arrow_back

Lab de desafío sobre Ensure Access & Identity in Google Cloud

Unirse Acceder

Lab de desafío sobre Ensure Access & Identity in Google Cloud

1 hora 30 minutos 5 créditos

GSP342

Labs de autoaprendizaje de Google Cloud

Descripción general

En un lab de desafío, se le proporcionarán una situación y un conjunto de tareas. En lugar de seguir instrucciones paso a paso, deberá utilizar las habilidades aprendidas en los labs de la Quest a fin de decidir cómo completar las tareas por su cuenta. Un sistema de puntuación automatizado (que se muestra en esta página) le proporcionará comentarios acerca de si completó las tareas correctamente.

En un lab de desafío, no se explican conceptos nuevos de Google Cloud, sino que se espera que amplíe las habilidades que adquirió, como cambiar los valores predeterminados y leer o investigar los mensajes de error para corregir sus propios errores.

Debe completar correctamente todas las tareas dentro del período establecido para obtener una puntuación del 100%.

Se recomienda este lab para los alumnos inscritos en la Quest Ensure Access & Identity in Google Cloud. ¿Todo listo para el desafío?

Temas evaluados

  • Crear una función de seguridad personalizada
  • Crear una cuenta de servicio
  • Vincular las funciones de seguridad de IAM a una cuenta de servicio
  • Crear un clúster privado de Kubernetes Engine en una subred personalizada
  • Implementar una aplicación en un clúster privado de Kubernetes Engine

Configuración

Antes de hacer clic en el botón Comenzar lab

Lea estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando hace clic en Comenzar lab, indica por cuánto tiempo tendrá a su disposición los recursos de Google Cloud.

Este lab práctico de Qwiklabs le permitirá llevar a cabo las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, le proporciona credenciales temporales nuevas que utilizará para acceder a Google Cloud durante todo el lab.

Qué necesita

Para completar este lab, necesitará lo siguiente:

  • Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)
  • Tiempo para completar el lab

Nota: Si ya tiene un proyecto o una cuenta personal de Google Cloud, no los use para este lab.

Nota: Si usa un dispositivo con Chrome OS, ejecute este lab en una ventana de incógnito.

Situación del desafío

Usted asumió una nueva función como miembro júnior del equipo de seguridad de Orca en Jooli Inc. La responsabilidad del equipo es garantizar la seguridad de la infraestructura y los servicios de nube de los que dependen las aplicaciones de la empresa.

Se espera que tenga las habilidades y el conocimiento necesarios para realizar estas tareas, por lo que no se le proporcionarán guías paso a paso.

Su desafío

Se le solicitó que implemente, configure y pruebe un nuevo clúster de Kubernetes Engine que el equipo de desarrollo de Orca usará para implementar aplicaciones y probar canalizaciones.

Debe asegurarse de que el nuevo clúster de Kubernetes Engine se compile de acuerdo con los estándares de seguridad de la organización más recientes. Por lo tanto, debe cumplir con las siguientes reglas:

  • El clúster se debe implementar con una cuenta de servicio dedicada, configurada con los privilegios mínimos requeridos.
  • El clúster se debe implementar como un clúster privado de Kubernetes Engine, el extremo público debe estar inhabilitado y la red autorizada de la instancia principal debe estar configurada de tal forma que incluya solo la dirección IP del jumphost de administración del grupo de Orca.
  • El clúster privado de Kubernetes Engine se debe implementar en orca-build-subnet, en la VPC de compilación de Orca.

Por un proyecto anterior, ya sabe que los permisos mínimos que requiere la cuenta de servicio especificada para un clúster de Kubernetes Engine están cubiertos por las siguientes tres funciones incorporadas:

  • roles/monitoring.viewer
  • roles/monitoring.metricWriter
  • roles/logging.logWriter

Estas funciones se especifican en la documentación sobre el endurecimiento de la seguridad del clúster.

Debe vincular las funciones anteriores a la cuenta de servicio que utiliza el clúster, así como la función personalizada que debe crear, para brindar acceso a cualquier otro servicio que especifique el equipo de desarrollo. Inicialmente, se le informó que el equipo de desarrollo requiere que la cuenta de servicio que utiliza el clúster cuente con los permisos necesarios para agregar y actualizar objetos en los depósitos de Google Cloud Storage. Para esto, tendrá que crear una nueva función de IAM personalizada que otorgue los siguientes permisos:

  • storage.buckets.get
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
  • storage.objects.create

Una vez que haya creado el nuevo clúster privado, deberá probar que esté configurado correctamente. Para esto, conéctelo desde el jumphost orca-jumphost en la subred de administración orca-mgmt-subnet. Debido a que esta instancia de Compute no se encuentra en la misma subred que el clúster privado, debe asegurarse de que las redes autorizadas de la instancia principal que correspondan al clúster incluyan la dirección IP interna de la instancia. Además, cuando recupere las credenciales del clúster con el comando gcloud container clusters get-credentials, deberá especificar la marca --internal-ip.

Todos los nuevos objetos y servicios de nube que cree deberán incluir el prefijo "orca-".

La última tarea consiste en validar que el clúster esté funcionando correctamente. Para esto, debe implementar una aplicación simple en el clúster a fin de probar que el acceso de administración al clúster con la herramienta kubectl funcione desde la instancia de Compute orca-jumphost.

Tarea 1: Cree una función de seguridad personalizada

La primera tarea consiste en crear un nuevo rol personalizado de seguridad de IAM llamado , el cual proporcionará el bucket de almacenamiento de Google Cloud y los permisos de objetos necesarios para crear y actualizar los objetos de almacenamiento.

Verificar que se haya creado una función de seguridad personalizada

Tarea 2: Cree una cuenta de servicio

La segunda tarea consiste en crear la cuenta de servicio dedicada que se usará para su nuevo clúster privado. La cuenta debe llamarse .

Verificar que se haya creado una nueva cuenta de servicio

Tarea 3: Vincule una función de seguridad personalizada a una cuenta de servicio

Ahora debe vincular las funciones de registro y supervisión de Cloud Operations que se requieren para las cuentas de servicio del clúster de Kubernetes Engine, así como la función de IAM personalizada que creó para los permisos de almacenamiento de la cuenta de servicio creada anteriormente.

Verificar que se hayan vinculado las funciones de seguridad integradas y personalizadas correctas a la nueva cuenta de servicio

Tarea 4: Cree y configure un nuevo clúster privado de Kubernetes Engine

Ahora debe usar la cuenta de servicio que configuró cuando creó el nuevo clúster privado de Kubernetes Engine. La configuración del nuevo clúster debe incluir lo siguiente:

  • El clúster debe llamarse .
  • El clúster debe implementarse en la subred orca-build-subnet.
  • Debe configurarse el clúster para usar la cuenta de servicio de .
  • Las opciones del clúster privado enable-master-authorized-networks, enable-ip-alias, enable-private-nodes y enable-private-endpoint deben estar habilitadas.

Una vez configurado el clúster, debe agregar la dirección IP interna de la instancia de Compute orca-jumphost a la lista de redes autorizadas de la instancia principal.

Confirmar que se haya implementado correctamente un clúster privado de Kubernetes Engine

Tarea 5: Implemente una aplicación en un clúster privado de Kubernetes Engine

Tiene una aplicación de prueba simple que se puede implementar en cualquier clúster para probar rápidamente que la funcionalidad de implementación de contenedores básicos esté activa y que se puedan crear servicios básicos y se pueda acceder a ellos. Debe configurar el entorno de manera tal que pueda implementar esta demostración simple en el nuevo clúster con el jumphost orca-jumphost.

kubectl create deployment hello-server --image=gcr.io/google-samples/hello-app:1.0

De esta manera, se implementa una aplicación que escucha en el puerto 8080 y que se puede exponer con un servicio básico de balanceador de cargas para pruebas.

Verificar que se haya implementado una aplicación en un clúster privado de Kubernetes Engine

Sugerencias y trucos

  • Sugerencia 1. Cuando recupera las credenciales kubectl de un clúster privado que tenga la opción enable-private-endpoint configurada, debe especificar la marca --internal-ip.
gcloud container clusters get-credentials [CLUSTER_NAME] --internal-ip --zone=[ZONE]
  • Sugerencia 2. Cuando agrega la dirección IP interna de la máquina orca-jumphost a la lista de direcciones autorizadas del clúster privado de Kubernetes Engine, debe usar una máscara de red /32 para garantizar que esté autorizada solamente la instancia de Compute específica.

  • Sugerencia 3. No puede conectarse directamente a un clúster privado de Kubernetes Engine desde una VPC o desde otra red fuera de la VPC donde se implementó el clúster privado si se especificó la opción enable-private-endpoint. Esta es la opción de mayor seguridad de un clúster privado. Debe usar un jumphost, o un proxy que se encuentre en la misma VPC que el clúster, para conectarse a la dirección IP de administración interna del clúster.

¡Felicitaciones!

FinalEnsure-Access-Identity-in-Google-Cloud.png

Obtenga su próxima insignia de habilidad

Este lab de autoaprendizaje forma parte de la Quest con insignia de habilidad Ensure Access & Identity in Google Cloud. Si completa esta Quest, obtendrá la insignia de habilidad que se muestra arriba como reconocimiento de su logro. Comparta la insignia en su currículum y sus plataformas de redes sociales, y anuncie su logro con el hashtag #GoogleCloudBadge.

Esta Quest con insignia de habilidad forma parte de la ruta de aprendizaje Security Engineer de Google Cloud. Continúe su camino de aprendizaje inscribiéndose en la Quest Secure Workloads in Google Kubernetes Engine.

Google Cloud Training & Certification

Aproveche al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarlo a ponerse en marcha rápidamente y a seguir aprendiendo. Para que pueda realizar nuestros cursos cuando más le convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: según demanda, presenciales y virtuales. Las certificaciones lo ayudan a validar y demostrar sus habilidades y experiencia en las tecnologías de Google Cloud.

Última actualización del manual: 3 de mayo de 2021
Última prueba del lab: 12 de octubre de 2020

Copyright 2020 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.