检查点
A new non-default VPC has been created
/ 15
The new VPC contains a new non-default subnet within it
/ 15
A firewall rule exists that allows TCP port 3389 traffic ( for RDP )
/ 15
A Windows compute instance called vm-securehost exists that does not have a public ip-address
/ 20
A Windows compute instance called vm-bastionhost exists that has a public ip-address to which the TCP port 3389 firewall rule applies.
/ 20
The vm-securehost is running Microsoft IIS web server software.
/ 15
使用 Windows 防禦主機設定安全的 RDP:挑戰研究室
GSP303
總覽
在挑戰研究室中,您會在特定情境下完成一系列任務。挑戰研究室不會提供逐步說明,您將運用從課程研究室學到的技巧,自行找出方法完成任務!自動評分系統 (如本頁所示) 將根據您是否正確完成任務來提供意見回饋。
在您完成任務的期間,挑戰研究室不會介紹新的 Google Cloud 概念。您須靈活運用所學技巧,例如變更預設值或詳讀並研究錯誤訊息,解決遇到的問題。
若想滿分達標,就必須在時限內成功完成所有任務!
這個研究室適合準備 Google Cloud 認證專業雲端架構師認證測驗的學員。準備好迎接挑戰了嗎?
挑戰情境
貴公司已決定要在雲端部署全新的應用程式服務,您的工作是開發安全的架構,用於管理要部署的 Windows 服務。您需要為安全的正式環境 Windows 伺服器,建立新的虛擬私有雲網路環境。
該伺服器一開始必須完全獨立於外部網路,不能直接透過網際網路存取,或與網際網路連線。如要在這個環境設定並管理伺服器,請先部署防禦主機 (跳板機),該機器需能透過網際網路使用 Microsoft 遠端桌面通訊協定 (RDP) 存取。防禦主機只能透過網路 RDP 存取,可進行通訊的其他運算執行個體,也必須位於使用 RDP 的虛擬私有雲網路內。
貴公司也有監控系統在預設的虛擬私有雲網路中執行,因此所有運算執行個體必須有第二個網路介面,只與該虛擬私有雲網路內部連線。
您的挑戰
在新的虛擬私有雲子網路中,部署安全的 Windows 機器,且該機器需設為無法與外部通訊,接著在當中部署 Microsoft Internet Information Server。為配合本研究室的學習目標,請在下列區域和可用區中佈建所有資源:
-
區域:
-
可用區:
工作
下方為本研究室的主要工作。祝您順利!
- 建立新的虛擬私有雲網路,當中含有單一子網路。
- 建立防火牆規則,允許外部 RDP 流量傳送至防禦主機系統。
- 部署兩個 Windows 伺服器,兩者皆連至虛擬私有雲網路和預設網路。
- 建立指向開機指令碼的虛擬機器。
- 設定防火牆規則,允許使用 HTTP 存取虛擬機器。
工作 1:建立虛擬私有雲網路
- 建立新的虛擬私有雲網路
securenetwork
。
點選「Check my progress」,確認目標已達成。
- 在
區域的 securenetwork
中,建立新的虛擬私有雲子網路。
點選「Check my progress」,確認目標已達成。
- 網路和子網路都設定完成後,請設定防火牆規則,允許從網際網路傳入的 RDP 流量 (TCP 通訊埠 3389) 傳送至防禦主機。這項規則應使用網路標記套用至適當的主機。
點選「Check my progress」,確認目標已達成。
工作 2:部署 Windows 執行個體並設定使用者密碼
- 部署名為
vm-securehost
的 Windows Server 2016 (含有桌面體驗的伺服器),並在可用區中設定兩個網路介面。 - 將一個網路介面設為只與新建立的虛擬私有雲子網路內部連線。
- 另一個介面則只與預設的虛擬私有雲網路內部連線。這是安全的伺服器。
點選「Check my progress」,確認目標已達成。vm-securehost
執行個體。
- 部署第二個名為
vm-bastionhost
的 Windows Server 2016 (含有桌面體驗的伺服器),並在可用區中設定兩個網路介面。 - 將第一個網路介面設為透過臨時公開位址 (外部 NAT) 連至新建立的虛擬私有雲子網路。
- 另一個介面則只與預設的虛擬私有雲網路內部連線。這是跳板機,即防禦主機。
點選「Check my progress」,確認目標已達成。vm-bastionhost
執行個體。
設定使用者密碼
- Windows 執行個體建立完成後,請建立使用者帳戶並重設 Windows 密碼,以連至各個執行個體。
- 下列
gcloud
指令會建立名為app-admin
的新使用者,並重設位於可用區的 vm-bastionhost
主機密碼:
- 下列
gcloud
指令會建立名為app-admin
的新使用者,並重設位於可用區的 vm-securehost
主機密碼:
- 您也可以在 Compute Engine 控制台強制重設密碼。由於執行個體的登入憑證皆不同,您必須在第二個主機中重複這個步驟。
工作 3:連至安全主機並設定 Internet Information Server
-
為了連至安全主機,請先使用 RDP 連線至
bastion host
。含外部位址的 Windows Compute 執行個體可透過 RDP 連線,方法是使用 RDP 按鈕。該按鈕位於 Compute 執行個體總覽頁面中,Windows Compute 執行個體的旁邊。 -
使用 RDP 工作階段連至防禦主機後,請在
bastion host
內開啟新的 RDP 工作階段,並連至secure host
的內部私人網路位址。 -
連至 Windows 伺服器後,您可以使用
mstsc.exe
指令啟動 Microsoft RDP 用戶端,或在「開始」選單中搜尋Remote Desktop Manager
。這項操作可讓您從防禦主機連至其他運算執行個體,即使這些執行個體本身不能直接連至網際網路也無妨,但必須位於相同虛擬私有雲內。
透過 RDP 連至 vm-securehost
主機後,請設定 Internet Information Server。
-
登入 vm-securehost 主機後,請開啟伺服器管理視窗。接著
Configure the local server
,新增角色和特徵。 -
使用
Role-based or feature-based installation
新增Web Server (IIS)
角色。
點選「Check my progress」,確認目標已達成。
疑難排解
- 無法連至防禦主機:請確認您嘗試連線的是防禦主機外部位址。如果位址正確,但防火牆規則未正確設定,您仍無法連至防禦主機。防火牆規則必須允許 TCP 通訊埠 3389 (RDP) 的流量,或是您系統的公開 IP 位址,傳送至含外部位址防禦主機的網路介面。最後,如果您的網路不允許透過 RDP 存取網路位址,您可能是遇到透過 RDP 連線的相關問題。如果確認一切設定無誤,請確認您用於連至網際網路的網路為何,並請該網路的擁有者開啟通訊埠 3389,或使用不同的網路連線。
- 無法從防禦主機連至安全的主機:如果能成功連至防禦主機,但無法使用 Microsoft 遠端桌面連線應用程式建立內部 RDP 連線,請確認兩邊執行個體連至相同的虛擬私有雲網路。
恭喜!
恭喜!在本研究室中,您使用防禦主機和虛擬私有雲網路,設定了安全的 Windows 伺服器環境。您也設定了防火牆規則來允許 HTTP 存取虛擬機器,並在安全的機器上部署 Microsoft Internet Information Server。
Google Cloud 教育訓練與認證
協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。
使用手冊上次更新日期:2024 年 2 月 9 日
研究室上次測試日期:2023 年 12 月 6 日
Copyright 2024 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。