检查点
A new non-default VPC has been created
/ 15
The new VPC contains a new non-default subnet within it
/ 15
A firewall rule exists that allows TCP port 3389 traffic ( for RDP )
/ 15
A Windows compute instance called vm-securehost exists that does not have a public ip-address
/ 20
A Windows compute instance called vm-bastionhost exists that has a public ip-address to which the TCP port 3389 firewall rule applies.
/ 20
The vm-securehost is running Microsoft IIS web server software.
/ 15
使用 Windows 防禦主機設定安全的 RDP:挑戰研究室
GSP303
總覽
在挑戰研究室中,您必須在特定情境下完成一系列任務。挑戰研究室不會提供逐步的操作說明,您必須運用從解決研究室任務中所學到的技巧,自行找出完成任務的方法!自動評分系統 (如本頁面所示) 將根據您是否正確完成任務而提供意見。
在您完成任務的期間,挑戰研究室不會介紹新的 Google Cloud 概念。您須靈活運用所學技巧,例如變更預設值或詳讀並研究錯誤訊息,解決遇到的問題。
若想滿分達標,就必須在時限內成功完成所有任務!
這個研究室適合準備 Google Cloud 認證專業雲端架構師認證測驗的學員。準備好迎接挑戰了嗎?
挑戰情境
貴公司已決定要在雲端部署全新的應用程式服務,您的工作是開發安全的架構,用於管理要部署的 Windows 服務。您需要為安全的實際工作環境 Windows 伺服器,建立新的虛擬私有雲網路環境。
該伺服器初始必須完全獨立於外部網路,不能直接與外部網路通訊。如要在這個環境中設定並管理第一個伺服器,請部署防禦主機或跳板機,存取使用 Microsoft 遠端桌面通訊協定 (RDP) 的網路。防禦主機只能透過網路 RDP 存取,可進行通訊的其他運算執行個體,也必須位於使用 RDP 的虛擬私有雲網路內。
貴公司也有監控系統在預設的虛擬私有雲網路中執行,因此所有運算執行個體必須有第二個網路介面,只與該虛擬私有雲網路內部連線。
您的挑戰
部署安全的 Windows 機器,且該機器未在新的虛擬私有雲子網路中設定外部通訊,接著在當中部署 Microsoft Internet Information Server。為配合本研究室的學習目標,請在下列區域和可用區中佈建所有資源:
-
區域:
-
可用區:
工作
下方為本研究室的主要工作。祝您順利!
- 建立新的虛擬私有雲網路,當中含有單一子網路。
- 建立防火牆規則,允許外部 RDP 流量傳送至防禦主機系統。
- 部署兩個 Windows 伺服器,兩者皆連至虛擬私有雲網路和預設網路。
- 建立指向開機指令碼的虛擬機器。
- 設定防火牆規則,允許 HTTP 存取虛擬機器。
工作 1:建立虛擬私有雲網路
- 建立新的虛擬私有雲網路
securenetwork
。
點選「Check my progress」,確認目標已達成。
- 在
區域的 securenetwork
中,建立新的虛擬私有雲子網路。
點選「Check my progress」,確認目標已達成。
- 網路和子網路都設定完成後,請設定防火牆規則,允許從網際網路傳入的 RDP 流量 (TCP 通訊埠 3389) 傳送至防禦主機。這項規則應適用於使用網路標記的適當主機。
點選「Check my progress」,確認目標已達成。
工作 2:部署 Windows 執行個體並設定使用者密碼
- 部署名為
vm-securehost
的 Windows 2016 伺服器,使用可用區中的兩個網路介面。 - 設定第一個網路介面,只與新的虛擬私有雲子網路內部連線;第二個網路介面則只與預設的虛擬私有雲網路內部連線。這是安全的伺服器。
- 安裝第二個名為
vm-bastionhost
的 Windows 2016 伺服器執行個體,使用可用區中的兩個網路介面。 - 設定第一個網路介面連至新的虛擬私有雲子網路,使用臨時公開位址 (外部網路位址轉譯);第二個網路介面則只與預設的虛擬私有雲網路內部連線。這是跳板機或防禦主機。
點選「Check my progress」,確認目標已達成。vm-bastionhost
執行個體。
點選「Check my progress」,確認目標已達成。vm-securehost
執行個體。
設定使用者密碼
- Windows 執行個體建立完成後,請建立使用者帳戶並重設 Windows 密碼,以連至各個執行個體。
- 下列
gcloud
指令會建立名為app-admin
的新使用者,並重設位於可用區的 vm-bastionhost
主機密碼:
- 您也可以在 Compute Engine 控制台強制重設密碼。由於執行個體的登入憑證皆不同,您必須在第二個主機中重複這個步驟。
工作 3:連至安全的主機並設定 Internet Information Server
如要連至這個主機,請先在防禦主機中設定 RDP,接著開啟第二個 RDP 工作階段,連至主機的內部私人網路位址。含外部位址的 Windows Compute 執行個體可透過 RDP 連線,方法是使用 RDP 按鈕。該按鈕位於 Compute 執行個體總覽頁面中,Windows Compute 執行個體的旁邊。
連至 Windows 伺服器後,您可以使用 mstsc.exe
指令推出 Microsoft RDP 用戶端,或在「開始」選單中搜尋 Remote Desktop Manager
。這項操作可讓您從防禦主機連至其他運算執行個體,即使這些執行個體本身不能直接連至網路也無妨,但必須位於相同虛擬私有雲內。
點選「Check my progress」,確認目標已達成。
疑難排解
- 無法連至防禦主機:請確認您嘗試連線的是防禦主機外部位址。如果位址正確,但防火牆規則未正確設定,您仍無法連至防禦主機。防火牆規則必須允許 TCP 通訊埠 3389 (RDP) 的流量,或是您系統的公開 IP 位址,傳送至含外部位址防禦主機的網路介面。最後,如果您的網路不允許透過 RDP 存取網路位址,您可能是遇到透過 RDP 連線的相關問題。如果確認一切設定無誤,請與您連線的網路擁有者通訊,以開啟通訊埠 3389,或使用不同網路連線。
- 無法從防禦主機連至安全的主機:如果能成功連至防禦主機,但無法使用 Microsoft 遠端桌面連線應用程式建立內部 RDP 連線,請確認兩邊執行個體連至相同的虛擬私有雲網路。
恭喜!
恭喜!在本研究室中,您使用防禦主機和虛擬私有雲網路,設定了安全的 Windows 伺服器環境。您也設定了防火牆規則來允許 HTTP 存取虛擬機器,並在安全的機器上部署 Microsoft Internet Information Server。
Google Cloud 教育訓練與認證
協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。
使用手冊上次更新日期:2024 年 2 月 9 日
研究室上次測試日期:2023 年 12 月 6 日
Copyright 2024 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。