VPC Service Controls und private Cluster konfigurieren

Auf dieser Seite wird beschrieben, wie VPC Service Controls und private Cluster funktionieren um sie in Cloud Workstations einzurichten.

VPC Service Controls

VPC Service Controls bietet zusätzliche Sicherheit für Ihre Workstations das Risiko der Daten-Exfiltration zu verringern. Mit VPC Service Controls können Sie Projekten zu Dienstperimetern, die dazu beitragen können, Ressourcen und Dienste vor Anfragen, die außerhalb des Perimeters erfolgen.

Dies sind die Anforderungen für die Verwendung von Cloud Workstations in einem VPC-Dienstperimeter:

  • Zum Schutz von Cloud Workstations müssen Sie die Compute Engine API in Ihrem Dienstperimeter, wenn Sie die Cloud Workstations API

  • Stellen Sie sicher, dass die Google Cloud Storage API, die Google Container Registry API, und die Artifact Registry API <ph type="x-smartling-placeholder"></ph> In Ihrem Dienst zugängliche VPC des Perimeters. Dies ist erforderlich, um Images auf Ihre Workstation zu übertragen. Wir empfehlen außerdem, die Cloud Logging API und Cloud Error Reporting API auf VPC-Zugriff in festgelegt. Dies ist jedoch für die Verwendung Cloud Workstations.

  • Achten Sie darauf, dass Ihr Workstationcluster private ist. Durch das Konfigurieren eines privaten Clusters werden Verbindungen zu Ihren Workstations verhindert von außerhalb des VPC-Dienstperimeters. Cloud Workstations Dienst verhindert das Erstellen öffentlicher Cluster in einer VPC Dienstperimeter.
  • Deaktivieren Sie öffentliche IP-Adressen auf Ihrer Workstation Konfiguration. Andernfalls werden VMs mit öffentlicher IP-Adresse erstellt. Adressen in Ihrem Projekt. Wir empfehlen Ihnen dringend, die Methode constraints/compute.vmExternalIpAccess Einschränkung der Organisationsrichtlinie zum Deaktivieren öffentlicher IP-Adressen für alle VMs in Ihrem VPC-Dienstperimeter an. Weitere Informationen finden Sie unter Externe IP-Adressen auf bestimmte VMs:

Weitere Informationen zu Dienstperimetern finden Sie unter Informationen zu Dienstperimetern und deren Konfiguration.

Architektur

Wenn Sie einen Workstationcluster als privat konfigurieren, wird die Steuerungsebene des Workstationcluster nur eine interne IP-Adresse hat. Das bedeutet, dass Clients aus dem öffentlichen Internet keine Verbindung zu den Workstations herstellen, Workstation-Cluster. Zur Verwendung eines privaten Clusters müssen Sie die Verbindung privaten Cluster in Ihr VPC-Netzwerk (Virtual Private Cloud) über eine Private Service Connect Endpunkt.

Für Konfigurationen mit privaten Clustern sind zwei PSC-Endpunkte erforderlich:

  • Standardmäßig erstellt Cloud Workstations einen separaten PSC-Endpunkt um die Steuerungsebene mit den Workstation-VMs zu verbinden.

  • Du musst zusätzlichen PSC-Endpunkt für private Cluster erstellen. So stellen Sie eine Verbindung von Ihrem lokalen Computer zu einer Workstation in einem privaten Cluster geschützt sind, muss der lokale Computer mit dem VPC-Netzwerk. Verwenden Sie Cloud-VPN oder Cloud Interconnect Um das externe Netzwerk, in dem Sie Ihre Maschine ausführen, mit der VPC zu verbinden Netzwerk. Dieser zusätzliche PSC-Endpunkt muss im selben Netzwerk erstellt werden mit dem Ihr externes Netzwerk eine Verbindung zu Cloud VPN herstellt oder Cloud Interconnect.

Das folgende Diagramm zeigt eine Beispielarchitektur eines privaten Clusters:

Abbildung 1. Private Cluster

Hinweise

Bevor Sie beginnen, müssen Sie die folgenden Einrichtungsschritte ausführen:

  1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  6. Cloud Workstations API aktivieren.

    Aktivieren Sie die API

  7. Achten Sie darauf, dass Sie die IAM-Rolle „Cloud Workstations Admin“ für das Projekt, damit Sie Workstationkonfigurationen erstellen können. Rufen Sie zum Prüfen Ihrer IAM-Rollen in der Google Cloud Console die IAM-Seite:

    <ph type="x-smartling-placeholder"></ph> Zu IAM

  8. Cloud Workstations werden auf VMs gehostet, die aus der vorkonfigurierten öffentlichen Compute Engine gestartet werden Container-Optimized OS (COS) Bilder. Wenn die Organisation constraints/compute.trustedimageProjects erzwungen wird, müssen Sie Einschränkungen für den Image-Zugriff festlegen Damit können Nutzer Bootlaufwerke aus projects/cos-cloud oder allen öffentlichen Images erstellen.
  9. Optional: Aktivieren Sie die Container File System API, um einen schnelleren Start der Workstation zu ermöglichen.

    Container File System API aktivieren

    Weitere Informationen finden Sie unter Reduzieren Sie die Startzeit der Workstations, Bildstreaming.

Privaten Cluster erstellen

So erstellen Sie einen privaten Cluster:

  1. Rufen Sie in der Google Cloud Console die Seite Cloud Workstations auf.

    Zu Cloud Workstations

  2. Rufen Sie die Seite Clusterverwaltung der Workstation auf.

  3. Klicken Sie auf Erstellen.

  4. Geben Sie unter Name einen Namen ein und wählen Sie eine Region für den Workstationcluster aus.

  5. Wählen Sie im Abschnitt „Netzwerk“ die Option Netzwerke in diesem Projekt aus.

  6. Wählen Sie ein Netzwerk und ein Teilnetzwerk aus.

  7. Wählen Sie für Gateway-Typ die Option Privates Gateway aus.

  8. Optional: Geben Sie ein oder mehrere zusätzliche Projekte an, die das Private Service Connect-Endpunkt, der den HTTP-Zugriff auf Ihre privaten Cluster. Standardmäßig kann dieser Endpunkt nur in der Workstation-Clusterprojekt und VPC-Netzwerk-Hostprojekt (falls unterschiedlich). Bei Bedarf können diese Projekte auch nach der Clustererstellung angegeben werden.

  9. Klicken Sie auf Erstellen.

Private Clusterverbindung aktivieren

Clients können keine Verbindung zu Workstations in privaten Workstationclustern vom öffentlich zugänglichen Internet. Clients müssen sich in einem Netzwerk befinden, das mit dem Workstationcluster mit Private Service Connect (PSC). Führen Sie die Schritte in diesem Abschnitt aus, um eine Verbindung zu einer Workstation herzustellen:

  1. PSC-Endpunkt erstellen das auf den Anhang Ihres Workstationdienstes ausgerichtet ist.

  2. Erstellen Sie eine private DNS-Zone.

  3. Mit Cloud DNS einen DNS-Eintrag erstellen, der eine den Hostnamen Ihres Clusters an den PSC-Endpunkt.

Private Service Connect-Endpunkt erstellen

So erstellen Sie einen PSC-Endpunkt:

  1. Rufen Sie in der Google Cloud Console Private Service Connect auf.

    Los mit Private Service Connect

  2. Klicken Sie auf den Tab Verbundene Endpunkte und dann auf addEndpunkt verbinden.

  3. Wählen Sie für Ziel die Option Veröffentlichter Dienst aus.

  4. Geben Sie im Feld Zieldienst den URI des erstellten Dienstanhangs ein. für den Workstationcluster. Rufen Sie dazu Ihre Workstation auf. in der Konsole und suchen Sie nach dem Feld URI des Dienstanhangs. unter Werbenetzwerkeinstellungen.

  5. Geben Sie im Feld Endpunkt einen Endpunktnamen ein.

  6. Wählen Sie ein Netzwerk für den Endpunkt und dann ein Subnetzwerk aus. Dieses Netzwerk sollte das Netzwerk sein, mit dem Sie eine Verbindung herstellen möchten Ihre Workstations und müssen dasselbe Netzwerk sein wie Ihr externes Netzwerk eine Verbindung zu Cloud VPN oder Cloud Interconnect herstellen.

  7. Wählen Sie eine IP-Adresse für den Endpunkt aus.

    Wenn Sie eine neue IP-Adresse benötigen, wählen Sie IP-Adresse erstellen aus:

    1. Geben Sie einen Namen und optional eine Beschreibung für die IP-Adresse ein.
    2. Wählen Sie für Statische IP-Adresse die Option Automatisch zuweisen aus. Wählen Sie für eine benutzerdefinierte IP-Adresse die Option Selbst auswählen aus. und geben Sie die gewünschte IP-Adresse ein.
    3. Wählen Sie unter Zweck die Option Nicht freigegeben aus.
    4. Klicken Sie auf Reservieren.

  8. Wählen Sie einen Namespace aus der Drop-down-Liste aus oder erstellen Sie einen neuen Namespace. Die Region wird basierend auf dem ausgewählten Subnetzwerk ausgefüllt.

  9. Klicken Sie auf Endpunkt hinzufügen.

  10. Kopieren Sie die IP-Adresse des Endpunkts, damit Sie sie im nächsten Abschnitt zu Erstellen Sie eine private DNS-Zone und einen DNS-Eintrag.

Private DNS-Zone erstellen

Führen Sie die folgenden Schritte aus, um eine private DNS-Zone für diesen Workstationcluster zu erstellen wobei der DNS-Name auf Ihren clusterHostname festgelegt ist, den Sie über in der Console zu Ihrem Workstationcluster navigieren.

  1. Rufen Sie in der Google Cloud Console die Seite DNS-Zone erstellen auf.

    Los um eine DNS-Zone zu erstellen

  2. Wählen Sie als Zonentyp die Option Privat aus.

  3. Geben Sie unter Zonenname einen Namen wie private-workstations-cluster-zone ein.

  4. Geben Sie unter DNS-Name ein Suffix für die private Zone ein. Alle Einträge in der Zone dieses Suffix teilen. Legen Sie als Namen Ihren clusterHostname fest.

    Rufen Sie Cloud Workstations auf, um Ihre clusterHostname zu finden &gt; die Seite Clusterverwaltung in der Google Cloud Console und Klicken Sie dann auf Ihren Workstationcluster, um den Hostnamen aufzurufen.

  5. Optional: Fügen Sie eine Beschreibung hinzu.

  6. Wählen Sie unter Optionen die Option Standard (privat) aus.

  7. Wählen Sie das Netzwerk aus, PSC-Endpunkt im vorheriger Abschnitt da die IP-Adresse nur in diesem Netzwerk gültig ist.

  8. Klicken Sie auf Erstellen.

Weitere Informationen zu privaten DNS-Zonen finden Sie in der Cloud DNS Dokumentation dazu, wie Sie Private Zone erstellen und Best Practices für private Cloud DNS-Zonen

DNS-Eintrag erstellen

So fügen Sie einen Eintrag hinzu, der *.<clusterHostname> der IP zuordnet die beim Erstellen des Private Service Connect-Endpunkts reserviert wurde, führen Sie folgende Schritte aus:

  1. Rufen Sie in der Google Cloud Console die Seite Cloud DNS-Zonen auf.

    Cloud DNS-Zonen aufrufen

  2. Klicken Sie auf den Namen der verwalteten Zone, der Sie den Eintrag hinzufügen möchten.

  3. Klicken Sie auf der Seite Zonendetails auf Standard hinzufügen.

  4. Geben Sie auf der Seite Create record set (Eintragsgruppe erstellen) in das Feld DNS-Name Folgendes ein: *.<clusterHostname>

  5. Geben Sie im Feld IP-Adresse die IP-Adresse ein, die Sie für Ihren Private Service Connect-Endpunkts.

  6. Klicken Sie auf Erstellen.

  7. Ihr VPC-Netzwerk sollte jetzt mit der Workstation verbunden sein und Sie können über dieses Netzwerk eine Verbindung zu Workstations herstellen.

Lokale DNS-Auflösung aktivieren

Um den standardmäßigen browserbasierten Editor auf Ihrer Workstation zu verwenden, verwenden Sie einen Browser aus einem Computer mit dem VPC-Netzwerk verbunden. Sie können Cloud-VPN oder Cloud Interconnect um von dem externen Netzwerk, in dem Sie den Browser ausführen, eine Verbindung zur VPC herzustellen Netzwerk.

Wenn Sie eine Verbindung von einem externen Netzwerk aus herstellen möchten, müssen Sie das DNS im externen Netzwerk konfigurieren. Ähnlich wie in den vorherigen Schritten können Sie eine DNS-Zone für clusterHostname erstellen und einen Eintrag hinzufügen, der *.<clusterHostname> der IP-Adresse zuordnet Adresse, die beim Erstellen des Private Service Connect-Endpunkts reserviert wurde. Alternativ können Sie DNS-Weiterleitungszonen oder DNS-Serverrichtlinien , um DNS-Namen zwischen Ihrer lokalen Umgebung und Ihrer Google Cloud-Umgebung nachschlagen zu können.

Möglicherweise müssen Sie auch *cloudworkstations.dev zur lokalen Umgebung hinzufügen auf die Zulassungsliste der Infrastruktur setzen.

Nächste Schritte