Points de contrôle
Create the blue server
/ 15
Create the green server
/ 15
Install Nginx and customize the welcome page
/ 30
Create the tagged firewall rule
/ 15
Create a test-vm
/ 10
Create a Network-admin service account
/ 15
Réseaux VPC – Contrôler les accès
GSP213
Présentation
Dans cet atelier, vous allez créer deux serveurs Web nginx et contrôler l'accès HTTP externe à ces serveurs à l'aide de règles de pare-feu dotées d'un tag. Ensuite, vous découvrirez les rôles et comptes de service IAM (gestion de l'authentification et des accès).
Objectifs
Dans cet atelier, vous allez apprendre à effectuer les tâches suivantes :
- Créer un serveur Web nginx
- Créer des règles de pare-feu dotées de tags
- Créer un compte de service avec des rôles IAM
- Découvrir les autorisations disponibles pour les rôles "Network Admin" (Administrateur réseau) et "Security Admin" (Administrateur de sécurité)
Préparation
Avant de cliquer sur le bouton "Démarrer l'atelier"
Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.
Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.
Pour réaliser cet atelier :
- vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome) ;
- vous disposez d'un temps limité ; une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.
Démarrer l'atelier et se connecter à la console Google Cloud
-
Cliquez sur le bouton Démarrer l'atelier. Si l'atelier est payant, un pop-up s'affiche pour vous permettre de sélectionner un mode de paiement. Sur la gauche, vous trouverez le panneau Détails concernant l'atelier, qui contient les éléments suivants :
- Le bouton Ouvrir la console Google
- Le temps restant
- Les identifiants temporaires que vous devez utiliser pour cet atelier
- Des informations complémentaires vous permettant d'effectuer l'atelier
-
Cliquez sur Ouvrir la console Google. L'atelier lance les ressources, puis ouvre la page Se connecter dans un nouvel onglet.
Conseil : Réorganisez les onglets dans des fenêtres distinctes, placées côte à côte.
Remarque : Si la boîte de dialogue Sélectionner un compte s'affiche, cliquez sur Utiliser un autre compte. -
Si nécessaire, copiez le nom d'utilisateur inclus dans le panneau Détails concernant l'atelier et collez-le dans la boîte de dialogue Se connecter. Cliquez sur Suivant.
-
Copiez le mot de passe inclus dans le panneau Détails concernant l'atelier et collez-le dans la boîte de dialogue de bienvenue. Cliquez sur Suivant.
Important : Vous devez utiliser les identifiants fournis dans le panneau de gauche. Ne saisissez pas vos identifiants Google Cloud Skills Boost. Remarque : Si vous utilisez votre propre compte Google Cloud pour cet atelier, des frais supplémentaires peuvent vous être facturés. -
Accédez aux pages suivantes :
- Acceptez les conditions d'utilisation.
- N'ajoutez pas d'options de récupération ni d'authentification à deux facteurs (ce compte est temporaire).
- Ne vous inscrivez pas aux essais offerts.
Après quelques instants, la console Cloud s'ouvre dans cet onglet.
Activer Cloud Shell
Cloud Shell est une machine virtuelle qui contient de nombreux outils pour les développeurs. Elle comprend un répertoire d'accueil persistant de 5 Go et s'exécute sur Google Cloud. Cloud Shell vous permet d'accéder via une ligne de commande à vos ressources Google Cloud.
- Cliquez sur Activer Cloud Shell en haut de la console Google Cloud.
Une fois connecté, vous êtes en principe authentifié et le projet est défini sur votre ID_PROJET. Le résultat contient une ligne qui déclare YOUR_PROJECT_ID (VOTRE_ID_PROJET) pour cette session :
gcloud
est l'outil de ligne de commande pour Google Cloud. Il est préinstallé sur Cloud Shell et permet la complétion par tabulation.
- (Facultatif) Vous pouvez lister les noms des comptes actifs à l'aide de cette commande :
-
Cliquez sur Autoriser.
-
Vous devez à présent obtenir le résultat suivant :
Résultat :
- (Facultatif) Vous pouvez lister les ID de projet à l'aide de cette commande :
Résultat :
Exemple de résultat :
gcloud
, dans Google Cloud, accédez au guide de présentation de la gcloud CLI.
Tâche 1 : Créer les serveurs Web
Dans cette section, vous allez créer deux serveurs Web (blue et green) dans le réseau VPC default. Vous installerez ensuite nginx sur ces serveurs Web et modifierez la page d'accueil pour différencier les serveurs.
Créer le serveur blue
Créez le serveur blue avec un tag réseau.
-
Dans la console, accédez au Menu de navigation () > Compute Engine > Instances de VM.
-
Cliquez sur Créer une instance.
-
Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :
Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée) Name (Nom) blue Région Zone Pour plus d'informations, consultez la section Régions et zones disponibles de la documentation Régions et zones de Google Cloud Compute Engine.
-
Cliquez sur Options avancées > Mise en réseau.
-
Dans le champ Tags réseau, saisissez
web-server
.
- Cliquez sur Créer.
Tester la tâche terminée
Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.
Créer le serveur green
Créez le serveur green sans tag réseau.
-
Toujours dans la console, sur la page Instances de VM, cliquez sur Créer une instance.
-
Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :
Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée) Name (Nom) green Région Zone -
Cliquez sur Créer.
Tester la tâche terminée
Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.
Installer nginx et personnaliser la page d'accueil
Installez nginx sur les deux instances de VM et modifiez la page d'accueil pour différencier les serveurs.
-
Toujours dans la boîte de dialogue Instances de VM, pour le serveur blue, cliquez sur SSH pour lancer un terminal et vous y connecter.
-
Dans le terminal SSH associé à blue, installez nginx en exécutant la commande suivante :
- Ouvrez la page d'accueil dans l'éditeur nano :
- Remplacez la ligne
<h1>Welcome to nginx!</h1>
par<h1>Welcome to the blue server!</h1>
. - Appuyez sur les touches CTRL+o, ENTRÉE, CTRL+x.
- Vérifiez que la modification a bien été prise en compte avec la commande suivante :
Le résultat doit contenir les éléments suivants :
- Fermez le terminal SSH associé à blue :
Effectuez la même procédure pour le serveur green :
- Pour l'instance green, cliquez sur SSH pour ouvrir un terminal et vous y connecter.
- Installez nginx :
- Ouvrez la page d'accueil dans l'éditeur nano :
- Remplacez la ligne
<h1>Welcome to nginx!</h1>
par la ligne<h1>Welcome to the green server!</h1>
. - Appuyez sur les touches CTRL+o, ENTRÉE, CTRL+x.
- Vérifiez que la modification a bien été prise en compte avec la commande suivante :
Le résultat doit contenir les éléments suivants :
- Fermez le terminal SSH associé à green :
Tester la tâche terminée
Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.
Tâche 2 : Créer la règle de pare-feu
Créez la règle de pare-feu dotée d'un tag et testez la connectivité HTTP.
Créer la règle de pare-feu dotée d'un tag
Créez une règle de pare-feu qui s'applique aux instances de VM marquées du tag réseau web-server.
- Dans la console, accédez au menu de navigation () > Réseau VPC > Pare-feu.
- Vous pouvez voir la règle de pare-feu default-allow-internal.
-
Cliquez sur Créer une règle de pare-feu.
-
Indiquez les valeurs suivantes et conservez les valeurs par défaut des autres paramètres :
Propriété Valeur (saisissez la valeur ou sélectionnez l'option spécifiée) Name (Nom) allow-http-web-server Network (Réseau) Par défaut Cibles Tags cibles spécifiés Target tags (Tags cibles) web-server Filtre source Plages IPv4 Plages IPv4 sources 0.0.0.0/0 Protocols and ports (Protocoles et ports) Sélectionnez Protocoles et ports spécifiés, puis cochez tcp et saisissez 80, puis cochez Autres protocoles et saisissez icmp.
- Cliquez sur Créer.
Tester la tâche terminée
Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.
Créer une instance test-vm
Créez une instance test-vm à l'aide de la ligne de commande Cloud Shell.
-
Ouvrez un autre terminal Cloud Shell.
-
Exécutez la commande suivante pour créer une instance test-vm dans la zone
:
Le résultat doit se présenter comme suit :
Tester la tâche terminée
Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.
Tester la connectivité HTTP
Depuis l'instance test-vm, utilisez la commande curl
sur les adresses IP internes et externes des serveurs blue et green.
- Dans la console, accédez au Menu de navigation () > Compute Engine > Instances de VM.
- Notez les adresses IP internes et externes des serveurs blue et green.
- Pour l'instance test-vm, cliquez sur SSH pour lancer un terminal et vous y connecter.
- Pour tester la connectivité HTTP à l'adresse IP interne du serveur blue, exécutez la commande suivante en indiquant l'adresse IP interne de blue :
Vous devriez voir l'en-tête Welcome to the blue server!
- Pour tester la connectivité HTTP à l'adresse IP interne du serveur green, exécutez la commande suivante en indiquant l'adresse IP interne du serveur green :
Vous devriez voir l'en-tête Welcome to the green server!
- Pour tester la connectivité HTTP à l'adresse IP externe du serveur blue, exécutez la commande suivante en indiquant l'adresse IP externe du serveur blue :
Vous devriez voir l'en-tête Welcome to the blue server!
- Pour tester la connectivité HTTP à l'adresse IP externe du serveur green, exécutez la commande suivante en indiquant l'adresse IP externe du serveur green :
- Appuyez sur les touches CTRL+c pour arrêter la requête HTTP.
Vous pouvez observer le même comportement depuis votre navigateur en ouvrant un nouvel onglet et en accédant à http://[adresse IP externe du serveur]
.
Tâche 3 : Découvrir les rôles d'administrateur réseau et d'administrateur de sécurité
Cloud IAM vous permet d'accorder les autorisations nécessaires aux utilisateurs intervenant sur des ressources spécifiques. Grâce à cette solution, vous contrôlez l'accès à vos ressources cloud et leur visibilité afin de centraliser leur gestion. Lors de la mise en réseau d'un projet unique, les rôles suivants vous permettent de contrôler individuellement l'accès Administrateur à chaque réseau VPC :
- Network Admin (Administrateur réseau) : ce rôle permet de créer, modifier et supprimer des ressources réseau, à l'exception des règles de pare-feu et des certificats SSL.
- Security Admin (Administrateur de sécurité) : ce rôle permet de créer, modifier et supprimer des règles de pare-feu et des certificats SSL.
Examinez le fonctionnement de ces rôles en les appliquant à un compte de service (compte Google spécial qui appartient à votre instance de VM) plutôt qu'à un utilisateur final individuel. Au lieu de créer un compte utilisateur, vous allez autoriser l'instance test-vm à utiliser le compte de service pour illustrer les autorisations des rôles Administrateur réseau et Administrateur de sécurité.
Vérifier les autorisations actuelles
Actuellement, l'instance test-vm utilise le compte de service Compute Engine par défaut, qui est activé sur toutes les instances créées par la ligne de commande Cloud Shell et la console Cloud.
Essayez de lister ou de supprimer les règles de pare-feu disponibles à partir de test-vm.
- Revenez au terminal SSH de l'instance test-vm.
- Essayez d'obtenir la liste des règles de pare-feu disponibles :
Le résultat doit se présenter comme suit :
- Essayez de supprimer la règle de pare-feu allow-http-web-server :
- Si vous êtes invité à poursuivre l'opération, saisissez Y.
Le résultat doit se présenter comme suit :
Créer un compte de service
Créez un compte de service et appliquez-lui le rôle Network Admin (Administrateur réseau).
-
Dans la console, accédez au menu de navigation () > IAM et administration > Comptes de service.
-
Vous pouvez voir le compte de service Compute Engine par défaut.
-
Cliquez sur Créer un compte de service.
-
Définissez Nom du compte de service sur
Network-admin
, puis cliquez sur CRÉER ET CONTINUER. -
Dans le champ Sélectionnez un rôle, choisissez Compute Engine > Administrateur de réseaux Compute. Cliquez ensuite sur CONTINUER, puis sur OK.
-
Après avoir créé le compte de service
Network-admin
, cliquez sur les trois points situés en haut à droite, puis cliquez sur Gérer les clés dans le menu déroulant. Sélectionnez ensuite Ajouter une clé, puis Créer une clé dans le menu déroulant. Cliquez sur Créer pour télécharger la sortie JSON. -
Cliquez sur Fermer.
Un fichier de clé JSON est téléchargé sur votre ordinateur local. Recherchez ce fichier de clé. Vous devrez l'importer dans la VM par la suite.
-
Remplacez le nom du fichier de clé JSON sur votre ordinateur local par credentials.json.
Tester la tâche terminée
Cliquez sur Vérifier ma progression pour valider la tâche exécutée. Si la tâche a bien été exécutée, vous recevez une note d'évaluation.
Autoriser l'instance test-vm et vérifier les autorisations
Autorisez test-vm à utiliser le compte de service Network-admin.
- Revenez au terminal SSH de l'instance test-vm.
- Pour importer le fichier credentials.json via le terminal SSH de la VM, cliquez sur l'icône Importer un fichier dans l'angle supérieur droit.
- Sélectionnez le fichier credentials.json, puis importez-le.
- Dans la fenêtre Transfert de fichiers, cliquez sur Fermer.
Remarque : Si vous y êtes invité, cliquez sur Réessayer dans la boîte de dialogue Échec de la connexion via Cloud Identity-Aware Proxy et importez de nouveau le fichier. - Autorisez la VM avec les identifiants que vous venez d'importer :
- Essayez d'obtenir la liste des règles de pare-feu disponibles :
Le résultat doit se présenter comme suit :
Cela devrait fonctionner.
- Essayez de supprimer la règle de pare-feu allow-http-web-server :
- Si vous êtes invité à poursuivre l'opération, saisissez Y.
Le résultat doit se présenter comme suit :
Mettre à jour le compte de service et vérifier les autorisations
Mettez à jour le compte de service Network-admin en lui appliquant le rôle Security Admin (Administrateur de sécurité).
-
Dans la console, accédez au menu de navigation () > IAM et administration > IAM.
-
Recherchez le compte Network-admin. Pour identifier facilement ce compte, examinez la colonne Name (Nom).
-
Cliquez sur l'icône en forme de crayon associée au compte Network-admin.
-
Définissez Role (Rôle) sur Compute Engine > Compute Security Admin (Administrateur de sécurité de Compute).
-
Cliquez sur Save (Enregistrer).
-
Revenez au terminal SSH de l'instance test-vm.
-
Essayez d'obtenir la liste des règles de pare-feu disponibles :
Le résultat doit se présenter comme suit :
Cela devrait fonctionner.
- Essayez de supprimer la règle de pare-feu allow-http-web-server :
- Si vous êtes invité à poursuivre l'opération, saisissez Y.
Le résultat doit se présenter comme suit :
Cela devrait fonctionner.
Vérifier la suppression de la règle de pare-feu
Vérifiez que vous ne disposez plus d'aucun accès HTTP à l'adresse IP externe du serveur blue, puisque vous avez supprimé la règle de pare-feu allow-http-web-server.
- Revenez au terminal SSH de l'instance test-vm.
- Pour tester la connectivité HTTP à l'adresse IP externe du serveur blue, exécutez la commande suivante en indiquant l'adresse IP externe du serveur blue :
- Appuyez sur les touches CTRL+c pour arrêter la requête HTTP.
Félicitations !
Au cours de cet atelier, vous avez créé deux serveurs Web nginx et contrôlé l'accès HTTP externe à l'aide d'une règle de pare-feu dotée d'un tag. Ensuite, vous avez créé un compte de service, auquel vous avez d'abord appliqué le rôle Network Admin (Administrateur réseau), puis le rôle Security Admin (Administrateur de sécurité), afin de découvrir les différentes autorisations de ces deux rôles.
Si votre entreprise dispose à la fois d'une équipe de sécurité qui gère les pare-feu et les certificats SSL et d'une équipe de mise en réseau qui gère le reste des ressources réseau, attribuez à l'équipe de sécurité le rôle Security Admin (Administrateur de sécurité), et à l'équipe de mise en réseau le rôle Network Admin (Administrateur réseau).
Étapes suivantes et informations supplémentaires
Pour en savoir plus sur les concepts de base de la gestion de l'authentification et des accès dans Google Cloud, consultez la présentation de Google Cloud Identity and Access Management.
Formations et certifications Google Cloud
Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.
Dernière mise à jour du manuel : 19 septembre 2023
Dernier test de l'atelier : 19 septembre 2023
Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.