arrow_back

Tworzenie i zabezpieczanie sieci w Google Cloud: Challenge Lab

Tworzenie i zabezpieczanie sieci w Google Cloud: Challenge Lab

1 godz. Punkty: 7

GSP322

Moduły Google Cloud do samodzielnego ukończenia

Opis

W Challenge Lab (module-wyzwaniu) otrzymasz scenariusz i zestaw zadań. Zamiast instrukcji krok po kroku użyjesz umiejętności zdobytych w poszczególnych modułach kursu, rozwiązując zadania samodzielnie. Automatyczny system oceniania (widoczny na tej stronie) poinformuje Cię, czy zadanie zostało wykonane poprawnie.

W Challenge Lab nie będziemy uczyć Cię nowych pojęć związanych z Google Cloud. Musisz za to poszerzyć nabyte umiejętności, takie jak zmiana domyślnych wartości oraz czytanie i analizowanie komunikatów o błędach, po to, by naprawiać popełnione przez siebie błędy.

Aby zdobyć 100% punktów, musisz ukończyć wszystkie zadania w określonym czasie.

Zagadnienia, z których będzie sprawdzana wiedza

  • zabezpieczenie zdalnego dostępu SSH przez bastion z włączoną funkcją IAP,
  • konfigurowanie i sprawdzanie zapory sieciowej.

Wymagania wstępne

  • znajomość sieci VPC,
  • znajomość reguł zapory sieciowej i tagów sieciowych,
  • znajomość IAP.

Konfiguracja

Zanim klikniesz przycisk Start Lab (Rozpocznij moduł)

Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Po kliknięciu Start Lab (Rozpocznij moduł) na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.

W tym praktycznym module Qwiklabs możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.

Wymagania

Do ukończenia modułu potrzebne będą:

  • dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome),
  • czas wymagany do ukończenia modułu.

Uwaga: jeśli masz już osobiste konto lub projekt w Google Cloud, nie używaj go w tym module.

Uwaga: jeśli używasz Pixelbooka, uruchom ten moduł w oknie incognito.

Rozpoczynanie modułu i logowanie się w konsoli Google Cloud

  1. Kliknij przycisk Rozpocznij moduł. Jeśli moduł jest odpłatny, otworzy się wyskakujące okienko, w którym możesz wybrać formę płatności. Po lewej stronie znajduje się panel Szczegóły modułu z następującymi elementami:

    • przyciskiem Otwórz konsolę Google;
    • czasem, który Ci pozostał;
    • tymczasowymi danymi logowania, których musisz użyć w tym module;
    • innymi informacjami potrzebnymi do ukończenia modułu.
  2. Kliknij Otwórz konsolę Google. Moduł uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.

    Wskazówka: otwórz karty obok siebie w osobnych oknach.

    Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta.
  3. W razie potrzeby skopiuj nazwę użytkownika z panelu Szczegóły modułu i wklej ją w oknie logowania. Kliknij Dalej.

  4. Skopiuj hasło z panelu Szczegóły modułu i wklej je w oknie powitania. Kliknij Dalej.

    Ważne: musisz użyć danych logowania z panelu po lewej stronie, a nie danych logowania Google Cloud Skills Boost. Uwaga: korzystanie z własnego konta Google Cloud w tym module może wiązać się z dodatkowymi opłatami.
  5. Na kolejnych stronach wykonaj następujące czynności:

    • Zaakceptuj Warunki korzystania z usługi.
    • Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
    • Nie rejestruj się w bezpłatnych wersjach próbnych.

Poczekaj, aż na karcie otworzy się konsola Google Cloud.

Uwaga: aby wyświetlić menu z listą produktów i usług Google Cloud Console, w lewym górnym rogu kliknij menu nawigacyjne. Ikona menu nawigacyjnego

Aktywowanie Cloud Shell

Cloud Shell to maszyna wirtualna oferująca wiele narzędzi dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud. Dzięki wierszowi poleceń Cloud Shell zyskujesz dostęp do swoich zasobów Google Cloud.

U góry Cloud Console, w pasku narzędzi po prawej stronie, kliknij przycisk Aktywuj Cloud Shell.

Ikona Cloud Shell

Kliknij Dalej.

cloudshell_continue.png

Uzyskanie dostępu do środowiska i połączenie się z nim może zająć kilka chwil. Po połączeniu użytkownik od razu jest uwierzytelniony. Uruchomi się Twój projekt o identyfikatorze PROJECT_ID. Przykład:

Terminal Cloud Shell

gcloud to narzędzie wiersza poleceń Google Cloud. Jest ono już zainstalowane w Cloud Shell i obsługuje funkcję autouzupełniania po naciśnięciu tabulatora.

Aby wyświetlić listę aktywnych kont, użyj tego polecenia:

gcloud auth list

(Dane wyjściowe)

Credentialed accounts:
 - <myaccount>@<mydomain>.com (active)

(Przykładowe dane wyjściowe)

Credentialed accounts:
 - google1623327_student@qwiklabs.net

Aby wyświetlić identyfikator projektu, użyj tego polecenia:

gcloud config list project

(Dane wyjściowe)

[core]
project = <project_ID>

(Przykładowe dane wyjściowe)

[core]
project = qwiklabs-gcp-44776a13dea667a6

Scenariusz

Jan, który prowadzi niewielką lokalną firmę (sklep Juiceshop), zatrudnia Cię, bo potrzebuje konsultacji w sprawach bezpieczeństwa przy bijącej rekordy popularności stronie internetowej swojej firmy. Jan nie ma doświadczenia w Google Cloud, a stronę zakładał syn jego sąsiadów – wyjechał później na studia, ale najpierw upewnił się, że strona działa.

Musisz pomóc Janowi przeprowadzić konfigurację bezpieczeństwa. Oto bieżąca sytuacja:

d1d45b80d0f8dec8.png

Twoje wyzwanie

Do Twoich zadań należy bezpieczne skonfigurowanie środowiska. Pierwszym wyzwaniem będzie ustawienie prawidłowych reguł zapory sieciowej i tagów maszyny wirtualnej. Musisz także sprawdzić, czy dostęp SSH do bastionu jest możliwy tylko przez IAP.

W kontekście reguł zapory sieciowej upewnij się, że:

  • bastion nie ma publicznego adresu IP,
  • dostęp do bastionu możliwy jest tylko przez SSH i z włączoną funkcją IAP,
  • dostęp SSH do strony sklepu możliwy jest tylko przez bastion,
  • dostęp zewnętrzny dla strony juice-shop możliwy jest tylko przez HTTP.

Porady i wskazówki:

  • Zwróć szczególną uwagę na tagi sieciowe i powiązane reguły zapory sieciowej VPC.
  • Dokładność to klucz – ogranicz zakresy źródłowe w regułach zapory sieciowej VPC.
  • Ustawienia przepuszczające zbyt szeroki zakres nie zostaną zaliczone.

93b315830f8a2a1e.png

Sugerowana kolejność działań:

  1. Sprawdź reguły zapory sieciowej. Usuń ustawienia przepuszczające zbyt szeroki zakres.
Usuń ustawienia przepuszczające zbyt szeroki zakres
  1. W Cloud Console przejdź do Compute Engine i znajdź bastion. Instancja powinna być zatrzymana. Uruchom instancję.
Uruchom instancję bastionu
  1. Ruch zewnętrzny może trafiać przez SSH tylko do bastionu. Utwórz regułę zapory sieciowej, która zezwala na dostęp SSH (tcp/22) z usługi IAP. Reguła zapory sieciowej musi być włączona dla instancji bastionu używającej tagu sieciowego .
Utwórz regułę zapory sieciowej zezwalającą na dostęp SSH (tcp/22) z usługi IAP i dodaj tag sieciowy dla bastionu
  1. Serwer juice-shop obsługuje ruch HTTP. Utwórz regułę zapory sieciowej zezwalającą na ruch HTTP (tcp/80) dla dowolnego adresu. W przypadku instancji juice-shop reguła zapory sieciowej musi zostać włączona za pomocą tagu sieciowego .
Utwórz regułę zapory sieciowej zezwalającą na ruch HTTP (tcp/80) dla dowolnego adresu i dodaj tag sieciowy dla serwera juice-shop
  1. Musisz połączyć się z juice-shop z bastionu przez SSH. Utwórz regułę zapory sieciowej zezwalającą na ruch przez SSH (tcp/22) z adresu sieciowego acme-mgmt-subnet. W przypadku instancji juice-shop reguła zapory sieciowej musi zostać włączona za pomocą tagu sieciowego .
Utwórz regułę zapory sieciowej zezwalającą na ruch przez SSH (tcp/22) z acme-mgmt-subnet
  1. Na stronie instancji Compute Engine kliknij przycisk SSH dla bastionu. Po nawiązaniu połączenia połącz się przez SSH z juice-shop.
Połącz się przez SSH z bastionem przy użyciu IAP oraz z serwerem juice-shop przez bastion

Gratulacje!

Udało Ci się ukończyć Challenge Lab i pomóc Janowi w załataniu luk bezpieczeństwa.

Build_and_Secure_Networks_Skill_WB.png

Zdobądź kolejną odznakę umiejętności

Ten moduł do samodzielnego ukończenia jest częścią kursu Build and Secure Networks in Google Cloud, po ukończeniu którego otrzymasz odznakę umiejętności. Za ukończenie kursu otrzymujesz widoczną powyżej odznakę – stanowi ona potwierdzenie Twojego osiągnięcia. Pochwal się nią w swoim CV i mediach społecznościowych, oznaczając swoje osiągnięcie hashtagiem #GoogleCloudBadge.

Ta odznaka umiejętności jest częścią ścieżek szkoleniowych Network EngineerSecurity Engineer w Google Cloud. Kontynuuj naukę i zapisz się na kurs Ensure Access & Identity in Google Cloud.

Szkolenia i certyfikaty Google Cloud

…pomogą Ci wykorzystać wszystkie możliwości technologii Google Cloud. Nasze zajęcia obejmują umiejętności techniczne oraz sprawdzone metody, które ułatwią Ci szybką naukę i umożliwią jej kontynuację. Oferujemy szkolenia na poziomach od podstawowego po zaawansowany prowadzone w trybach wirtualnym, na żądanie i na żywo, dzięki czemu możesz dopasować program szkoleń do swojego napiętego harmonogramu. Certyfikaty umożliwią udokumentowanie i potwierdzenie umiejętności i doświadczenia uzyskanego w zakresie technologii Google Cloud.

Ostatnia aktualizacja instrukcji: 5 maja 2021 r.
Ostatni test instrukcji: 5 maja 2021 r.

Copyright 2020 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.