ステップ 4: VM コンソールへのアクセスを構成する

概要

これで、Windows 仮想マシンインスタンスを作成するプロセスが完了しました。次のステップは、これらの仮想マシンのコンソールにリモートアクセスして構成する方法を特定することです。Google Cloud は、仮想マシンインスタンスへのネットワーク接続と、仮想マシン内で実行されるリモートコンソールサービスに依存して、リモートコンソールアクセスを処理します。Windows 仮想マシンの場合、これは RDP クライアントを使用して、インスタンス内で実行されている RDP リスナーに接続することを意味します。SSH は Windows 以外のマシンの接続を処理します。

VM コンソールにアクセスするために使用するツールとテクニックは、ワークステーションのオペレーティングシステムとネットワークの場所によって異なる場合があります。また、組織がセキュリティをどのように扱うかによっても異なる場合があります。このセクションの目的は、 Google Cloud プロジェクトの仮想マシンへのリモートコンソール接続を確立できるようにすることです。

リモートコンソールアクセスを確立するための一般的な手法には、次のものがあります。

  1. RDP クライアントを使用して、同じネットワーク上の管理ワークステーションと VM 間の直接接続を確立する

  2. 1つ以上のVMでパブリックIPアドレスを使用し、インターネット経由で管理ワークステーションからパブリックアドレスへのRDP接続を確立する

  3. ジャンプボックスまたは踏み台ホストへの接続を確立し、優先 RDP クライアントを使用して Google Cloud プロジェクト内の VM にアクセスします。管理者は多くの場合、外部 IP アドレスを介してジャンプボックスに接続します。

  4. Google Cloud Identity 認識プロキシ (IAP) の TCP 転送機能と IAP デスクトップなどのツールを使用する

管理ワークステーションがすでに Google Cloud プロジェクトの仮想マシンと同じネットワーク上にある場合は、ファイアウォールルール経由で RDP アクセスを許可していれば、IP アドレスを介して管理ワークステーションに接続できます。管理ワークステーションが同じネットワーク上にない場合は、外部 IP アドレスが割り当てられたジャンプボックスの使用を検討できます。ただし、これを行う場合は、管理ワークステーションのパブリック IP アドレスからのアクセスのみを許可するように、RDP リスナー (TCP 3389) へのアクセスを制限してください。

リモートコンソールアクセスを提供する最も安全な方法は、Google Cloud の ID 認識型プロキシ TCP 転送機能と IAP デスクトップを使用することです。Google Cloud Identity Aware Proxy(IAP)の TCP 転送機能を使用すると、パブリックインターネット経由でプロジェクト内の VM に対して SSH や RDP などの管理インターフェイスにアクセスできるユーザーを制御できます。IAP は、これらのサービスがインターネットに直接公開されるのを防ぎます。また、IAP では、アクセスを許可する前に IAP が認証と承認を行うので、Google Cloud IAM の役割に基づいてこれらのサービスにアクセスできるユーザーを制御することもできます。IAPデスクトップは、IAPおよびRDPクライアントの上にユーザーフレンドリーなUIを配置するWindows唯一のオープンソースツールです。

このデプロイガイドでは、IAP サービスと IAP Desktop アプリを使用して、構成のために仮想マシンに安全にアクセスします。Google Cloud SDK と gcloud コマンドを使用して、Windows 以外のエンドポイントで IAP サービスを引き続き使用できますが、このガイドの範囲外です。

Identity Aware Proxy の構成は 3 段階のプロセスです。最初のステップは、Ingress TCP トラフィックを許可するようにファイアウォールを構成し、2 番目のステップは ID 対応プロキシを構成し、3 番目のステップは、リモートコンソールアクセスに IAP Desktop を使用することです。

1 上りの TCP トラフィックを許可するように Google Cloud ファイアウォールを設定する

  1. Google Console の左上隅にあるハンバーガーアイコンをクリックします

  2. VPC ネットワークに移動します

  3. ファイアウォール] をクリックします

    vpc-networks-firewall

  4. [ ファイアウォールルールを作成] をクリックします

    vpc-networks-firewall-rule

  5. ファイアウォールルールの一意の名前を入力してください: allow-iap-access

  6. ファイアウォールルールの説明を入力します。 IAP アクセスを許可する

  7. [ 仮想プライベートクラウド ] セクションで作成した VPC ネットワークを選択します。 citrixcloudnetwork

  8. 上りトラフィックを選択

    vm-ingress-create-firewall-rule

  9. [ターゲット] フィールドで、[ ネットワーク内のすべてのインスタンス] を選択します。

  10. ソースIP範囲を35.235.240.0/20に設定します

  11. [ 指定されたプロトコルとポート] を選択します

  12. [ TCP ] チェックボックスをオンにします。

  13. [ 作成] をクリックします。

    vm-ingress-ip-range

  14. ファイアウォールルールが作成されたことを検証する

    vm-ingress-firewall-validation

2 ID 認識プロキシを有効にして構成する

  1. Google Console の左上隅にあるハンバーガーアイコンをクリックします

  2. [ IAM と管理者]に移動します

  3. [ ID 認識プロキシ] をクリックします

    identity-aware-proxy

  4. プロンプトが表示されたら、[ API を有効にする]

    identity-aware-proxy-enable-api

  5. [ ID 認識プロキシに移動] をクリックします

    identity-aware-proxy-go-to

    クリックすると、次の画面が表示されます。

  6. [ SSH と TCP リソース] タブをクリックします

  7. リソースに対するメンバー権限を更新するには、以前に作成したすべての VM インスタンスを選択します。

  8. 主体を追加

    identity-aware-proxy-add-principal

  9. ユーザー、グループ、またはサービスアカウントにリソースへのアクセス権を付与するには、[新しいプリンシパル] フィールドにメールアドレスを指定します。この機能をテストしている唯一のユーザーであれば、メールアドレスを入力できます。

  10. Cloud IAP TCP 転送機能を使用してリソースへのアクセス権をメンバーに付与するには、[役割 ] ドロップダウンで [Cloud IAP] を選択します。

  11. IAPで保護されたトンネルユーザーの選択

    iap-secured-tunnel-user

  12. [ 保存]をクリックします

    iap-add-principals

3 リモートコンソールアクセス用に IAP Desktop をインストール、設定、使用する

Identity Aware Proxy が有効になったら、次のステップは、 GitHubで利用可能な IAP Desktop を使用して、デプロイされた仮想マシンインスタンスに接続することです。IAPデスクトップをダウンロードしてインストールしたら、それを起動し、手順に従って構成します。

  1. Google でサインイン」をクリックします

    iap-desktop

  2. Google Cloud に関連付けられているアカウントを選択します。アカウント設定に応じて、ユーザー名、パスワード、およびトークンを指定する必要があります。

    iap-choose-account

  3. 認証が成功すると、次の権限ウィンドウが表示されます。[ Google Cloud Platform のデータを表示、編集、設定、削除する]を選択します。

  4. [ 続行] をクリックします。

    iap-desktop-access

  5. Google Cloud プロジェクトを選択します

  6. プロジェクトを追加」をクリックします

    iap-add-project

  7. 以前に「 Google コンピュートインスタンスのデプロイ 」セクションで作成されたすべてのマシンが列挙されます。

    iap-project-Explorer

  8. 仮想マシンインスタンスにログインするには、ターゲット仮想マシンを右クリックします

  9. [ ユーザーとして接続…] を選択します。

    iap-connect-as-user

  10. [ 別のアカウントをユーザーにする] をクリックします。

  11. ユーザー名 adminを入力してください

  12. 接続しているマシンに対して以前に自動生成された一意のパスワードを入力してください

  13. [OK]をクリックします。

    iap-enter-your-credentials

  14. 認証が成功すると、仮想マシンにログインできます

    iap-remote-desktop-ssh

この目標 (IAP、ジャンプボックス、またはその他の方法を使用して) を完了すると、仮想マシンのリモートコンソールに接続するための機能的な方法が得られます。次のセクションでは、この方法を使用して、仮想マシンを機能するCitrix Cloud リソースの場所に構成します。

ステップ 4: VM コンソールへのアクセスを構成する