arrow_back

Tworzenie i zabezpieczanie sieci w Google Cloud: Challenge Lab

Dołącz Zaloguj się

Tworzenie i zabezpieczanie sieci w Google Cloud: Challenge Lab

1 godz. Punkty: 7

GSP322

Moduły Google Cloud do samodzielnego ukończenia

Opis

W Challenge Lab (module-wyzwaniu) otrzymasz scenariusz i zestaw zadań. Zamiast instrukcji krok po kroku użyjesz umiejętności zdobytych w poszczególnych modułach kursu, rozwiązując zadania samodzielnie. Automatyczny system oceniania (widoczny na tej stronie) poinformuje Cię, czy zadanie zostało wykonane poprawnie.

W Challenge Lab nie będziemy uczyć Cię nowych pojęć związanych z Google Cloud. Musisz za to poszerzyć nabyte umiejętności, takie jak zmiana domyślnych wartości oraz czytanie i analizowanie komunikatów o błędach, po to, by naprawiać popełnione przez siebie błędy.

Aby zdobyć 100% punktów, musisz ukończyć wszystkie zadania w określonym czasie.

Zagadnienia, z których będzie sprawdzana wiedza

  • zabezpieczenie zdalnego dostępu SSH przez bastion z włączoną funkcją IAP,
  • konfigurowanie i sprawdzanie zapory sieciowej.

Wymagania wstępne

  • znajomość sieci VPC,
  • znajomość reguł zapory sieciowej i tagów sieciowych,
  • znajomość IAP.

Konfiguracja

Zanim klikniesz przycisk Rozpocznij moduł

Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Gdy klikniesz Rozpocznij moduł, na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.

W tym praktycznym module możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.

Do ukończenia modułu potrzebne będą:

  • dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome).
Uwaga: uruchom ten moduł w oknie incognito lub przeglądania prywatnego. Dzięki temu unikniesz konfliktu między swoim kontem osobistym a kontem do nauki, co mogłoby spowodować naliczanie oddatkowych opłat na koncie osobistym.
  • Odpowiednia ilość czasu na ukończenie modułu – pamiętaj, że gdy rozpoczniesz, nie możesz go wstrzymać.
Uwaga: jeśli masz już osobiste konto lub projekt w Google Cloud, nie używaj go w tym module, aby uniknąć naliczania opłat na koncie.

Rozpoczynanie modułu i logowanie się w konsoli Google Cloud

  1. Kliknij przycisk Rozpocznij moduł. Jeśli moduł jest odpłatny, otworzy się wyskakujące okienko, w którym możesz wybrać formę płatności. Po lewej stronie znajduje się panel Szczegóły modułu z następującymi elementami:

    • przyciskiem Otwórz konsolę Google;
    • czasem, który Ci pozostał;
    • tymczasowymi danymi logowania, których musisz użyć w tym module;
    • innymi informacjami potrzebnymi do ukończenia modułu.

  2. Kliknij Otwórz konsolę Google. Moduł uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.

    Wskazówka: otwórz karty obok siebie w osobnych oknach.

    Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta.

  3. W razie potrzeby skopiuj nazwę użytkownika z panelu Szczegóły modułu i wklej ją w oknie logowania. Kliknij Dalej.

  4. Skopiuj hasło z panelu Szczegóły modułu i wklej je w oknie powitania. Kliknij Dalej.

    Ważne: musisz użyć danych logowania z panelu po lewej stronie, a nie danych logowania Google Cloud Skills Boost. Uwaga: korzystanie z własnego konta Google Cloud w tym module może wiązać się z dodatkowymi opłatami.

  5. Na kolejnych stronach wykonaj następujące czynności:

    • Zaakceptuj Warunki korzystania z usługi.
    • Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
    • Nie rejestruj się w bezpłatnych wersjach próbnych.

Poczekaj, aż na karcie otworzy się konsola Google Cloud.

Uwaga: aby wyświetlić menu z listą produktów i usług Google Cloud Console, w lewym górnym rogu kliknij menu nawigacyjne. Ikona menu nawigacyjnego

Aktywowanie Cloud Shell

Cloud Shell to maszyna wirtualna oferująca wiele narzędzi dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud. Dzięki wierszowi poleceń Cloud Shell zyskujesz dostęp do swoich zasobów Google Cloud.

  1. Kliknij Aktywuj Cloud Shell Ikona aktywowania Cloud Shell na górze konsoli Google Cloud.

Po połączeniu użytkownik od razu jest uwierzytelniony. Uruchomi się Twój projekt o identyfikatorze PROJECT_ID. Dane wyjściowe zawierają wiersz z zadeklarowanym identyfikatorem PROJECT_ID dla tej sesji:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud to narzędzie wiersza poleceń Google Cloud. Jest ono już zainstalowane w Cloud Shell i obsługuje funkcję autouzupełniania po naciśnięciu tabulatora.

  1. (Opcjonalnie) Aby wyświetlić listę aktywnych kont, użyj tego polecenia:
gcloud auth list

  1. Kliknij Autoryzuj.

  2. Dane wyjściowe powinny wyglądać tak:

Dane wyjściowe:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (Opcjonalnie) Aby wyświetlić identyfikator projektu, użyj tego polecenia:
gcloud config list project

Dane wyjściowe:

[core] project = <project_ID>

Przykładowe dane wyjściowe:

[core] project = qwiklabs-gcp-44776a13dea667a6 Uwaga: pełną dokumentację gcloud w Google Cloud znajdziesz w opisie narzędzia wiersza poleceń gcloud.

Scenariusz

Jan, który prowadzi niewielką lokalną firmę (sklep Juiceshop), zatrudnia Cię, bo potrzebuje konsultacji w sprawach bezpieczeństwa przy bijącej rekordy popularności stronie internetowej swojej firmy. Jan nie ma doświadczenia w Google Cloud, a stronę zakładał syn jego sąsiadów – wyjechał później na studia, ale najpierw upewnił się, że strona działa.

Musisz pomóc Janowi przeprowadzić konfigurację bezpieczeństwa. Oto bieżąca sytuacja:

d1d45b80d0f8dec8.png

Twoje wyzwanie

Do Twoich zadań należy bezpieczne skonfigurowanie środowiska. Pierwszym wyzwaniem będzie ustawienie prawidłowych reguł zapory sieciowej i tagów maszyny wirtualnej. Musisz także sprawdzić, czy dostęp SSH do bastionu jest możliwy tylko przez IAP.

W kontekście reguł zapory sieciowej upewnij się, że:

  • bastion nie ma publicznego adresu IP,
  • dostęp do bastionu możliwy jest tylko przez SSH i z włączoną funkcją IAP,
  • dostęp SSH do strony sklepu możliwy jest tylko przez bastion,
  • dostęp zewnętrzny dla strony juice-shop możliwy jest tylko przez HTTP.

Porady i wskazówki:

  • Zwróć szczególną uwagę na tagi sieciowe i powiązane reguły zapory sieciowej VPC.
  • Dokładność to klucz – ogranicz zakresy źródłowe w regułach zapory sieciowej VPC.
  • Ustawienia przepuszczające zbyt szeroki zakres nie zostaną zaliczone.

93b315830f8a2a1e.png

Sugerowana kolejność działań:

  1. Sprawdź reguły zapory sieciowej. Usuń ustawienia przepuszczające zbyt szeroki zakres.
Usuń ustawienia przepuszczające zbyt szeroki zakres
  1. W Cloud Console przejdź do Compute Engine i znajdź bastion. Instancja powinna być zatrzymana. Uruchom instancję.
Uruchom instancję bastionu
  1. Ruch zewnętrzny może trafiać przez SSH tylko do bastionu. Utwórz regułę zapory sieciowej, która zezwala na dostęp SSH (tcp/22) z usługi IAP. Reguła zapory sieciowej musi być włączona dla instancji bastionu używającej tagu sieciowego .
Utwórz regułę zapory sieciowej zezwalającą na dostęp SSH (tcp/22) z usługi IAP i dodaj tag sieciowy dla bastionu
  1. Serwer juice-shop obsługuje ruch HTTP. Utwórz regułę zapory sieciowej zezwalającą na ruch HTTP (tcp/80) dla dowolnego adresu. W przypadku instancji juice-shop reguła zapory sieciowej musi zostać włączona za pomocą tagu sieciowego .
Utwórz regułę zapory sieciowej zezwalającą na ruch HTTP (tcp/80) dla dowolnego adresu i dodaj tag sieciowy dla serwera juice-shop
  1. Musisz połączyć się z juice-shop z bastionu przez SSH. Utwórz regułę zapory sieciowej zezwalającą na ruch przez SSH (tcp/22) z adresu sieciowego acme-mgmt-subnet. W przypadku instancji juice-shop reguła zapory sieciowej musi zostać włączona za pomocą tagu sieciowego .
Utwórz regułę zapory sieciowej zezwalającą na ruch przez SSH (tcp/22) z acme-mgmt-subnet
  1. Na stronie instancji Compute Engine kliknij przycisk SSH dla bastionu. Po nawiązaniu połączenia połącz się przez SSH z juice-shop.
Połącz się przez SSH z bastionem przy użyciu IAP oraz z serwerem juice-shop przez bastion

Gratulacje!

Udało Ci się ukończyć Challenge Lab i pomóc Janowi w załataniu luk bezpieczeństwa.

Build_and_Secure_Networks_Skill_WB.png

Zdobądź kolejną odznakę umiejętności

Ten moduł do samodzielnego ukończenia jest częścią kursu Build and Secure Networks in Google Cloud, po ukończeniu którego otrzymasz odznakę umiejętności. Za ukończenie kursu otrzymujesz widoczną powyżej odznakę – stanowi ona potwierdzenie Twojego osiągnięcia. Pochwal się nią w swoim CV i mediach społecznościowych, oznaczając swoje osiągnięcie hashtagiem #GoogleCloudBadge.

Ta odznaka umiejętności jest częścią ścieżek szkoleniowych Network EngineerSecurity Engineer w Google Cloud. Kontynuuj naukę i zapisz się na kurs Ensure Access & Identity in Google Cloud.

Szkolenia i certyfikaty Google Cloud

…pomogą Ci wykorzystać wszystkie możliwości technologii Google Cloud. Nasze zajęcia obejmują umiejętności techniczne oraz sprawdzone metody, które ułatwią Ci szybką naukę i umożliwią jej kontynuację. Oferujemy szkolenia na poziomach od podstawowego po zaawansowany prowadzone w trybach wirtualnym, na żądanie i na żywo, dzięki czemu możesz dopasować program szkoleń do swojego napiętego harmonogramu. Certyfikaty umożliwią udokumentowanie i potwierdzenie Twoich umiejętności oraz doświadczenia w zakresie technologii Google Cloud.

Ostatnia aktualizacja instrukcji: 5 maja 2021 r.
Ostatni test instrukcji: 5 maja 2021 r.

Copyright 2020 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.