloud SDK und den Befehl gcloudverwenden, aber das ist nicht Gegenstand dieses Handbuchs.

Die Konfiguration von Identity Aware Proxy erfolgt in drei Schritten: Der erste Schritt besteht darin, die Firewall so zu konfigurieren, dass eingehender TCP-Verkehr zugelassen wird, der zweite Schritt ist die Konfiguration des Identity Aware Proxy und der dritte Schritt ist die Verwendung von IAP Desktop für den Remote-Konsolenzugriff.

1 Konfigurieren Sie die Google Cloud-Firewall, um eingehenden TCP-Verkehr zuzulassen

  1. Klicken Sie auf das Hamburger-Symbol in der oberen linken Ecke der Google Console

  2. Navigieren Sie zum VPC-Netzwerk

  3. Klicken Sie auf Firewall

    vpc-netzwerke-Firewall

  4. Klicke auf Firewallregel erstellen

    vpc-networks-firewall-Regel

  5. Geben Sie einen eindeutigen Namen für die Firewallregel ein: allow-iap-access

  6. Geben Sie eine Beschreibung für die Firewallregel ein: IAP-Zugriff zulassen

  7. Wählen Sie das VPC-Netzwerk aus, das im Abschnitt Virtual Private Cloud erstellt wurde: citrixcloudnetwork

  8. Wählen Sie Ingress-Verkehr

    vm-ingress-create-firewall-regel

  9. Wählen Sie im Feld Ziele die Option Alle Instanzen im Netzwerk

  10. Stellen Sie die Quell-IP-Bereiche auf 35.235.240.0/20

  11. Wählen Sie Spezifizierte Protokolle und Ports

  12. Wählen Sie das TCP-Kontrollkästchen

  13. Klicken Sie auf Erstellen

    vm-ingress-ip-Bereiche

  14. Überprüfen, ob die Firewallregel erstellt wurde

    vm-ingress-firewall-Validierung

2 Identity Aware-Proxy aktivieren und konfigurieren

  1. Klicken Sie auf das Hamburger-Symbol in der oberen linken Ecke der Google Console

  2. Navigiere zu IAM & Admin

  3. Klicken Sie auf Identitätsbewusster Proxy

    identitätsbewusster Proxy

  4. Klicken Sie bei Aufforderung auf API aktivieren

    identitätsbewusster Proxy-Enable-API

  5. Klicken Sie auf Gehe zu Identitätsbewusstem Proxy

    identitätsbewusster Proxy Gehe zu

    Nach dem Klicken wird der folgende Bildschirm angezeigt:

  6. Klicken Sie auf die Registerkarte SSH- und TCP-Ressourcen

  7. Um die Mitgliederberechtigungen für Ressourcen zu aktualisieren, wählen Sie alle zuvor erstellten VM-Instanzen aus.

  8. Klicken Sie auf Auftraggeber

    identitätsbewusster Proxy-AddPrincipal

  9. Um Benutzern, Gruppen oder Dienstkonten Zugriff auf die Ressourcen zu gewähren, geben Sie ihre E-Mail-Adressen im Feld Neue Hauptbenutzer an. Wenn Sie der einzige Benutzer sind, der diese Funktion testet, können Sie Ihre E-Mail-Adresse eingeben.

  10. Um den Mitgliedern über die Cloud IAP TCP-Weiterleitungsfunktion Zugriff auf die Ressourcen zu gewähren, wählen Sie in der Dropdown-ListeRolleCloud IAP

  11. IAP-gesicherter Tunnelbenutzerauswählen

    iap-secured-tunnel-user

  12. Klicken Sie auf Speichern

    iap-add-principals

3 Installieren, konfigurieren und verwenden Sie IAP Desktop für den Remote-Konsolenzugriff

Sobald der Identity Aware Proxy aktiviert wurde, besteht der nächste Schritt darin, mithilfe von IAP Desktop, verfügbar auf GitHub, eine Verbindung zu den bereitgestellten VM-Instanzen herzustellen. Nachdem Sie den IAP Desktop heruntergeladen und installiert haben, starten Sie ihn und befolgen Sie die Schritte zur Konfiguration.

  1. Klicken Sie auf Mit Google anmelden

    iap-Desktop

  2. Wählen Sie das mit der Google Cloud verknüpfte Konto aus. Abhängig von Ihrer Kontokonfiguration müssen Sie einen Benutzernamen, ein Kennwort und ein Token angeben.

    iap-Konto wählen

  3. Nach einer erfolgreichen Authentifizierung werden Sie mit dem folgenden Berechtigungsfenster aufgefordert. Wählen Sie die Daten der Google Cloud Platform anzeigen, bearbeiten, konfigurieren und löschen

  4. Klicken Sie auf Weiter

    iap-Desktop-Zugang

  5. Wählen Sie das Google Cloud-Projekt

  6. Klicken Sie auf Projekt hinzufügen

    iap-add-projekt

  7. Alle Maschinen, die zuvor im Abschnitt Bereitstellen der Google Compute-Instanz erstellt wurden, werden aufgelistet:

    iap-Projekt-Explorer

  8. Um sich bei der VM-Instanz anzumelden, klicken Sie mit der rechten Maustaste auf die virtuelle Zielmaschine

  9. Wählen Sie Als Benutzer verbinden…

    iap-verbinden-als-user

  10. Klicken Sie auf Anderes Konto verwenden

  11. Geben Sie den Benutzernamen adminein

  12. Geben Sie das einzigartige Kennwort ein, das zuvor automatisch für das Gerät generiert wurde, das Sie verbinden

  13. Klicken Sie auf OK

    iap geben Sie Ihre Anmeldeinformationen ein

  14. Nach erfolgreicher Authentifizierung können Sie sich bei der virtuellen Maschine anmelden

    iap-remote-desktop-ssh

Sobald Sie dieses Ziel erreicht haben (mithilfe von IAP, einer Jump Box oder einer anderen Technik), haben Sie eine funktionale Methode, um eine Verbindung zu den Remote-Konsolen Ihrer virtuellen Maschinen herzustellen. Im nächsten Abschnitt verwenden Sie diese Methode, um die virtuellen Maschinen in einem funktionalen Citrix Cloud-Ressourcenstandort zu konfigurieren.

Schritt 4: Zugriff auf VM-Konsolen konfigurieren