Paso 4: Configurar el acceso a las consolas de VM

Información general

Ahora que hemos realizado el proceso de creación de las instancias de máquinas virtuales de Windows. El siguiente paso es identificar una forma de acceder remotamente a las consolas de estas máquinas virtuales para configurarlas. Google Cloud administra el acceso a la consola remota mediante la conectividad de red a la instancia de la máquina virtual y un servicio de consola remota que se ejecuta dentro de la máquina virtual. Para las máquinas virtuales de Windows, eso significa usar un cliente RDP para conectarse al agente de escucha RDP que se ejecuta dentro de las instancias. SSH maneja la conexión para máquinas que no son Windows.

Las herramientas y técnicas que utiliza para obtener acceso a las consolas de VM pueden variar según el sistema operativo y la ubicación de la red de la estación de trabajo. También pueden diferir según la forma en que su organización maneje la seguridad. El objetivo de esta sección es garantizar que pueda establecer conexiones de consola remota a las máquinas virtuales de su proyecto de Google Cloud.

Algunas técnicas comunes para establecer el acceso a la consola remota son las siguientes:

  1. Usar un cliente RDP para establecer una conexión directa entre una estación de trabajo administrativa y las máquinas virtuales de la misma red

  2. Usar direcciones IP públicas en una o más VM y establecer conexiones RDP a las direcciones públicas desde una estación de trabajo administrativa a través de Internet

  3. Establecer una conexión con un host de caja de salto o bastión y, a continuación, acceder a la VM dentro del proyecto de Google Cloud con el cliente RDP preferido. Los administradores a menudo se conectan al Jump Box a través de una dirección IP externa.

  4. Uso de la función de reenvío TCP de Google Cloud Identity Aware Proxy (IAP), además de una herramienta como IAP Desktop

Si su estación de trabajo administrativa ya está en la misma red que las máquinas virtuales de su proyecto de Google Cloud, puede conectarte a ellas a través de una dirección IP, suponiendo que haya permitido el acceso RDP a través de las reglas de firewall. Si su estación de trabajo administrativa NO está en la misma red, puede considerar la posibilidad de utilizar un Jump Box con una dirección IP externa asignada. Sin embargo, si lo hace, asegúrese de restringir el acceso al agente de escucha RDP (TCP 3389) para permitir solo el acceso desde la dirección IP pública de su estación de trabajo administrativa.

La forma más segura de proporcionar acceso a la consola remota es usar la función de reenvío de TCP de Google Cloud Identity Aware Proxy, además de IAP Desktop. La función de reenvío TCP del proxy consciente de identidad (IAP) de Google Cloud le permite controlar quién puede acceder a las interfaces administrativas, como SSH y RDP, a las máquinas virtuales de su proyecto a través de la Internet pública. IAP evita que estos servicios estén expuestos directamente a Internet. IAP también le permite controlar quién puede acceder a estos servicios en función de las funciones de IAM de Google Cloud, ya que IAP realiza la autenticación y la autorización antes de permitir el acceso. IAP Desktop es una herramienta de código abierto solo para Windows que coloca una interfaz de usuario fácil de usar sobre el cliente IAP y RDP.

Esta guía de implementación utiliza el servicio IAP y la aplicación IAP Desktop para acceder de forma segura a las máquinas virtuales para su configuración. Puede seguir usando el servicio IAP con un punto de enlace que no sea de Windows con el SDK de Google Cloud y el comando de gcloud, pero eso está fuera del alcance de esta guía.

La configuración del proxy con reconocimiento de identidad es un proceso de tres pasos: el primer paso es configurar el cortafuegos para permitir la entrada de tráfico TCP, el segundo paso es configurar el proxy con reconocimiento de identidad y el tercer paso es usar IAP Desktop para el acceso a la consola remota.

1 Configurar el cortafuegos de Google Cloud para permitir la entrada de tráfico TCP

  1. Haga clic en el icono de hamburguesa, ubicado en la esquina superior izquierda de Google Console

  2. Navega a la red de VPC

  3. Haga clic en Fire

    cortafuegos de redes vpc

  4. Haga clic en Crear regla de firewall

    regla-cortafuegos de redes vpc

  5. Introduzca un nombre único para la regla de cortafuegos: allow-iap-access

  6. Introduzca una descripción para la regla de cortafuegos: Permitir acceso IAP

  7. Seleccione la red de VPC creada en la sección Virtual Private Cloud : citrixcloudnetwork

  8. Seleccionar tráfico de entrada

    vm-ingress-crear-regla-cortafuegos

  9. En el campo Destinos, seleccione Todas las instancias de la red

  10. Establezca los rangos de IP de origen en 35.235.240.0/20

  11. Seleccione Protocolos y puertos especificados

  12. Seleccione la casilla tcp

  13. Haga clic en Crear

    vm-ingress-ip-rangos

  14. Validar la creación de la regla de firewall

    vm-ingress-firewall-validation

2 Habilitar y configurar el proxy con reconocimiento de identidad

  1. Haga clic en el icono de hamburguesa, ubicado en la esquina superior izquierda de Google Console

  2. Vaya a IAM & Admin

  3. Haga clic en Proxy consciente de identidad

    proxy con reconocimiento de identidad

  4. Si se le solicita, haga clic en Habilitar API.

    api de habilitación de proxy con reconocimiento de identidad

  5. Haga clic en Ir al proxy con reconocimiento de identidad

    ir a proxy consciente de la identidad

    Después de hacer clic, aparece la siguiente pantalla:

  6. Haga clic en la pestaña Recursos SSH y TCP

  7. Para actualizar los permisos de los miembros en los recursos, selecciona todas las instancias de VM creadas anteriormente.

  8. Haga clic en Agregar principal

    proxy consciente de la identidad agregar-principal

  9. Para conceder a los usuarios, grupos o cuentas de servicio acceso a los recursos, especifique sus direcciones de correo electrónico en el campo Nuevos principales. Si es el único usuario que prueba esta función, puede introducir su dirección de correo electrónico.

  10. Para conceder a los miembros acceso a los recursos a través de la función de reenvío TCP de Cloud IAP, en el menú desplegableFunción, seleccionaCloud IAP

  11. Seleccionar usuario de túnel protegido por IAP

    usuario-túnel protegido por iap

  12. Haga clic en Guardar

    iap-add-principals

3 Instalar, configurar y usar IAP Desktop para el acceso remoto a la consola

Una vez que se haya habilitado el proxy con reconocimiento de identidad, el siguiente paso es conectarse a las instancias de máquinas virtuales implementadas mediante IAP Desktop, disponible en GitHub. Una vez que haya descargado e instalado IAP Desktop, ejecútelo y siga los pasos para configurarlo.

  1. Haga clic en Iniciar sesión con Google

    escritorio iap

  2. Selecciona la cuenta asociada a Google Cloud. Según la configuración de su cuenta, debe proporcionar un nombre de usuario, una contraseña y un token.

    iap-choose-account

  3. Tras una autenticación correcta, se le solicitará la siguiente ventana de permisos. Selecciona Ver, modificar, configurar y eliminar sus datos de Google Cloud Platform

  4. Haga clic en Continuar

    acceso a computadoras de escritorio iap

  5. Selecciona el proyecto de Google Cloud

  6. Haga clic en Agregar proyecto

    iap-add-project

  7. Se enumeran todas las máquinas creadas en la sección Implementación de la instancia de Google Compute anterior:

    iap-project-explorer

  8. Para iniciar sesión en la instancia de la máquina virtual, haga clic con el botón derecho en la máquina virtual de destino

  9. Selecciona Conectar como usuario…

    iap-connect-como-usuario

  10. Haga clic en Usar una cuenta diferente

  11. Introduzca el nombre de usuario admin

  12. Introduzca la contraseña única previamente generada automáticamente para la máquina que está conectando

  13. Haga clic en OK.

    iap introduce sus credenciales

  14. Tras la autenticación correcta, puede iniciar sesión en la máquina virtual

    iap-escritorio-remoto-ssh

Una vez que haya completado este objetivo (mediante IAP, una caja de salto o alguna otra técnica), tendrá un método funcional para conectarse a las consolas remotas de sus máquinas virtuales. En la siguiente sección, utilizará este método para configurar las máquinas virtuales en una ubicación de recursos de Citrix Cloud funcional.

Paso 4: Configurar el acceso a las consolas de VM