arrow_back

Ensure Access & Identity in Google Cloud: laboratório com desafio

Ensure Access & Identity in Google Cloud: laboratório com desafio

1 hora 30 minutos 5 créditos

GSP342

Laboratórios autoguiados do Google Cloud

Visão geral

Nos laboratórios com desafio, apresentamos uma situação e um conjunto de tarefas. Para concluí-las, em vez de seguir instruções passo a passo, você usará o que aprendeu nos laboratórios da Quest. Um sistema automático de pontuação (mostrado nesta página) avaliará seu desempenho.

Nos laboratórios com desafio, não ensinamos novos conceitos do Google Cloud. O objetivo dessas tarefas é aprimorar aquilo que você já aprendeu, como a alteração de valores padrão ou a leitura e pesquisa de mensagens para corrigir seus próprios erros.

Para alcançar a pontuação de 100%, você precisa concluir todas as tarefas no tempo definido.

Este laboratório é recomendado para os estudantes que se inscreveram na Quest Ensure Access & Identity in Google Cloud. Está pronto para o desafio?

Conhecimentos avaliados

  • Criar um papel de segurança personalizado
  • Criar uma conta de serviço
  • Vincular papéis de segurança do IAM a uma conta de serviço
  • Criar um cluster privado do Kubernetes Engine em uma sub-rede personalizada
  • Implantar um aplicativo em um cluster privado do Kubernetes Engine

Configuração

Antes de clicar no botão Start Lab

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud ficarão disponíveis.

Este laboratório prático do Qwiklabs permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você receberá novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

O que é necessário

Para fazer este laboratório, você precisa ter:

  • acesso a um navegador de Internet padrão (recomendamos o Chrome);
  • tempo para concluir as atividades.

Observação: não use seu projeto ou sua conta do Google Cloud neste laboratório.

Observação: se estiver usando um dispositivo Chrome OS, abra uma janela anônima para executar o laboratório.

Cenário do desafio

Você começou a trabalhar como membro júnior da área de segurança com a equipe do Orca na Jooli Inc. A equipe deve garantir a segurança dos serviços e da infraestrutura em nuvem, que são essenciais para os aplicativos da empresa.

Seu conhecimento deve ser suficiente para realizar essas tarefas sem guias passo a passo.

Seu desafio

Pediram para você implantar, configurar e testar um novo cluster do Kubernetes Engine. Ele será usado pela equipe de desenvolvimento do Orca no teste de pipelines e no desenvolvimento de aplicativos.

Você deve garantir que o cluster do Kubernetes Engine seja criado de acordo com os padrões de segurança mais recentes da organização. Isso significa atender aos seguintes requisitos:

  • O cluster deve ser implantado com uma conta de serviço dedicada e que tenha os privilégios mínimos necessários.
  • O cluster deve ser implantado como um cluster privado do Kubernetes Engine, com o endpoint público desativado e a rede autorizada principal definida para incluir apenas o endereço IP do jumphost de gerenciamento do grupo do Orca.
  • O cluster privado do Kubernetes Engine deve ser implantado na mesma VPC do build do Orca, orca-build-subnet.

Em um projeto anterior, você viu que os três papéis integrados a seguir têm as permissões mínimas exigidas pela conta de serviço definida para um cluster do Kubernetes Engine:

  • roles/monitoring.viewer
  • roles/monitoring.metricWriter
  • roles/logging.logWriter

Esses papéis estão especificados em Como aumentar a segurança do seu cluster na documentação.

Você precisa criar um papel personalizado para permitir o acesso a qualquer outro serviço especificado pela equipe de desenvolvimento. O papel personalizado e os outros três papéis mencionados acima devem ser vinculados à conta de serviço usada pelo cluster. A equipe de desenvolvimento informou que a conta de serviço deve ter as permissões necessárias para adicionar e atualizar objetos nos buckets do Google Cloud Storage. Para fazer isso, você precisa criar um papel personalizado do IAM com estas permissões:

  • storage.buckets.get
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
  • storage.objects.create

Depois de criar o cluster privado, teste se ele foi configurado corretamente. Para isso, acesse o cluster pelo jumphost orca-jumphost na sub-rede de gerenciamento orca-mgmt-subnet. Como esta instância do Compute não está na mesma sub-rede do cluster privado, você deve garantir que o endereço IP interno dela esteja incluído nas redes autorizadas principais do cluster. Você também precisa especificar a sinalização --internal-ip quando recuperar as credenciais do cluster usando o comando gcloud container clusters get-credentials.

Adicione o prefixo "orca-" em todos os objetos e serviços de nuvem que você criar.

Por fim, implante um aplicativo simples no cluster e teste o acesso de gerenciamento da instância do Compute orca-jumphost com a ferramenta kubectl para saber se o cluster está funcionando corretamente.

Tarefa 1: crie um papel de segurança personalizado

Crie um novo papel de segurança personalizado do IAM com o nome . Ele vai conceder as permissões de objeto e de bucket de armazenamento do Google Cloud necessárias para criar e atualizar os objetos de armazenamento.

Veja se um papel de segurança personalizado foi criado.

Tarefa 2: crie uma conta de serviço

A segunda tarefa é criar a conta de serviço dedicada que será usada no novo cluster privado. Dê a ela o nome de .

Veja se uma conta de serviço foi criada.

Tarefa 3: vincule um papel de segurança personalizado a uma conta de serviço

Agora você precisa vincular os papéis de monitoramento e geração de registros do pacote de operações do Google Cloud que são necessários às contas de serviço do cluster do Kubernetes Engine. Vincule também a nova conta de serviço ao papel personalizado do IAM que você criou para as permissões de armazenamento.

Verifique se a nova conta de serviço foi vinculada aos papéis integrados de segurança e personalizados corretos.

Tarefa 4: crie e configure um novo cluster privado do Kubernetes Engine

Use a conta de serviço que você configurou para criar um novo cluster privado do Kubernetes Engine. Configure o novo cluster da seguinte forma:

  • Ele precisa se chamar .
  • Implante o cluster na sub-rede orca-build-subnet.
  • Configure o cluster para usar a conta de serviço .
  • Ative as opções de cluster privado enable-master-authorized-networks, enable-ip-alias, enable-private-nodes e enable-private-endpoint.

Depois de configurar o cluster, adicione o endereço IP interno da instância do Compute orca-jumphost à lista de redes autorizadas principais.

Verifique se um cluster privado do Kubernetes Engine foi implantado corretamente.

Tarefa 5: implante um aplicativo em um cluster privado do Kubernetes Engine

Você tem um aplicativo de teste simples que pode ser implantado em qualquer cluster. Use esse aplicativo para testar rapidamente se é possível implantar um contêiner e também criar e acessar serviços básicos. Configure o ambiente para implantar esta demonstração simples no novo cluster usando o jumphost orca-jumphost.

kubectl create deployment hello-server --image=gcr.io/google-samples/hello-app:1.0

Essa linha de código implanta um aplicativo detector na porta 8080. Você pode expor essa porta para teste usando um serviço de balanceador de carga básico.

Verifique se um aplicativo foi implantado em um cluster privado do Kubernetes Engine.

Dicas e truques

  • Dica 1: especifique a sinalização --internal-ip para recuperar as credenciais de kubectl de um cluster privado com a opção enable-private-endpoint definida.
gcloud container clusters get-credentials [CLUSTER_NAME] --internal-ip --zone=[ZONE]
  • Dica 2: quando adicionar o endereço IP interno da máquina orca-jumphost à lista de endereços com acesso autorizado ao cluster privado do Kubernetes Engine, use uma máscara de rede /32 para autorizar apenas uma instância específica do Compute.

  • Dica 3: se a opção enable-private-endpoint estiver especificada, não será possível acessar diretamente um cluster privado do Kubernetes Engine por uma VPC ou por outra rede fora da VPC em que ele foi implantado. Essa configuração oferece o nível mais alto de segurança para um cluster privado. Além disso, para se conectar ao endereço IP de gerenciamento interno do cluster, você precisa usar um jumphost ou um proxy na mesma VPC do cluster.

Parabéns!

FinalEnsure-Access-Identity-in-Google-Cloud.png

Conquiste seu próximo selo de habilidade

Este laboratório autoguiado faz parte da Quest Ensure Access & Identity in Google Cloud. Após a conclusão, você ganha o selo de habilidade acima como reconhecimento. Compartilhe essa conquista no seu currículo e nas mídias sociais usando #GoogleCloudBadge.

Essa Quest de selo de habilidade faz parte do programa de aprendizado Security Engineer do Google Cloud. Para continuar sua jornada de aprendizado, inscreva-se na Quest Secure Workloads in Google Kubernetes Engine.

Treinamento e certificação do Google Cloud

...ajuda você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações ajudam você a validar e comprovar suas habilidades e conhecimentos das tecnologias do Google Cloud.

Manual atualizado em 3 de maio de 2021
Laboratório testado em 12 de outubro de 2020

Copyright 2020 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.