GSP303

Ringkasan

Dalam challenge lab, Anda diberi sebuah skenario dan serangkaian tugas. Tidak ada petunjuk langkah demi langkah. Anda akan menggunakan keahlian yang dipelajari dari lab dalam kursus untuk mencari cara menyelesaikan sendiri tugas-tugas tersebut. Sistem pemberian skor otomatis (ditampilkan pada halaman ini) akan memberikan masukan tentang apakah Anda telah menyelesaikan tugas dengan benar atau tidak.

Saat mengikuti challenge lab, Anda tidak akan diajari konsep-konsep baru Google Cloud. Anda diharapkan dapat memperluas keahlian yang dipelajari, seperti mengubah nilai default dan membaca serta mengkaji pesan error untuk memperbaiki kesalahan Anda sendiri.

Untuk meraih skor 100%, Anda harus berhasil menyelesaikan semua tugas dalam jangka waktu tertentu.

Lab ini direkomendasikan bagi siswa yang bersiap mengikuti ujian sertifikasi Professional Cloud Architect Tersertifikasi Google Cloud. Siap menghadapi tantangan ini?

Skenario tantangan

Perusahaan Anda memutuskan untuk men-deploy layanan aplikasi baru di cloud dan tugas Anda adalah mengembangkan framework yang aman untuk mengelola layanan Windows yang akan di-deploy. Anda perlu membuat lingkungan jaringan VPC baru untuk server Windows produksi yang aman.

Server produksi awalnya harus sepenuhnya terisolasi dari jaringan eksternal dan tidak boleh diakses secara langsung dari internet atau dapat dihubungkan secara langsung ke internet. Untuk mengonfigurasi dan mengelola server pertama di lingkungan ini, Anda juga harus men-deploy bastion host, atau jump box, yang dapat diakses dari internet menggunakan Microsoft Remote Desktop Protocol (RDP). Bastion host hanya boleh diakses melalui RDP dari internet, dan hanya boleh berkomunikasi dengan instance komputasi lain di dalam jaringan VPC menggunakan RDP.

Perusahaan Anda juga memiliki sistem pemantauan yang dijalankan melalui jaringan VPC default, sehingga semua instance komputasi harus memiliki antarmuka jaringan kedua dengan koneksi internal saja ke jaringan VPC default.

Tantangan Anda

Men-deploy mesin Windows yang aman yang tidak dikonfigurasi untuk komunikasi eksternal di dalam subnet VPC baru, lalu men-deploy Microsoft Internet Information Server pada mesin yang aman tersebut. Untuk tujuan lab ini, semua resource harus disediakan di region dan zona berikut:

• Region:
• Zona:

Tugas

Tugas utama tercantum di bawah ini. Semoga berhasil!

• Buat jaringan VPC baru dengan satu subnet.
• Buat aturan firewall yang mengizinkan traffic RDP eksternal ke sistem bastion host.
• Deploy dua server Windows yang terhubung ke jaringan VPC dan jaringan default.
• Buat virtual machine yang mengarah ke skrip startup.
• Konfigurasi aturan firewall untuk mengizinkan akses HTTP ke virtual machine.

Tugas 1. Membuat jaringan VPC

1. Buat jaringan VPC baru dengan nama securenetwork.

Klik Periksa progres saya untuk memverifikasi tujuan. Membuat jaringan VPC.

2. Buat subnet VPC baru dalam securenetwork di region .

Klik Periksa progres saya untuk memverifikasi tujuan. Membuat subnet VPC.

3. Setelah jaringan dan subnet selesai dikonfigurasi, konfigurasi aturan firewall yang mengizinkan traffic RDP masuk (TCP port 3389) dari internet ke bastion host. Aturan ini harus diterapkan ke host yang sesuai menggunakan tag jaringan.

Klik Periksa progres saya untuk memverifikasi tujuan. Membuat aturan firewall.

Tugas 2. Men-deploy instance Windows dan mengonfigurasi sandi pengguna

1. Men-deploy instance server Windows 2016 (Server dengan Desktop Experience) bernama vm-securehost dengan dua antarmuka jaringan di zona .
   • Mengonfigurasi antarmuka jaringan pertama dengan koneksi internal saja ke subnet VPC yang baru dibuat.
   • Mengonfigurasi antarmuka jaringan kedua dengan koneksi internal saja ke jaringan VPC default. Ini adalah server yang aman.

Klik Periksa progres saya untuk memverifikasi tujuan. Membuat instance vm-securehost.

2. Men-deploy instance Windows 2016 kedua (Server dengan Desktop Experience) bernama vm-bastionhost dengan dua antarmuka jaringan di zona .
   • Mengonfigurasi antarmuka jaringan pertama yang akan dihubungkan ke subnet VPC yang baru dibuat dengan alamat (NAT eksternal) publik yang bersifat sementara.
   • Mengonfigurasi antarmuka jaringan kedua dengan koneksi internal saja ke jaringan VPC default. Ini adalah jump box atau bastion host.

Klik Periksa progres saya untuk memverifikasi tujuan. Membuat instance vm-bastionhost.

Mengonfigurasi sandi pengguna

1. Setelah selesai membuat instance Windows, buat sebuah akun pengguna dan reset sandi Windows agar bisa terhubung dengan instance mana pun.

CATATAN: Salin Nama pengguna dan Sandi kedua instance untuk digunakan nanti.

2. Perintah gcloud berikut akan membuat pengguna baru bernama app-admin dan mereset sandi host bernama vm-bastionhost yang berada di zona :

gcloud compute reset-windows-password vm-bastionhost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}

3. Perintah gcloud berikut akan membuat pengguna baru bernama app-admin dan mereset sandi host bernama vm-securehost yang berada di zona :

gcloud compute reset-windows-password vm-securehost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}

• Atau, Anda dapat mereset sandi secara paksa dari konsol Compute Engine. Anda harus mengulang langkah ini untuk host kedua, karena kredensial login instance tersebut akan berbeda.

Tugas 3. Terhubung ke host yang aman dan mengonfigurasi Internet Information Server

1. Untuk terhubung ke host yang aman, Anda harus melakukan RDP ke bastion host terlebih dahulu. Windows Compute Instance yang memiliki alamat eksternal dapat dihubungkan melalui RDP menggunakan tombol RDP yang muncul di samping Windows Compute Instance di halaman ringkasan Compute Instance.

2. Setelah Anda terhubung ke bastion host menggunakan sesi RDP, buka sesi RDP baru di dalam bastion host untuk terhubung ke alamat jaringan pribadi internal secure host.

3. Saat terhubung ke server Windows, Anda dapat meluncurkan klien Microsoft RDP menggunakan perintah mstsc.exe atau dengan menelusuri Remote Desktop Manager dari menu Start. Dengan demikian, Anda dapat terhubung dari bastion host ke instance komputasi lain pada VPC yang sama meskipun kedua instance tersebut tidak memiliki koneksi internet langsung.

Setelah Anda terhubung ke mesin vm-securehost melalui RDP, atur konfigurasi Internet Information Server.

4. Setelah Anda login ke mesin vm-securehost, buka jendela manajemen server. Dan Configure the local server untuk Menambahkan peran dan fitur.

5. Gunakan Role-based or feature-based installation untuk menambahkan peran Web Server (IIS).

Klik Periksa progres saya untuk memverifikasi tujuan. Mengonfigurasi software server web IIS.

Pemecahan masalah

• Tidak dapat terhubung ke Bastion host: Pastikan Anda mencoba terhubung ke alamat eksternal dari bastion host tersebut. Jika alamatnya sudah benar, mungkin penyebab Anda tidak dapat terhubung ke bastion host adalah aturan firewall yang tidak dikonfigurasi dengan benar untuk mengizinkan traffic TCP port 3389 (RDP) dari internet, atau alamat IP publik sistem Anda, ke antarmuka jaringan pada bastion host yang memiliki alamat eksternal. Atau, Anda mungkin kesulitan terhubung melalui RDP jika jaringan Anda tidak mengizinkan akses ke alamat internet melalui RDP. Jika semua hal lainnya tidak bermasalah, sebaiknya bicarakan dengan pemilik jaringan tempat Anda menghubungkan internet untuk membuka port 3389 atau hubungkan melalui jaringan yang berbeda.
• Tidak dapat terhubung ke Host yang Aman dari Bastion host: Jika Anda berhasil terhubung ke bastion host, tetapi tidak dapat membuat koneksi RDP internal menggunakan aplikasi Microsoft Remote Desktop Connection, periksa apakah kedua instance sudah terhubung ke jaringan VPC yang sama atau belum.

Selamat!

Selamat! Dalam lab ini, Anda telah mengonfigurasi lingkungan server Windows aman menggunakan bastion host dan jaringan VPC. Anda juga telah mengonfigurasi aturan firewall agar HTTP dapat mengakses virtual machine, dan men-deploy Microsoft Internet Information Server di mesin yang aman.

Sertifikasi dan pelatihan Google Cloud

...membantu Anda mengoptimalkan teknologi Google Cloud. Kelas kami mencakup keterampilan teknis dan praktik terbaik untuk membantu Anda memahami dengan cepat dan melanjutkan proses pembelajaran. Kami menawarkan pelatihan tingkat dasar hingga lanjutan dengan opsi on demand, live, dan virtual untuk menyesuaikan dengan jadwal Anda yang sibuk. Sertifikasi membantu Anda memvalidasi dan membuktikan keterampilan serta keahlian Anda dalam teknologi Google Cloud.

Manual Terakhir Diperbarui pada 9 Februari 2024

Lab Terakhir Diuji pada 6 Desember 2023

Hak cipta 2025 Google LLC. Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.