Checkpoints
Create the blue server
/ 15
Create the green server
/ 15
Install Nginx and customize the welcome page
/ 30
Create the tagged firewall rule
/ 15
Create a test-vm
/ 10
Create a Network-admin service account
/ 15
VPC Ağları - Erişim Denetimi
GSP213
Genel Bakış
Bu laboratuvarda, iki nginx web sunucusu oluşturacak ve etiketli güvenlik duvarı kurallarını kullanarak bu web sunucularına harici HTTP erişimini kontrol edeceksiniz. Ardından, IAM rollerini ve hizmet hesaplarını keşfedeceksiniz.
Hedefler
Bu laboratuvarda, aşağıdaki görevleri nasıl gerçekleştireceğinizi öğreneceksiniz:
- Nginx web sunucusu oluşturma
- Etiketli güvenlik duvarı kuralları oluşturma
- IAM rolleri içeren bir hizmet hesabı oluşturma
- Ağ Yöneticisi ve Güvenlik Yöneticisi rollerinin izinlerini keşfetme
Kurulum ve şartlar
Laboratuvarı Başlat düğmesini tıklamadan önce
Buradaki talimatları okuyun. Laboratuvarlar süreli olduğundan duraklatılamaz. Laboratuvarı Başlat'ı tıkladığınızda başlayan zamanlayıcı, Google Cloud kaynaklarının ne süreyle kullanımınıza açık durumda kalacağını gösterir.
Bu uygulamalı laboratuvarı kullanarak, laboratuvar etkinliklerini gerçek bir bulut ortamında (Simülasyon veya demo ortamında değil.) gerçekleştirebilirsiniz. Bu olanağın sunulabilmesi için size yeni, geçici kimlik bilgileri verilir. Bu kimlik bilgilerini laboratuvar süresince Google Cloud'da oturum açmak ve Google Cloud'a erişmek için kullanırsınız.
Bu laboratuvarı tamamlamak için şunlar gerekir:
- Standart bir internet tarayıcısına erişim (Chrome Tarayıcı önerilir).
- Laboratuvarı tamamlamak için yeterli süre. (Laboratuvarlar, başlatıldıktan sonra duraklatılamaz)
Laboratuvarınızı başlatma ve Google Cloud Console'da oturum açma
-
Laboratuvarı Başlat düğmesini tıklayın. Laboratuvar için ödeme yapmanız gerekiyorsa ödeme yöntemini seçebileceğiniz bir pop-up açılır. Soldaki Laboratuvar Ayrıntıları panelinde şunlar yer alır:
- Google Console'u Aç düğmesi
- Kalan süre
- Bu laboratuvarda kullanmanız gereken geçici kimlik bilgileri
- Bu laboratuvarda ilerlemek için gerekebilecek diğer bilgiler
-
Google Console'u Aç'ı tıklayın. Laboratuvar, kaynakları çalıştırır ve sonra Oturum aç sayfasını gösteren başka bir sekme açar.
İpucu: Sekmeleri ayrı pencerelerde, yan yana açın.
Not: Hesap seçin iletişim kutusunu görürseniz Başka Bir Hesap Kullan'ı tıklayın. -
Gerekirse Laboratuvar Ayrıntıları panelinden Kullanıcı adı'nı kopyalayın ve Oturum aç iletişim kutusuna yapıştırın. Sonraki'ni tıklayın.
-
Laboratuvar Ayrıntıları panelinden Şifre'yi kopyalayın ve Hoş geldiniz iletişim penceresine yapıştırın. Sonraki'ni tıklayın.
Önemli: Sol paneldeki kimlik bilgilerini kullanmanız gerekir. Google Cloud Öğrenim Merkezi kimlik bilgilerinizi kullanmayın. Not: Bu laboratuvarda kendi Google Cloud hesabınızı kullanabilmek için ek ücret ödemeniz gerekebilir. -
Sonraki sayfalarda ilgili düğmeleri tıklayarak ilerleyin:
- Şartları ve koşulları kabul edin.
- Geçici bir hesap kullandığınızdan kurtarma seçenekleri veya iki faktörlü kimlik doğrulama eklemeyin.
- Ücretsiz denemelere kaydolmayın.
Birkaç saniye sonra Cloud Console bu sekmede açılır.
Cloud Shell'i etkinleştirme
Cloud Shell, çok sayıda geliştirme aracı içeren bir sanal makinedir. 5 GB boyutunda kalıcı bir ana dizin sunar ve Google Cloud üzerinde çalışır. Cloud Shell, Google Cloud kaynaklarınıza komut satırı erişimi sağlar.
- Google Cloud Console'un üst kısmından Cloud Shell'i etkinleştir simgesini tıklayın.
Bağlandığınızda, kimliğiniz doğrulanmış olur. Proje ise PROJECT_ID'nize göre ayarlanmıştır. Çıkış, bu oturum için PROJECT_ID'yi tanımlayan bir satır içerir:
gcloud
, Google Cloud'un komut satırı aracıdır. Cloud Shell'e önceden yüklenmiştir ve sekmeyle tamamlamayı destekler.
- (İsteğe bağlı) Etkin hesap adını şu komutla listeleyebilirsiniz:
-
Yetkilendir'i tıklayın.
-
Çıkışınız aşağıdaki gibi görünecektir:
Çıkış:
- (İsteğe bağlı) Proje kimliğini şu komutla listeleyebilirsiniz:
Çıkış:
Örnek çıkış:
gcloud
ile ilgili tüm belgeleri, Google Cloud'daki gcloud CLI'ya genel bakış rehberinde bulabilirsiniz.
1. görev: Web sunucularını oluşturma
Bu bölümde, varsayılan VPC ağında iki web sunucusu (mavi ve yeşil) oluşturacaksınız. Ardından, bu web sunucularına nginx yükleyecek ve karşılama sayfasını bu iki sunucuyu birbirinden ayırt edecek şekilde değiştireceksiniz.
Mavi sunucuyu oluşturma
Mavi sunucuyu bir ağ etiketiyle oluşturun.
-
Console'da gezinme menüsü () > Compute Engine > Sanal makine örnekleri'ne gidin.
-
Örnek oluştur'u tıklayın.
-
Şu değerleri ayarlayın ve diğer tüm değerleri varsayılan ayarlarında bırakın:
Özellik Değer (değeri yazın veya belirtilen seçeneği kullanın) Ad mavi Bölge Alt Bölge Mevcut bölgeler ve alt bölgeler hakkında daha fazla bilgi edinmek için Google Cloud Compute Engine Bölge ve Alt Bölge Rehberi sayfasındaki Mevcut bölgeler ve alt bölgeler bölümüne göz atın.
-
Gelişmiş Seçenekler > Ağ'ı tıklayın.
-
Ağ etiketleri alanına
web-server
yazın.
- Oluştur'u tıklayın.
Tamamlanan görevi test etme
Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.
Yeşil sunucuyu oluşturma
Yeşil sunucuyu bir ağ etiketi olmadan oluşturun.
-
Yine Console'a giderek Sanal makine örnekleri sayfasında Örnek Oluştur'u tıklayın.
-
Şu değerleri ayarlayın ve diğer tüm değerleri varsayılan ayarlarında bırakın:
Özellik Değer (değeri yazın veya belirtilen seçeneği kullanın) Ad yeşil Bölge Alt Bölge -
Oluştur'u tıklayın.
Tamamlanan görevi test etme
Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.
Nginx'i yükleme ve karşılama sayfasını özelleştirme
Her iki sanal makine örneğine nginx'i yükleyin ve karşılama sayfasını sunucuları birbirinden ayırt edebilecek şekilde değiştirin.
-
Sanal makine örnekleri iletişim kutusundan ayrılmadan mavi için SSH'yi tıklayarak bir terminal açıp bağlanın.
-
Mavinin SSH terminalinde nginx'i yüklemek için aşağıdaki komutu çalıştırın:
- Nano düzenleyicide karşılama sayfasını açın:
-
<h1>Welcome to nginx!</h1>
satırını<h1>Mavi sunucuya hoş geldiniz!</h1>
olarak değiştirin. - CTRL+o, ENTER, CTRL+x tuşlarına basın.
- Değişikliği doğrulayın:
Çıkış şu ifadeleri içermelidir:
- Mavinin SSH terminalini kapatın:
Aynı adımları yeşil sunucu için tekrarlayın:
- Yeşil için SSH'yi tıklayarak bir terminal açıp bağlanın.
- Nginx'i yükleyin:
- Nano düzenleyicide karşılama sayfasını açın:
-
<h1>Welcome to nginx!</h1>
satırını<h1>Yeşil sunucuya hoş geldiniz!</h1>
olarak değiştirin. - CTRL+o, ENTER, CTRL+x tuşlarına basın.
- Değişikliği doğrulayın:
Çıkış şu ifadeleri içermelidir:
- Yeşilin SSH terminalini kapatın:
Tamamlanan Görevi Test Etme
Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.
2. görev: Güvenlik duvarı kuralını oluşturma
Etiketli güvenlik duvarı kuralını oluşturun ve HTTP bağlantısını test edin.
Etiketli güvenlik duvarı kuralını oluşturma
web-server ağ etiketine sahip sanal makine örnekleri için geçerli olan bir güvenlik duvarı kuralı oluşturun.
- Console'da gezinme menüsü () > VPC ağı > Güvenlik duvarı'na gidin.
- default-allow-internal güvenlik duvarı kuralına dikkat edin.
-
Güvenlik Duvarı Kuralı Oluştur'u tıklayın.
-
Şu değerleri ayarlayın ve diğer tüm değerleri varsayılan ayarlarında bırakın.
Özellik Değer (değeri yazın veya belirtilen seçeneği kullanın) Ad allow-http-web-server Ağ varsayılan Hedefler Belirtilen hedef etiketler Hedef etiketler web-server Kaynak filtresi IPv4 aralıkları Kaynak IPv4 aralıkları 0.0.0.0/0 Protokoller ve bağlantı noktaları Protokolleri ve bağlantı noktalarını belirtin, ardından tcp'yi işaretleyip 80 yazın ve Diğer protokoller'i işaretleyip icmp yazın.
- Oluştur'u tıklayın.
Tamamlanan görevi test etme
Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.
test-vm oluşturma
Cloud Shell komut satırını kullanarak bir test-vm (test sanal makinesi) örneği oluşturun.
-
Yeni bir Cloud Shell terminali açın.
-
bölgesinde bir test-vm örneği oluşturmak için aşağıdaki komutu çalıştırın:
Çıkış şu şekilde görünmelidir:
Tamamlanan Görevi Test Etme
Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.
HTTP bağlantısını test etme
test-vm'de mavi ile yeşilin dahili ve harici IP adreslerine curl
komutunu uygulayın.
- Console'da gezinme menüsü () > Compute Engine > Sanal makine örnekleri'ne gidin.
- Mavi ile yeşilin dahili ve harici IP adreslerini not edin.
- test-vm için SSH'yi tıklayarak bir terminal açıp bağlanın.
- Mavinin dahili IP'sine HTTP bağlantısını test etmek için mavinin dahili IP'sini kullanarak aşağıdaki komutu çalıştırın:
Mavi sunucuya hoş geldiniz!
başlığını göreceksiniz.
- Yeşilin dahili IP'sine HTTP bağlantısını test etmek için yeşilin dahili IP'sini kullanarak aşağıdaki komutu çalıştırın:
Yeşil sunucuya hoş geldiniz!
başlığını göreceksiniz.
- Mavinin harici IP'sine HTTP bağlantısını test etmek için mavinin harici IP'sini kullanarak aşağıdaki komutu çalıştırın:
Mavi sunucuya hoş geldiniz!
başlığını göreceksiniz.
- Yeşilin harici IP'sine HTTP bağlantısını test etmek için yeşilin harici IP'sini kullanarak aşağıdaki komutu çalıştırın:
- HTTP isteğini durdurmak için CTRL+c tuşlarına basın.
Bu davranışı tarayıcınızda yeni bir sekme açıp http://[Sunucunun harici IP'si]
adresine giderek de doğrulayabilirsiniz.
3. görev: Ağ ve Güvenlik Yöneticisi rollerini keşfetme
Cloud IAM, belirli kaynaklar üzerinde kimlerin işlem yapabileceğini yetkilendirmenize olanak sağlar. Böylece bulut kaynaklarını merkezi olarak yönetebilmek için tam denetim ve görünürlük elde edersiniz. Aşağıdaki roller, tek projeli ağ iletişimiyle birlikte kullanılarak her VPC ağına yönetim erişiminin bağımsız şekilde kontrol edilebilmesini sağlar:
- Ağ Yöneticisi: Güvenlik duvarı kuralları ve SSL sertifikaları hariç olmak üzere ağ iletişimi kaynaklarını oluşturma, değiştirme ve silme izinleri
- Güvenlik Yöneticisi: Güvenlik duvarı kurallarını ve SSL sertifikalarını oluşturma, değiştirme ve silme izinleri
Bu rolleri keşfetmek için bir hizmet hesabına uygulayın. Hizmet hesabı, bireysel son kullanıcı yerine sanal makine örneğinize ait olan özel bir Google Hesabı'dır. Ağ Yöneticisi ve Güvenlik Yöneticisi rollerine ait izinleri göstermek için yeni bir kullanıcı oluşturmak yerine hizmet hesabının test-vm tarafından kullanılmasına yetki verin.
Mevcut izinleri doğrulama
test-vm'de şu anda Compute Engine varsayılan hizmet hesabı kullanılmaktadır. Bu hesap, Cloud Shell komut satırı veya Cloud Console tarafından oluşturulan tüm örneklerde etkinleştirilir.
test-vm'deki kullanılabilir güvenlik duvarı kurallarını listelemeyi veya silmeyi deneyin.
- test-vm örneğinin SSH terminaline geri dönün.
- Kullanılabilir güvenlik duvarı kurallarını listelemeyi deneyin:
Çıkış şu şekilde görünmelidir:
- allow-http-web-server güvenlik duvarı kuralını silmeyi deneyin:
- Devam etmek isteyip istemediğiniz sorulduğunda Y değerini girin.
Çıkış şu şekilde görünmelidir:
Hizmet hesabı oluşturma
Bir hizmet hesabı oluşturun ve Ağ Yöneticisi rolünü uygulayın.
-
Console'da gezinme menüsü () > IAM ve yönetici > Hizmet Hesapları'na gidin.
-
Compute Engine varsayılan hizmet hesabı bilgisine dikkat edin.
-
Hizmet hesabı oluştur'u tıklayın.
-
Hizmet hesabı adı'nı
Ağ yöneticisi
olarak belirleyip OLUŞTUR VE DEVAM ET'İ tıklayın. -
Rol seçin bölümünde Compute Engine > İşlem Ağ Yöneticisi'ni seçip DEVAM'ı ve sonra BİTTİ'yi tıklayın.
-
Ağ yöneticisi
hizmet hesabını oluşturduktan sonra, sağ üst köşedeki üç nokta simgesini tıklayıp açılır listeden Anahtarları Yönet'i seçin ve ardından Anahtar Ekle'yi tıklayın. Açılır listeden Yeni anahtar oluştur'u seçin. JSON çıkışınızı indirmek için Oluştur'u tıklayın. -
Kapat'ı tıklayın.
Yerel bilgisayarınıza bir JSON anahtar dosyası indirilir. Daha sonraki adımların birinde sanal makineye yüklemeniz gerekeceğinden bu anahtar dosyasını bulun.
-
Yerel makinenizdeki JSON anahtar dosyasının adını credentials.json olarak değiştirin.
Tamamlanan Görevi Test Etme
Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.
test-vm'yi yetkilendirme ve izinleri doğrulama
Ağ yöneticisi hizmet hesabını kullanması için test-vm'yi yetkilendirin.
- test-vm örneğinin SSH terminaline geri dönün.
- SSH sanal makine terminali üzerinden credentials.json dosyasını yüklemek için sağ üst köşedeki dişli simgesi menüsünde Dosya yükle'yi tıklayın.
- credentials.json dosyasını seçip yükleyin.
- Dosya Aktarımı penceresinde Kapat'ı tıklayın.
Not: Gösterilmesi halinde, Cloud Identity-Aware Proxy Üzerinden İletişim Kurulamadı iletişim kutusunda Yeniden Dene'yi tıklayıp dosyayı yeniden yükleyin. - Biraz önce yüklediğiniz kimlik bilgileriyle sanal makineyi yetkilendirin:
- Kullanılabilir güvenlik duvarı kurallarını listelemeyi deneyin:
Çıkış şu şekilde görünmelidir:
Bu komut çalışacaktır.
- allow-http-web-server güvenlik duvarı kuralını silmeyi deneyin:
- Devam etmek isteyip istemediğiniz sorulduğunda Y değerini girin.
Çıkış şu şekilde görünmelidir:
Hizmet hesabını güncelleme ve izinleri doğrulama
Ağ yöneticisi hizmet hesabına Güvenlik Yöneticisi rolünü vererek hesabı güncelleyin.
-
Console'da gezinme menüsü () > IAM ve yönetici > IAM'ye gidin.
-
Ağ yöneticisi hesabını bulun. Bu hesabı tespit etmek için Ad sütununa odaklanın.
-
Ağ yöneticisi hesabına ait kalem simgesini tıklayın.
-
Rol değerini Compute Engine > Compute Güvenlik Yöneticisi olarak değiştirin.
-
Kaydet'i tıklayın.
-
test-vm örneğinin SSH terminaline geri dönün.
-
Kullanılabilir güvenlik duvarı kurallarını listelemeyi deneyin:
Çıkış şu şekilde görünmelidir:
Bu komut çalışacaktır.
- allow-http-web-server güvenlik duvarı kuralını silmeyi deneyin:
- Devam etmek isteyip istemediğiniz sorulduğunda Y değerini girin.
Çıkış şu şekilde görünmelidir:
Bu komut çalışacaktır.
Güvenlik duvarı kuralının silindiğini doğrulama
allow-http-web-server güvenlik duvarı kuralını sildiğiniz için artık mavi sunucunun harici IP'sine HTTP üzerinden erişemediğinizi doğrulayın.
- test-vm örneğinin SSH terminaline geri dönün.
- Mavinin harici IP'sine HTTP bağlantısını test etmek için mavinin harici IP'sini kullanarak aşağıdaki komutu çalıştırın:
- HTTP isteğini durdurmak için CTRL+c tuşlarına basın.
Tebrikler!
Bu laboratuvarda, iki nginx web sunucusu oluşturdunuz ve etiketli bir güvenlik duvarı kuralı kullanarak harici HTTP erişimini kontrol ettiniz. Ardından bir hizmet hesabı oluşturup bu hesaba önce Ağ Yöneticisi rolünü, ardından Güvenlik Yöneticisi rolünü vererek bu iki rolün izinleri arasındaki farkları keşfettiniz.
Şirketinizde güvenlik duvarlarını ve SSL sertifikalarını yöneten bir güvenlik ekibi ve geri kalan ağ iletişimi kaynaklarını yöneten bir ağ iletişimi ekibi varsa güvenlik ekibine Güvenlik Yöneticisi rolünü, ağ iletişimi ekibine de Ağ Yöneticisi rolünü verin.
Sonraki adımlar / Daha fazla bilgi
Google Cloud Identity and Access Management ile ilgili temel kavramlar hakkında bilgi edinmek için Google Cloud Identity and Access Management'a Genel Bakış başlıklı makaleye göz atın.
Google Cloud eğitimi ve sertifikası
...Google Cloud teknolojilerinden en iyi şekilde yararlanmanıza yardımcı olur. Derslerimizde teknik becerilere odaklanırken en iyi uygulamalara da yer veriyoruz. Gerekli yetkinlik seviyesine hızlıca ulaşmanız ve öğrenim maceranızı sürdürebilmeniz için sizlere yardımcı olmayı amaçlıyoruz. Temel kavramlardan ileri seviyeye kadar farklı eğitim programlarımız mevcut. Ayrıca, yoğun gündeminize uyması için talep üzerine sağlanan, canlı ve sanal eğitim alternatiflerimiz de var. Sertifikasyonlar ise Google Cloud teknolojilerindeki becerilerinizi ve uzmanlığınızı doğrulamanıza ve kanıtlamanıza yardımcı oluyor.
Kılavuzun Son Güncellenme Tarihi: 19 Eylül 2023
Laboratuvarın Son Test Edilme Tarihi: 19 Eylül 2023
Telif Hakkı 2024 Google LLC Tüm hakları saklıdır. Google ve Google logosu, Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları ilişkili oldukları şirketlerin ticari markaları olabilir.