Étape 4 : Configuration de l’accès aux consoles de machines virtuelles

Vue d’ensemble

Maintenant que nous avons terminé le processus de création des instances de machines virtuelles Windows. L’étape suivante consiste à identifier un moyen d’accéder à distance aux consoles de ces machines virtuelles afin de les configurer. Google Cloud gère l’accès à la console distante en s’appuyant sur la connectivité réseau à l’instance de la machine virtuelle et sur un service de console distante exécuté au sein de la machine virtuelle. Pour les machines virtuelles Windows, cela signifie utiliser un client RDP pour se connecter à l’écouteur RDP exécuté dans les instances. SSH gère la connexion pour les machines autres que Windows.

Les outils et techniques que vous utilisez pour accéder aux consoles de machines virtuelles peuvent varier en fonction du système d’exploitation et de l’emplacement réseau de votre poste de travail. Ils peuvent également varier en fonction de la façon dont votre organisation gère la sécurité. L’objectif de cette section est de vous assurer que vous pouvez établir des connexions de console distantes avec les machines virtuelles de votre projet Google Cloud.

Certaines techniques courantes pour établir l’accès à la console distante sont les suivantes :

  1. Utilisation d’un client RDP pour établir une connexion directe entre un poste de travail administratif et des machines virtuelles sur le même réseau

  2. Utilisation d’adresses IP publiques sur une ou plusieurs machines virtuelles et établissement de connexions RDP vers les adresses publiques à partir d’un poste de travail administratif via Internet

  3. Etablissement d’une connexion à un hôte Jumpbox ou Bastion, puis accès à la machine virtuelle dans le projet Google Cloud à l’aide du client RDP préféré. Les administrateurs se connectent souvent au JumpBox via une adresse IP externe.

  4. Utilisation de la fonction de transfert TCP du proxy Google Cloud Identity Aware Proxy (IAP), ainsi que d’un outil tel que IAP Desktop

Si votre poste de travail administratif est déjà sur le même réseau que les machines virtuelles de votre projet Google Cloud, vous pouvez vous y connecter via une adresse IP, en supposant que vous avez autorisé l’accès RDP via vos règles de pare-feu. Si votre poste de travail administratif n’est PAS sur le même réseau, vous pouvez envisager d’utiliser un JumpBox avec une adresse IP externe attribuée. Dans ce cas, veillez toutefois à restreindre l’accès à l’écouteur RDP (TCP 3389) afin de n’autoriser l’accès qu’à partir de l’adresse IP publique de votre poste de travail administratif.

Le moyen le plus sûr de fournir un accès à la console à distance consiste à utiliser la fonction de transfert TCP du proxy Google Cloud Identity Aware Proxy, ainsi que IAP Desktop. La fonction de transfert TCP du proxy Google Cloud Identity Aware Proxy (IAP) vous permet de contrôler qui peut accéder aux interfaces administratives telles que SSH et RDP vers les machines virtuelles de votre projet via Internet public. L’IAP empêche ces services d’être directement exposés à Internet. IAP vous permet également de contrôler qui peut accéder à ces services en fonction des rôles IAM Google Cloud, car IAP effectue l’authentification et l’autorisation avant d’autoriser l’accès. Le bureau IAP est un outil open source uniquement sous Windows qui met une interface utilisateur conviviale au-dessus du client IAP et RDP.

Ce guide de déploiement utilise le service IAP et l’application IAP Desktop pour accéder en toute sécurité aux machines virtuelles à des fins de configuration. Vous pouvez toujours utiliser le service IAP avec un point de terminaison autre que Windows à l’aide du SDK Google Cloud et de la commande gcloud, mais cela n’entre pas dans le cadre de ce guide.

La configuration du proxy Identity Aware est un processus en trois étapes : la première étape consiste à configurer le pare-feu pour autoriser le trafic TCP entrant, la deuxième étape consiste à configurer le proxy Identity Aware et la troisième étape consiste à utiliser IAP Desktop pour l’accès à la console distante.

1 Configurer le pare-feu Google Cloud pour autoriser le trafic TCP entrant

  1. Cliquez sur l’icône de hamburger, située dans le coin supérieur gauche de la console Google

  2. Accédez au réseau VPC

  3. Cliquez sur Firewall

    vpc-networks-firewall

  4. Cliquez sur Créer une règle de pare-feu

    vpc-networks-firewall-rule

  5. Entrez un nom unique pour la règle de pare-feu : allow-iap-access

  6. Entrez une description pour la règle de pare-feu : Autoriser l’accès IAP

  7. Sélectionnez le réseau VPC créé dans la section Virtual Private Cloud  : citrixcloudnetwork

  8. Sélectionnez le trafic d’entrée

    vm-ingress-create-firewall-rule

  9. Dans le champ Cibles, sélectionnez Toutes les instances du réseau

  10. Définissez les plages d’adresses IP source sur 35.235.240.0/20

  11. Sélectionnez Protocoles et ports spécifiés

  12. Activez la case à cocher TCP

  13. Cliquez sur Créer

    vm-ingress-ip-ranges

  14. Valider la création de la règle de pare-feu

    vm-ingress-firewall-validation

2 Activer et configurer le proxy sensible à l’identité

  1. Cliquez sur l’icône de hamburger, située dans le coin supérieur gauche de la console Google

  2. Accédez à IAM et Admin

  3. Cliquez sur Identity-Aware Proxy

    identity-aware-proxy

  4. À l’invite, cliquez sur Activer l’API

    identity-aware-proxy-enable-api

  5. Cliquez sur Go to Identity-Aware Proxy

    identity-aware-proxy-go-to

    L’écran suivant apparaît après avoir cliqué sur :

  6. Cliquez sur l’ onglet Ressources SSH et TCP

  7. Pour mettre à jour les autorisations des membres sur les ressources, sélectionnez toutes les instances de VM créées précédemment.

  8. Cliquez sur Ajouter un principal

    identity-aware-proxy-add-principal

  9. Pour autoriser des utilisateurs, des groupes ou des comptes de service à accéder aux ressources, spécifiez leur adresse e-mail dans le champ Nouveaux mandataires. Si vous êtes le seul utilisateur à tester cette fonctionnalité, vous pouvez saisir votre adresse e-mail.

  10. Pour accorder aux membres l’accès aux ressources via la fonctionnalité de transfert TCP Cloud IAP, dans la liste déroulanteRôle, sélectionnezCloud IAP

  11. Sélectionnez l’utilisateur du tunnel sécurisé par IAP

    iap-secured-tunnel-user

  12. Cliquez sur Enregistrer

    iap-add-principals

3 Installation, configuration et utilisation d’IAP Desktop pour l’accès à la console distante

Une fois que le proxy Identity Aware a été activé, l’étape suivante consiste à se connecter aux instances de machines virtuelles déployées à l’aide d’IAP Desktop, disponible sur GitHub. Une fois que vous avez téléchargé et installé le bureau IAP, lancez-le et suivez les étapes pour le configurer.

  1. Cliquez sur Se connecter avec Google

    iap-desktop

  2. Sélectionnez le compte associé à Google Cloud. Selon la configuration de votre compte, vous devez fournir un nom d’utilisateur, un mot de passe et un jeton.

    iap-choose-account

  3. Une fois l’authentification réussie, la fenêtre d’autorisation suivante s’affiche. Sélectionnez Voir, modifier, configurer et supprimer vos données Google Cloud Platform

  4. Cliquez sur Continuer

    iap-desktop-access

  5. Sélectionnez le projet Google Cloud

  6. Cliquez sur Ajouter un projet

    iap-add-project

  7. Toutes les machines créées dans la section Déploiement de l’instance Google Compute ci-dessus sont énumérées :

    iap-project-explorer

  8. Pour vous connecter à l’instance de machine virtuelle, cliquez avec le bouton droit de la souris sur la machine virtuelle cible

  9. Sélectionnez Se connecter en tant qu’utilisateur…

    iap-connect-as-user

  10. Cliquez sur User a different account

  11. Entrez le nom d’utilisateur admin

  12. Entrez le mot de passe unique précédemment généré automatiquement pour la machine que vous connectez

  13. Cliquez sur OK.

    iap-enter-your-credentials

  14. Une fois l’authentification réussie, vous pouvez vous connecter à la machine virtuelle

    iap-remote-desktop-ssh

Une fois que vous avez atteint cet objectif (à l’aide d’IAP, d’une boîte de saut ou d’une autre technique), vous disposez d’une méthode fonctionnelle pour vous connecter aux consoles distantes de vos machines virtuelles. Dans la section suivante, vous utiliserez cette méthode pour configurer les machines virtuelles dans un emplacement de ressources Citrix Cloud fonctionnel.

Étape 4 : Configuration de l’accès aux consoles de machines virtuelles