Checkpoint
Create the blue server
/ 15
Create the green server
/ 15
Install Nginx and customize the welcome page
/ 30
Create the tagged firewall rule
/ 15
Create a test-vm
/ 10
Create a Network-admin service account
/ 15
Reti VPC - Controllo dell'accesso
GSP213
Panoramica
In questo lab creerai due server web nginx e controllerai l'accesso HTTP esterno a questi server utilizzando regole firewall associate a tag. Successivamente, esplorerai i ruoli e gli account di servizio IAM.
Obiettivi
In questo lab imparerai a:
- Creare un server web nginx
- Creare regole firewall associate a tag
- Creare un account di servizio con ruoli IAM
- Esplorare le autorizzazioni per i ruoli Amministratore rete e Amministratore sicurezza
Configurazione e requisiti
Prima di fare clic sul pulsante Avvia lab
Leggi le seguenti istruzioni. I lab sono a tempo e non possono essere messi in pausa. Il timer si avvia quando fai clic su Avvia lab e ti mostra per quanto tempo avrai a disposizione le risorse Google Cloud.
Con questo lab pratico avrai la possibilità di completare le attività in prima persona, in un ambiente cloud reale e non di simulazione o demo. Riceverai delle nuove credenziali temporanee che potrai utilizzare per accedere a Google Cloud per la durata del lab.
Per completare il lab, avrai bisogno di:
- Accesso a un browser internet standard (Chrome è il browser consigliato).
- È ora di completare il lab: ricorda che, una volta iniziato, non puoi metterlo in pausa.
Come avviare il lab e accedere alla console Google Cloud
-
Fai clic sul pulsante Avvia lab. Se devi effettuare il pagamento per il lab, si apre una finestra popup per permetterti di selezionare il metodo di pagamento. A sinistra, trovi il riquadro Dettagli lab con le seguenti informazioni:
- Pulsante Apri console Google
- Tempo rimanente
- Credenziali temporanee da utilizzare per il lab
- Altre informazioni per seguire questo lab, se necessario
-
Fai clic su Apri console Google. Il lab avvia le risorse e apre un'altra scheda con la pagina di accesso.
Suggerimento: disponi le schede in finestre separate posizionate fianco a fianco.
Note: se visualizzi la finestra di dialogo Scegli un account, fai clic su Utilizza un altro account. -
Se necessario, copia il Nome utente dal riquadro Dettagli lab e incollalo nella finestra di dialogo di accesso. Fai clic su Avanti.
-
Copia la Password dal riquadro Dettagli lab e incollala nella finestra di dialogo di benvenuto. Fai clic su Avanti.
Importante: devi utilizzare le credenziali presenti nel riquadro di sinistra. Non utilizzare le tue credenziali Google Cloud Skills Boost. Nota: utilizzare il tuo account Google Cloud per questo lab potrebbe comportare addebiti aggiuntivi. -
Fai clic nelle pagine successive:
- Accetta i termini e le condizioni.
- Non inserire opzioni di recupero o l'autenticazione a due fattori, perché si tratta di un account temporaneo.
- Non registrarti per le prove gratuite.
Dopo qualche istante, la console Google Cloud si apre in questa scheda.
Attiva Cloud Shell
Cloud Shell è una macchina virtuale in cui sono caricati strumenti per sviluppatori. Offre una home directory permanente da 5 GB e viene eseguita su Google Cloud. Cloud Shell fornisce l'accesso da riga di comando alle risorse Google Cloud.
- Fai clic su Attiva Cloud Shell nella parte superiore della console Google Cloud.
Quando la connessione è attiva, l'autenticazione è già avvenuta e il progetto è impostato sul tuo PROJECT_ID. L'output contiene una riga che dichiara il PROJECT_ID per questa sessione:
gcloud
è lo strumento a riga di comando di Google Cloud. È preinstallato su Cloud Shell e supporta il completamento tramite tasto Tab.
- (Facoltativo) Puoi visualizzare il nome dell'account attivo con questo comando:
-
Fai clic su Autorizza.
-
L'output dovrebbe avere ora il seguente aspetto:
Output:
- (Facoltativo) Puoi elencare l'ID progetto con questo comando:
Output:
Output di esempio:
gcloud
, in Google Cloud, fai riferimento alla Panoramica dell'interfaccia a riga di comando gcloud.
Attività 1: crea i server web
In questa sezione, creerai due server web (blu e verde) nella rete VPC predefinita, quindi installerai nginx nei server web e modificherai la pagina di benvenuto in modo da distinguere i server.
Crea il server blu
Crea il server blu con un tag di rete.
-
Nella Console, vai a Menu di navigazione () > Compute Engine > Istanze VM.
-
Fai clic su Crea istanza.
-
Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:
Proprietà Valore (digita il valore o seleziona l'opzione come specificato) Nome blu Regione Zona Per ulteriori informazioni sulle regioni e sulle zone disponibili, consulta la sezione Regioni e zone disponibili della guida Aree geografiche e zone di Google Cloud Compute Engine.
-
Fai clic su Opzioni avanzate > Networking.
-
Per Tag di rete, digita
web-server
.
- Fai clic su Crea.
Verifica l'attività completata
Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.
Crea il server verde
Crea il server verde senza contrassegnarlo con un tag di rete.
-
Sempre nella console, nella pagina Istanze VM fai clic su Crea istanza.
-
Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori:
Proprietà Valore (digita il valore o seleziona l'opzione come specificato) Nome verde Regione Zona -
Fai clic su Crea.
Verifica l'attività completata
Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.
Installa nginx e personalizza la pagina di benvenuto
Installa nginx su entrambe le istanze di VM e modifica la pagina di benvenuto in modo da differenziare i server.
-
Sempre nella finestra di dialogo Istanze VM, per il server blu fai clic su SSH per avviare un terminale e stabilire una connessione.
-
Nel terminale SSH per blu, esegui il seguente comando per installare nginx:
- Apri la pagina di benvenuto nell'editor nano:
- Sostituisci la riga
<h1>Welcome to nginx!</h1>
con<h1>Welcome to the blue server!</h1>
. - Premi Ctrl+o, Invio, Ctrl+x.
- Verifica la modifica:
L'output dovrebbe contenere quanto segue.
- Chiudi il terminale SSH per il server blu:
Ripeti gli stessi passaggi per il server verde:
- Fai clic su SSH in corrispondenza del server verde per avviare un terminale e stabilire una connessione.
- Installa nginx:
- Apri la pagina di benvenuto nell'editor nano:
- Sostituisci la riga
<h1>Welcome to nginx!</h1>
con<h1>Welcome to the green server!</h1>
. - Premi Ctrl+o, Invio, Ctrl+x.
- Verifica la modifica:
L'output dovrebbe contenere quanto segue.
- Chiudi il terminale SSH per verde:
Verifica l'attività completata
Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.
Attività 2: crea la regola firewall
Crea una regola firewall associata a un tag e verifica la connettività HTTP.
Crea una del regola firewall associata a un tag
Crea una regola firewall che dovrà essere applicata alle istanze di VM contrassegnate con il tag di rete web-server.
- Nella console, vai a Menu di navigazione () > Rete VPC > Firewall.
- Osserva la regola default-allow-internal.
-
Fai clic su Crea regola firewall.
-
Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori.
Proprietà Valore (digita il valore o seleziona l'opzione come specificato) Nome allow-http-web-server Rete predefinita Destinazioni Tag di destinazione specificati Tag di destinazione web-server Filtro di origine Intervalli IPv4 Intervalli IPv4 di origine 0.0.0.0/0 Protocolli e porte Specifica protocolli e porte, quindi seleziona tcp e digita 80; seleziona Altri protocolli e digita icmp.
- Fai clic su Crea.
Verifica l'attività completata
Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.
Crea una macchina virtuale di test
Crea un'istanza test-vm utilizzando la riga di comando di Cloud Shell.
-
Apri un nuovo terminale Cloud Shell.
-
Esegui il comando seguente per creare un'istanza test-vm nella zona
:
L'output dovrebbe essere simile al seguente:
Verifica l'attività completata
Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.
Verifica la connettività HTTP
Da test-vm, esegui il comando curl
per gli indirizzi IP interni ed esterni dei server blu e verde.
- Nella Console, vai a Menu di navigazione () > Compute Engine > Istanze VM.
- Prendi nota degli indirizzi IP interni ed esterni di blu e verde.
- In test-vm, fai clic su SSH per avviare un terminale e stabilire una connessione.
- Per verificare la connettività HTTP all'indirizzo IP interno di blu, esegui il comando seguente, sostituendo il segnaposto con l'indirizzo IP interno di blu:
Dovresti visualizzare l'intestazione Welcome to the blue server!
- Per verificare la connettività HTTP all'indirizzo IP interno del server verde, esegui il comando seguente, sostituendo il segnaposto con l'indirizzo IP interno del server verde:
Dovresti visualizzare l'intestazione Welcome to the green server!
- Per verificare la connettività HTTP all'indirizzo IP esterno del server blu, esegui il comando seguente, sostituendo il segnaposto con l'indirizzo IP esterno del server blu:
Dovresti visualizzare l'intestazione Welcome to the blue server!
- Per verificare la connettività HTTP all'indirizzo IP esterno del server verde, esegui il comando seguente, sostituendo il segnaposto con l'indirizzo IP esterno del server verde:
- Premi Ctrl+c per arrestare la richiesta HTTP.
Puoi verificare lo stesso comportamento dal browser aprendo una nuova scheda e passando a http://[Indirizzo IP esterno del server]
.
Attività 3: esplora i ruoli Amministratore rete e Amministratore sicurezza
Cloud IAM ti consente di definire chi può intervenire su risorse specifiche, garantendo un controllo e una visibilità totali per la gestione centralizzata delle risorse cloud. I ruoli seguenti vengono utilizzati insieme alle funzionalità di networking per progetti singoli per controllare in modo indipendente l'accesso amministrativo a ciascuna rete VPC:
- Amministratore rete: dispone delle autorizzazioni per creare, modificare ed eliminare le risorse di networking, ad eccezione delle regole firewall e dei certificati SSL.
- Amministratore sicurezza: dispone delle autorizzazioni per creare, modificare ed eliminare regole firewall e certificati SSL.
Sperimenta con questi ruoli applicandoli a un account di servizio, ossia un Account Google speciale che appartiene all'istanza di una VM anziché a un singolo utente finale. Invece di creare un nuovo utente, autorizzerai test-vm a utilizzare l'account di servizio per illustrare le autorizzazioni associate ai ruoli Amministratore rete e Amministratore sicurezza.
Verifica le autorizzazioni correnti
Attualmente, test-vm utilizza l'account di servizio predefinito di Compute Engine, che viene attivato su tutte le istanze create dalla riga di comando di Cloud Shell e dalla console Cloud.
Prova a elencare o eliminare le regole firewall disponibili da test-vm.
- Torna al terminale SSH dell'istanza test-vm.
- Prova a elencare le regole firewall disponibili:
L'output dovrebbe essere simile al seguente:
- Prova a eliminare la regola firewall allow-http-web-server:
- Se ti viene richiesto, inserisci Y per continuare.
L'output dovrebbe essere simile al seguente:
Crea un account di servizio
Crea un account di servizio e applica il ruolo Amministratore rete.
-
Nella Console, vai al Menu di navigazione () > IAM e amministratore > Account di servizio.
-
Osserva l'Account di servizio predefinito di Compute Engine.
-
Fai clic su Crea account di servizio.
-
Imposta Nome account di servizio su
Network-admin
, quindi fai clic su CREA E CONTINUA. -
Per Seleziona un ruolo, seleziona Compute Engine > Amministratore rete Compute e fai clic su CONTINUA, quindi su FINE.
-
Dopo aver creato l'account di servizio
Network-admin
, fai clic sui tre puntini nell'angolo superiore destro e seleziona Gestisci chiavi dal menu a discesa, quindi fai clic su Aggiungi chiave e seleziona Crea nuova chiave dal menu a discesa. Fai clic su Crea per scaricare il file JSON di output. -
Fai clic su Chiudi.
Un file di chiave JSON viene scaricato sul computer locale. Individua questo file: lo caricherai nella VM in un passaggio successivo.
-
Rinomina il file di chiave JSON sul tuo computer in credentials.json.
Verifica l'attività completata
Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.
Autorizza test-vm e verifica le autorizzazioni
Autorizza test-vm a utilizzare l'account di servizio Network-admin.
- Torna al terminale SSH dell'istanza test-vm.
- Per caricare credentials.json tramite il terminale SSH per VM, fai clic sull'icona Carica file nell'angolo in alto a destra.
- Seleziona credentials.json e caricalo.
- Fai clic su Chiudi nella finestra Trasferimento file.
Nota: se richiesto, fai clic su Riprova nella finestra di dialogo Connessione tramite Cloud Identity-Aware Proxy non riuscita e ricarica il file. - Autorizza la VM con le credenziali che hai appena caricato:
- Prova a elencare le regole firewall disponibili:
L'output dovrebbe essere simile al seguente:
Questa operazione dovrebbe andare a buon fine.
- Prova a eliminare la regola firewall allow-http-web-server:
- Se ti viene richiesto, inserisci Y per continuare.
L'output dovrebbe essere simile al seguente:
Aggiorna l'account di servizio e verifica le autorizzazioni
Aggiorna l'account di servizio Network-admin applicando il ruolo Amministratore sicurezza.
-
Nella console, vai al Menu di navigazione () > IAM e amministratore > IAM.
-
Individua l'account Network-admin controllando la colonna Nome.
-
Fai clic sull'icona a forma di matita in corrispondenza dell'account Network-admin.
-
Modifica il Ruolo in Compute Engine > Amministratore sicurezza Compute.
-
Fai clic su Salva.
-
Torna al terminale SSH dell'istanza test-vm.
-
Prova a elencare le regole firewall disponibili:
L'output dovrebbe essere simile al seguente:
Questa operazione dovrebbe andare a buon fine.
- Prova a eliminare la regola firewall allow-http-web-server:
- Se ti viene richiesto, inserisci Y per continuare.
L'output dovrebbe essere simile al seguente:
Questa operazione dovrebbe andare a buon fine.
Verifica l'eliminazione della regola firewall
Verifica di non poter più accedere tramite HTTP all'indirizzo IP esterno del server blu, in quanto hai eliminato la regola firewall allow-http-web-server.
- Torna al terminale SSH dell'istanza test-vm.
- Per verificare la connettività HTTP all'indirizzo IP esterno del server blu, esegui il comando seguente, sostituendo il segnaposto con l'indirizzo IP esterno del server blu:
- Premi Ctrl+c per arrestare la richiesta HTTP.
Complimenti!
In questo lab hai creato due server web nginx e hai stabilito dei controlli sull'accesso esterno via HTTP utilizzando una regola firewall associata a un tag. Successivamente hai creato un account di servizio, prima con il ruolo Amministratore rete, poi con il ruolo Amministratore sicurezza per sperimentare le diverse autorizzazioni di questi ruoli.
Se la tua azienda ha un team per la sicurezza che gestisce i firewall e i certificati SSL e un team per il networking che gestisce le altre risorse di rete, assegna il ruolo Amministratore sicurezza al team che si occupa della sicurezza e il ruolo Amministratore rete al team che si occupa del networking.
Prossimi passi/Scopri di più
Per informazioni sui concetti fondamentali di Google Cloud Identity and Access Management, consulta la panoramica di Google Cloud Identity and Access Management
Formazione e certificazione Google Cloud
… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.
Ultimo aggiornamento del manuale: 19 settembre 2023
Ultimo test del lab: 19 settembre 2023
Copyright 2024 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.