Punkty kontrolne
Create the blue server
/ 15
Create the green server
/ 15
Install Nginx and customize the welcome page
/ 30
Create the tagged firewall rule
/ 15
Create a test-vm
/ 10
Create a Network-admin service account
/ 15
Sieci VPC – kontrola dostępu
GSP213
Opis
W tym module utworzysz 2 serwery WWW nginx, a także nauczysz się, jak kontrolować zewnętrzny dostęp HTTP do tych serwerów, używając oznaczonych tagami reguł zapory sieciowej. Dowiesz się również, czym są zasady uprawnień i konta usługi.
Cele
W tym module:
- utworzysz serwer WWW nginx,
- utworzysz oznaczone tagami reguły zapory sieciowej,
- utworzysz konto usługi z rolami uprawnień,
- poznasz uprawnienia związane z rolami administratora sieci i administratora zabezpieczeń.
Konfiguracja i wymagania
Zanim klikniesz przycisk Rozpocznij moduł
Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Gdy klikniesz Rozpocznij moduł, na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.
W tym praktycznym module możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.
Do ukończenia modułu potrzebne będą:
- dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome).
- Odpowiednia ilość czasu na ukończenie modułu – pamiętaj, że gdy rozpoczniesz, nie możesz go wstrzymać.
Rozpoczynanie modułu i logowanie się w konsoli Google Cloud
-
Kliknij przycisk Rozpocznij moduł. Jeśli moduł jest odpłatny, otworzy się wyskakujące okienko, w którym możesz wybrać formę płatności. Po lewej stronie znajduje się panel Szczegóły modułu z następującymi elementami:
- przyciskiem Otwórz konsolę Google;
- czasem, który Ci pozostał;
- tymczasowymi danymi logowania, których musisz użyć w tym module;
- innymi informacjami potrzebnymi do ukończenia modułu.
-
Kliknij Otwórz konsolę Google. Moduł uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.
Wskazówka: otwórz karty obok siebie w osobnych oknach.
Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta. -
W razie potrzeby skopiuj nazwę użytkownika z panelu Szczegóły modułu i wklej ją w oknie logowania. Kliknij Dalej.
-
Skopiuj hasło z panelu Szczegóły modułu i wklej je w oknie powitania. Kliknij Dalej.
Ważne: musisz użyć danych logowania z panelu po lewej stronie, a nie danych logowania Google Cloud Skills Boost. Uwaga: korzystanie z własnego konta Google Cloud w tym module może wiązać się z dodatkowymi opłatami. -
Na kolejnych stronach wykonaj następujące czynności:
- Zaakceptuj Warunki korzystania z usługi.
- Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
- Nie rejestruj się w bezpłatnych wersjach próbnych.
Poczekaj, aż na karcie otworzy się konsola Google Cloud.
Aktywowanie Cloud Shell
Cloud Shell to maszyna wirtualna oferująca wiele narzędzi dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud. Dzięki wierszowi poleceń Cloud Shell zyskujesz dostęp do swoich zasobów Google Cloud.
- Kliknij Aktywuj Cloud Shell na górze konsoli Google Cloud.
Po połączeniu użytkownik od razu jest uwierzytelniony. Uruchomi się Twój projekt o identyfikatorze PROJECT_ID. Dane wyjściowe zawierają wiersz z zadeklarowanym identyfikatorem PROJECT_ID dla tej sesji:
gcloud
to narzędzie wiersza poleceń Google Cloud. Jest ono już zainstalowane w Cloud Shell i obsługuje funkcję autouzupełniania po naciśnięciu tabulatora.
- (Opcjonalnie) Aby wyświetlić listę aktywnych kont, użyj tego polecenia:
-
Kliknij Autoryzuj.
-
Dane wyjściowe powinny wyglądać tak:
Dane wyjściowe:
- (Opcjonalnie) Aby wyświetlić identyfikator projektu, użyj tego polecenia:
Dane wyjściowe:
Przykładowe dane wyjściowe:
gcloud
w Google Cloud znajdziesz w opisie narzędzia wiersza poleceń gcloud.
Zadanie 1. Tworzenie serwerów WWW
W tej sekcji utworzysz 2 serwery WWW (niebieski i zielony) w domyślnej sieci VPC. Następnie zainstalujesz na nich nginx i zmodyfikujesz stronę powitalną tak, żeby je odróżniała.
Tworzenie serwera niebieskiego
Utwórz serwer niebieski z tagiem sieci.
-
W konsoli wybierz Menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.
-
Kliknij Utwórz instancję.
-
Ustaw te wartości, a wszystkie inne pozostaw domyślne:
Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję) Nazwa niebieski Region Strefa Więcej informacji o dostępnych regionach i strefach znajdziesz w odpowiednim poradniku dotyczącym Cloud Compute Engine, w sekcji Dostępne regiony i strefy (w języku angielskim).
-
Kliknij Opcje zaawansowane > Sieć.
-
Aby uzyskać informacje na temat tagów sieci, wpisz
web-server
.
- Kliknij Utwórz.
Testowanie ukończonego zadania
Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.
Tworzenie serwera zielonego
Utwórz serwer zielony bez tagu sieci.
-
Nie wychodząc z konsoli, na stronieInstancje maszyn wirtualnych kliknij Utwórz instancję.
-
Ustaw te wartości, a wszystkie inne pozostaw domyślne:
Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję) Nazwa zielony Region Strefa -
Kliknij Utwórz.
Testowanie ukończonego zadania
Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.
Instalowanie nginx i dostosowywanie strony powitalnej
Zainstaluj nginx w obu instancjach maszyny wirtualnej i zmodyfikuj stronę powitalną, aby rozróżnić serwery.
-
Nie wychodząc z okna Instancje maszyn wirtualnych, kliknij przy serwerze niebieskim SSH, aby uruchomić terminal i nawiązać połączenie.
-
W terminalu SSH dla serwera niebieskiego uruchom następujące polecenie, aby zainstalować nginx:
- W edytorze nano otwórz stronę powitalną:
- Zastąp wiersz
<h1>Welcome to nginx!</h1>
wierszem<h1>Welcome to the blue server!</h1>
. - Naciśnij CTRL+O, ENTER, CTRL+X.
- Potwierdź zmianę:
Dane wyjściowe powinny zawierać ten kod:
- Zamknij terminal SSH dla serwera niebieskiego:
Powtórz te same czynności dla serwera zielonego:
- Dla serwera zielonego: kliknij SSH, aby uruchomić terminal i nawiązać połączenie.
- Zainstaluj nginx:
- W edytorze nano otwórz stronę powitalną:
- Zastąp wiersz
<h1>Welcome to nginx!</h1>
wierszem<h1>Welcome to the green server!</h1>
. - Naciśnij CTRL+O, ENTER, CTRL+X.
- Potwierdź zmianę:
Dane wyjściowe powinny zawierać ten kod:
- Zamknij terminal SSH dla serwera zielonego:
Testowanie ukończonego zadania
Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.
Zadanie 2. Tworzenie reguły zapory sieciowej
Utwórz oznaczoną tagiem regułę zapory sieciowej i przetestuj połączenia HTTP.
Tworzenie oznaczonej tagiem reguły zapory sieciowej
Utwórz regułę zapory sieciowej dotyczącą instancji maszyn wirtualnych z tagiem sieci web-server.
- W konsoli otwórz Menu nawigacyjne () i kliknij Sieć VPC > Zapora sieciowa.
- Zwróć uwagę na regułę zapory sieciowej default-allow-internal.
-
Kliknij Utwórz regułę zapory sieciowej.
-
Ustaw te wartości, a wszystkie inne pozostaw domyślne:
Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję) Nazwa allow-http-web-server Sieć default Cele Określone tagi docelowe Tagi docelowe web-server Filtr źródeł Zakresy adresów IPv4 Zakresy źródłowych adresów IPv4 0.0.0.0/0 Protokoły i porty Określone protokoły i porty, a następnie zaznacz tcp, wpisz: 80 oraz zaznacz Inne protokoły i wpisz: icmp.
- Kliknij Utwórz.
Testowanie ukończonego zadania
Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.
Tworzenie testowej maszyny wirtualnej
Utwórz instancję testowej maszyny wirtualnej za pomocą wiersza poleceń Cloud Shell.
-
Otwórz nowy terminal Cloud Shell.
-
Uruchom następujące polecenie, aby utworzyć instancję test-vm w strefie
:
Dane wyjściowe powinny wyglądać tak:
Testowanie ukończonego zadania
Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.
Testowanie połączeń HTTP
Z instancji test-vm połącz się za pomocą polecenia curl
z wewnętrznymi i zewnętrznymi adresami IP serwera niebieskiego i zielonego.
- W konsoli wybierz Menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.
- Zapisz wewnętrzne i zewnętrzne adresy IP serwerów niebieskiego i zielonego.
- Przy testowej maszynie wirtualnej test-vm kliknij SSH, aby uruchomić terminal i nawiązać połączenie.
- Aby przetestować połączenie HTTP z wewnętrznym adresem IP serwera niebieskiego, uruchom następujące polecenie, podając wewnętrzny adres IP serwera niebieskiego:
Powinien pojawić się nagłówek Welcome to the blue server!
.
- Aby przetestować połączenie HTTP z wewnętrznym adresem IP serwera zielonego, uruchom następujące polecenie, podając wewnętrzny adres IP serwera zielonego:
Powinien pojawić się nagłówek Welcome to the green server!
.
- Aby przetestować połączenie HTTP z zewnętrznym adresem IP serwera niebieskiego, uruchom następujące polecenie, podając zewnętrzny adres IP serwera niebieskiego:
Powinien pojawić się nagłówek Welcome to the blue server!
.
- Aby przetestować połączenie HTTP z zewnętrznym adresem IP serwera zielonego, uruchom następujące polecenie, podając zewnętrzny adres IP serwera zielonego:
- Naciśnij CTRL+C, aby zatrzymać żądanie HTTP.
Możesz sprawdzić to samo zachowanie z poziomu przeglądarki, otwierając nową kartę i przechodząc do adresu http://[zewnętrzny adres IP serwera]
.
Zadanie 3. Poznawanie ról administratora sieci i administratora zabezpieczeń
Cloud IAM umożliwia autoryzację osób do podejmowania działań dotyczących określonych zasobów. Zapewnia to pełną kontrolę i widoczność pozwalającą na centralne zarządzanie zasobami w chmurze. Wymienione niżej role używane są w połączeniu z sieciami pojedynczego projektu w celu niezależnej kontroli dostępu administracyjnego do poszczególnych sieci VPC:
- Administrator sieci ma uprawnienia do tworzenia, modyfikowania i usuwania zasobów sieciowych oprócz reguł zapory sieciowej i certyfikatów SSL.
- Administrator zabezpieczeń ma uprawnienia do tworzenia, modyfikowania i usuwania reguł zapory sieciowej oraz certyfikatów SSL.
Poznaj te role, stosując je do konta usługi będącego specjalnym kontem Google i należącym do Twojej instancji maszyny wirtualnej (a nie do indywidualnego użytkownika końcowego). Zamiast utworzyć nowe konto użytkownika, pozwolisz instancji test-vm na używanie konta usługi, aby zademonstrować uprawnienia ról administratora sieci i administratora zabezpieczeń.
Sprawdzanie bieżących uprawnień
Obecnie instancja test-vm używa domyślnego konta usługi Compute Engine, które jest włączone dla wszystkich instancji utworzonych z wiersza poleceń Cloud Shell i z konsoli Cloud.
Spróbuj wyświetlić lub usunąć dostępne reguły zapory sieciowej z testowej maszyny test-vm.
- Wróć do terminala SSH instancji test-vm.
- Spróbuj wyświetlić dostępne reguły zapory sieciowej:
Dane wyjściowe powinny wyglądać tak:
- Spróbuj usunąć regułę zapory sieciowej allow-http-web-server (która zezwala na ruch HTTP do serwera WWW):
- Jeśli pojawi się pytanie o to, czy chcesz kontynuować, wpisz Y (Tak).
Dane wyjściowe powinny wyglądać tak:
Tworzenie konta usługi
Utwórz konto usługi i zastosuj rolę administratora sieci.
-
W konsoli otwórz Menu nawigacyjne () > Administracja > Konta usługi.
-
Zwróć uwagę na domyślne konto usługi Compute Engine.
-
Kliknij Utwórz konto usługi.
-
W polu Nazwa konta usługi wpisz
Network-admin
i kliknij UTWÓRZ I KONTYNUUJ. -
W menu Wybierz rolę wybierz Compute Engine > Administrator sieci Compute i kliknij DALEJ, a następnie GOTOWE.
-
Po utworzeniu konta usługi
Network-admin
kliknij 3 kropki w prawym rogu i z menu wybierz Zarządzaj kluczami, a następnie kliknijDodaj klucz i z menu wybierz Utwórz nowy klucz. Kliknij Utwórz, aby pobrać dane wyjściowe JSON. -
Kliknij Zamknij.
Plik klucza JSON zostanie pobrany na komputer lokalny. Znajdź ten plik. W następnym kroku prześlesz go do maszyny wirtualnej.
-
Zmień nazwę pliku klucza JSON na komputerze lokalnym na credentials.json.
Testowanie ukończonego zadania
Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.
Autoryzowanie maszyny wirtualnej i sprawdzanie uprawnień
Nadaj testowej maszynie wirtualnej test-vm uprawnienia do używania konta usługi Network-admin.
- Wróć do terminala SSH instancji test-vm.
- Aby przesłać plik credentials.json przez terminal SSH maszyny wirtualnej, w prawym górnym rogu kliknij ikonę Prześlij plik.
- Wybierz plik credentials.json i prześlij go.
- W oknie Przesłanie pliku kliknij Zamknij.
Uwaga: jeśli pojawi się okno Nie udało się nawiązać połączenia przez serwer Cloud Identity-Aware Proxy, kliknij Ponów i prześlij plik jeszcze raz. - Autoryzuj maszynę wirtualną, używając przesłanych właśnie danych uwierzytelniających:
- Spróbuj wyświetlić dostępne reguły zapory sieciowej:
Dane wyjściowe powinny wyglądać tak:
To powinno zadziałać.
- Spróbuj usunąć regułę zapory sieciowej allow-http-web-server (która zezwala na ruch HTTP do serwera WWW):
- Jeśli pojawi się pytanie o to, czy chcesz kontynuować, wpisz Y (Tak).
Dane wyjściowe powinny wyglądać tak:
Aktualizowanie konta usługi i sprawdzanie uprawnień
Zaktualizuj konto usługi Network-admin, nadając mu rolę administratora zabezpieczeń.
-
W konsoli wybierz Menu nawigacyjne () > Administracja > Uprawnienia.
-
Znajdź konto Network-admin. Aby ułatwić sobie to zadanie, zwróć uwagę na kolumnę Nazwa.
-
Kliknij ikonę ołówka dla konta Network-admin.
-
Zmień ustawienie Rola na Compute Engine > Administrator zabezpieczeń Compute.
-
Kliknij Zapisz.
-
Wróć do terminala SSH instancji test-vm.
-
Spróbuj wyświetlić dostępne reguły zapory sieciowej:
Dane wyjściowe powinny wyglądać tak:
To powinno zadziałać.
- Spróbuj usunąć regułę zapory sieciowej allow-http-web-server (która zezwala na ruch HTTP do serwera WWW):
- Jeśli pojawi się pytanie o to, czy chcesz kontynuować, wpisz Y (Tak).
Dane wyjściowe powinny wyglądać tak:
To powinno zadziałać.
Sprawdzanie, czy reguła zapory sieciowej została usunięta
Sprawdź, czy na pewno doszło do utraty dostępu HTTP do zewnętrznego adresu IP serwera niebieskiego spowodowanej usunięciem reguły zapory sieciowej allow-http-web-server (która zezwalała na ruch HTTP do serwera WWW).
- Wróć do terminala SSH instancji test-vm.
- Aby przetestować połączenie HTTP z zewnętrznym adresem IP serwera niebieskiego, uruchom następujące polecenie, podając zewnętrzny adres IP serwera niebieskiego:
- Naciśnij CTRL+C, aby zatrzymać żądanie HTTP.
Gratulacje!
W tym module udało Ci się utworzyć 2 serwery WWW, a także nauczyć się, jak kontrolować zewnętrzny dostęp HTTP przy użyciu oznaczonych tagami reguł zapory sieciowej. Utworzyłeś(-aś) też konto usługi – najpierw z rolą administratora sieci, a następnie z rolą administratora zabezpieczeń – aby poznać różne uprawnienia tych ról.
Jeśli w Twojej firmie funkcjonuje zespół ds. zabezpieczeń zarządzający zaporami sieciowymi i certyfikatami SSL oraz zespół ds. sieci zarządzający pozostałymi zasobami sieciowymi, zespołowi ds. zabezpieczeń przyznaj rolę administratora zabezpieczeń, a zespołowi ds. sieci – rolę administratora sieci.
Kolejne kroki / Więcej informacji
Informacje na temat podstawowych zagadnień dotyczących usługi Google Cloud Identity and Access Management znajdziesz w jej opisie (w języku angielskim).
Szkolenia i certyfikaty Google Cloud
…pomogą Ci wykorzystać wszystkie możliwości technologii Google Cloud. Nasze zajęcia obejmują umiejętności techniczne oraz sprawdzone metody, które ułatwią Ci szybką naukę i umożliwią jej kontynuację. Oferujemy szkolenia na poziomach od podstawowego po zaawansowany prowadzone w trybach wirtualnym, na żądanie i na żywo, dzięki czemu możesz dopasować program szkoleń do swojego napiętego harmonogramu. Certyfikaty umożliwią udokumentowanie i potwierdzenie Twoich umiejętności oraz doświadczenia w zakresie technologii Google Cloud.
Ostatnia aktualizacja instrukcji: 19 września 2023 r.
Ostatni test modułu: 19 września 2023 r.
Copyright 2024 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.