Checkpoint
A new non-default VPC has been created
/ 15
The new VPC contains a new non-default subnet within it
/ 15
A firewall rule exists that allows TCP port 3389 traffic ( for RDP )
/ 15
A Windows compute instance called vm-securehost exists that does not have a public ip-address
/ 20
A Windows compute instance called vm-bastionhost exists that has a public ip-address to which the TCP port 3389 firewall rule applies.
/ 20
The vm-securehost is running Microsoft IIS web server software.
/ 15
Mengonfigurasi RDP yang Aman Menggunakan Bastion Host Windows: Challenge Lab
GSP303
Ringkasan
Dalam challenge lab, Anda diberi sebuah skenario dan serangkaian tugas. Tidak ada petunjuk langkah demi langkah. Anda akan menggunakan keahlian yang dipelajari dari lab dalam kursus untuk mencari cara menyelesaikan sendiri tugas-tugas tersebut. Sistem pemberian skor otomatis (ditampilkan pada halaman ini) akan memberikan masukan tentang apakah Anda telah menyelesaikan tugas dengan benar atau tidak.
Saat mengikuti challenge lab, Anda tidak akan diajari konsep-konsep baru Google Cloud. Anda diharapkan dapat memperluas keahlian yang dipelajari, seperti mengubah nilai default dan membaca serta mengkaji pesan error untuk memperbaiki kesalahan Anda sendiri.
Untuk meraih skor 100%, Anda harus berhasil menyelesaikan semua tugas dalam jangka waktu tertentu.
Lab ini direkomendasikan bagi siswa yang bersiap mengikuti ujian sertifikasi Professional Cloud Architect Tersertifikasi Google Cloud. Siap menghadapi tantangan ini?
Skenario tantangan
Perusahaan Anda memutuskan untuk men-deploy layanan aplikasi baru di cloud dan tugas Anda adalah mengembangkan framework yang aman untuk mengelola layanan Windows yang akan di-deploy. Anda perlu membuat lingkungan jaringan VPC baru untuk server Windows produksi yang aman.
Server produksi awalnya harus sepenuhnya terisolasi dari jaringan eksternal dan tidak boleh diakses secara langsung dari internet atau dapat dihubungkan secara langsung ke internet. Untuk mengonfigurasi dan mengelola server pertama di lingkungan ini, Anda juga harus men-deploy bastion host, atau jump box, yang dapat diakses dari internet menggunakan Microsoft Remote Desktop Protocol (RDP). Bastion host hanya boleh diakses melalui RDP dari internet, dan hanya boleh berkomunikasi dengan instance compute lain di dalam jaringan VPC menggunakan RDP.
Perusahaan Anda juga memiliki sistem pemantauan yang dijalankan melalui jaringan VPC default, sehingga semua instance compute harus memiliki antarmuka jaringan kedua dengan koneksi internal saja ke jaringan VPC default.
Tantangan Anda
Men-deploy mesin Windows yang aman yang tidak dikonfigurasi untuk komunikasi eksternal di dalam subnet VPC baru, lalu men-deploy Microsoft Internet Information Server pada mesin yang aman tersebut. Untuk tujuan lab ini, semua resource harus disediakan di region dan zona berikut:
-
Region:
-
Zona:
Tugas
Tugas utama tercantum di bawah ini. Semoga berhasil!
- Buat jaringan VPC baru dengan satu subnet.
- Buat aturan firewall yang mengizinkan traffic RDP eksternal ke sistem bastion host.
- Deploy dua server Windows yang terhubung ke jaringan VPC dan jaringan default.
- Buat virtual machine yang mengarah ke skrip startup.
- Konfigurasikan aturan firewall untuk mengizinkan akses HTTP ke virtual machine.
Tugas 1. Membuat jaringan VPC
- Buat jaringan VPC baru dengan nama
securenetwork
.
Klik Check my progress untuk memverifikasi tujuan.
- Buat subnet VPC baru dalam
securenetwork
di region.
Klik Check my progress untuk memverifikasi tujuan.
- Setelah jaringan dan subnet selesai dikonfigurasi, konfigurasikan aturan firewall yang mengizinkan traffic RDP masuk (TCP port 3389) dari internet ke bastion host. Aturan ini harus diterapkan ke host yang sesuai menggunakan tag jaringan.
Klik Check my progress untuk memverifikasi tujuan.
Tugas 2. Men-deploy instance Windows dan mengonfigurasikan sandi pengguna
- Men-deploy instance server Windows 2016 (Server dengan Desktop Experience) bernama
vm-securehost
dengan dua antarmuka jaringan di zona. - Mengonfigurasi antarmuka jaringan pertama dengan koneksi internal saja ke subnet VPC yang baru dibuat.
- Mengonfigurasi antarmuka jaringan kedua dengan koneksi internal saja ke jaringan VPC default. Ini adalah server yang aman.
Klik Check my progress untuk memverifikasi tujuan. vm-securehost
.
- Men-deploy instance Windows 2016 kedua (Server dengan Desktop Experience) bernama
vm-bastionhost
dengan dua antarmuka jaringan di zona. - Mengonfigurasi antarmuka jaringan pertama yang akan dihubungkan ke subnet VPC yang baru dibuat dengan alamat (NAT eksternal) publik yang bersifat sementara.
- Mengonfigurasi antarmuka jaringan kedua dengan koneksi internal saja ke jaringan VPC default. Ini adalah jump box atau bastion host.
Klik Check my progress untuk memverifikasi tujuan. vm-bastionhost
.
Mengonfigurasi sandi pengguna
- Setelah selesai membuat instance Windows, buat sebuah akun pengguna dan reset sandi Windows agar bisa terhubung dengan instance mana pun.
- Perintah
gcloud
berikut akan membuat pengguna baru bernamaapp-admin
dan mereset sandi host bernamavm-bastionhost
yang berada di zona:
- Perintah
gcloud
berikut akan membuat pengguna baru bernamaapp-admin
dan mereset sandi host bernamavm-securehost
yang berada di zona:
- Atau, Anda dapat mereset sandi secara paksa dari konsol Compute Engine. Anda harus mengulang langkah ini untuk host kedua, karena kredensial login instance tersebut akan berbeda.
Tugas 3. Menghubungkan ke host yang aman dan mengonfigurasikan Internet Information Server
-
Untuk menghubungkan ke host yang aman, Anda harus melakukan RDP ke
bastion host
terlebih dahulu. Windows Compute Instance yang memiliki alamat eksternal dapat dihubungkan melalui RDP menggunakan tombol RDP yang muncul di samping Windows Compute Instance di halaman ringkasan Compute Instance. -
Setelah Anda terhubung ke bastion host menggunakan sesi RDP, buka sesi RDP baru di dalam
bastion host
untuk menghubungkan ke alamat jaringan pribadi internalsecure host
. -
Saat terhubung ke server Windows, Anda dapat meluncurkan klien Microsoft RDP menggunakan perintah
mstsc.exe
atau dengan menelusuriRemote Desktop Manager
dari menu Start. Dengan demikian, Anda dapat menghubungkan bastion host ke instance compute lain pada VPC yang sama meskipun kedua instance tersebut tidak memiliki koneksi internet langsung.
Setelah Anda menghubungkan ke mesin vm-securehost
melalui RDP, konfigurasi Internet Information Server.
-
Setelah Anda login ke mesin vm-securehost, buka jendela manajemen server. Dan
Configure the local server
untuk Menambahkan peran dan fitur. -
Gunakan
Role-based or feature-based installation
untuk menambahkan peranWeb Server (IIS)
.
Klik Check my progress untuk memverifikasi tujuan.
Pemecahan masalah
- Tidak dapat terhubung ke Bastion host: Pastikan Anda telah mencoba menghubungkan ke alamat eksternal bastion host. Jika alamatnya sudah benar, mungkin penyebab Anda tidak dapat terhubung ke bastion host adalah aturan firewall yang tidak dikonfigurasi dengan benar untuk mengizinkan traffic TCP port 3389 (RDP) dari internet, atau alamat IP publik sistem Anda, ke antarmuka jaringan pada bastion host yang memiliki alamat eksternal. Atau, Anda mungkin memiliki masalah saat menghubungkan melalui RDP jika jaringan Anda tidak mengizinkan akses ke alamat internet melalui RDP. Jika semua hal lainnya tidak bermasalah, sebaiknya bicarakan dengan pemilik jaringan tempat Anda menghubungkan internet untuk membuka port 3389 atau hubungkan melalui jaringan yang berbeda.
- Tidak dapat terhubung ke Host yang Aman dari Bastion host: Jika Anda berhasil terhubung ke bastion host, tetapi tidak dapat membuat koneksi RDP internal menggunakan aplikasi Microsoft Remote Desktop Connection, periksa apakah kedua instance sudah terhubung ke jaringan VPC yang sama atau belum.
Selamat!
Selamat! Dalam lab ini, Anda telah mengonfigurasi lingkungan server Windows aman menggunakan bastion host dan jaringan VPC. Anda juga telah mengonfigurasi aturan firewall agar HTTP dapat mengakses virtual machine, dan men-deploy Microsoft Internet Information Server di mesin yang aman.
Sertifikasi dan pelatihan Google Cloud
...membantu Anda mengoptimalkan teknologi Google Cloud. Kelas kami mencakup keterampilan teknis dan praktik terbaik untuk membantu Anda memahami dengan cepat dan melanjutkan proses pembelajaran. Kami menawarkan pelatihan tingkat dasar hingga lanjutan dengan opsi on demand, live, dan virtual untuk menyesuaikan dengan jadwal Anda yang sibuk. Sertifikasi membantu Anda memvalidasi dan membuktikan keterampilan serta keahlian Anda dalam teknologi Google Cloud.
Manual Terakhir Diperbarui pada 9 Februari 2024
Lab Terakhir Diuji pada 6 Desember 2023
Hak cipta 2024 Google LLC Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.