GSP303

Présentation

Dans un atelier challenge, vous devez suivre un scénario et effectuer une série de tâches. Aucune instruction détaillée n'est fournie : vous devez utiliser les compétences acquises au cours des ateliers du cours correspondant pour déterminer comment procéder par vous-même. Vous saurez si vous avez exécuté correctement les différentes tâches grâce au score calculé automatiquement (affiché sur cette page).

Lorsque vous participez à un atelier challenge, vous n'étudiez pas de nouveaux concepts Google Cloud. Vous allez approfondir les compétences précédemment acquises. Par exemple, vous devrez modifier les valeurs par défaut ou encore examiner des messages d'erreur pour corriger vous-même les problèmes.

Pour atteindre le score de 100 %, vous devez mener à bien l'ensemble des tâches dans le délai imparti.

Cet atelier est recommandé aux participants qui se préparent à l'examen de certification Google Cloud Certified Professional Cloud Architect. Êtes-vous prêt pour le challenge ?

Scénario du challenge

Votre entreprise a décidé de déployer de nouveaux services applicatifs dans le cloud, et vous êtes chargé de développer un framework sécurisé pour la gestion des services Windows qui seront déployés. Vous devez créer un nouvel environnement de réseau VPC pour les serveurs de production Windows sécurisés.

Dans un premier temps, les serveurs de production doivent être entièrement isolés des réseaux externes, et ne doivent pas être directement accessibles depuis Internet ni pouvoir s'y connecter directement. Pour configurer et gérer votre premier serveur dans cet environnement, vous devez aussi déployer un hôte bastion, ou serveur intermédiaire, accessible depuis Internet à l'aide du protocole RDP (Remote Desktop Protocol) de Microsoft. L'hôte bastion ne doit être accessible que via le protocole RDP sur Internet, et il ne doit pouvoir communiquer qu'avec les autres instances Compute appartenant au réseau VPC via le protocole RDP.

Par ailleurs, votre entreprise utilise un système de surveillance qui s'exécute à partir du réseau VPC par défaut. Toutes les instances Compute doivent donc avoir une deuxième interface réseau configurée pour autoriser uniquement les connexions internes au réseau VPC par défaut.

Votre challenge

Déployer une machine Windows sécurisée qui n'est pas configurée pour la communication externe à l'intérieur d'un nouveau sous-réseau VPC, puis déployer le serveur Microsoft Internet Information Services (IIS) sur cette machine sécurisée. Dans le cadre de cet atelier, toutes les ressources doivent être provisionnées dans la zone et la région suivantes :

• Région :
• Zone :

Tâches

Les principales tâches sont indiquées ci-dessous. Bonne chance !

• Créer un réseau VPC avec un sous-réseau unique
• Créer une règle de pare-feu qui autorise le trafic RDP externe vers le système d'hôte bastion
• Déployer deux serveurs Windows connectés à la fois au réseau VPC et au réseau par défaut
• Créer une machine virtuelle qui pointe vers le script de démarrage
• Configurer une règle de pare-feu pour autoriser l'accès HTTP à la machine virtuelle

Tâche 1 : Créer le réseau VPC

1. Créez un réseau VPC nommé securenetwork.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer le réseau VPC

2. Créez un sous-réseau VPC de securenetwork dans la région .

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer le sous-réseau VPC

3. Après avoir configuré le réseau et le sous-réseau, définissez une règle de pare-feu qui autorise le trafic RDP entrant (port TCP 3389) depuis Internet vers l'hôte bastion. Vous devez appliquer cette règle à l'hôte approprié à l'aide de tags réseau.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer la règle de pare-feu

Tâche 2 : Déployer vos instances Windows et configurer les mots de passe utilisateur

1. Déployez une instance de serveur Windows 2016 (Serveur avec Expérience utilisateur) appelée vm-securehost et comportant deux interfaces réseau dans la zone .
   • Configurez la première interface réseau de manière à autoriser exclusivement les connexions internes au nouveau sous-réseau VPC.
   • Configurez la deuxième interface réseau de manière à autoriser exclusivement les connexions internes au réseau VPC par défaut. Il s'agit du serveur sécurisé.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer l'instance vm-securehost

2. Déployez une deuxième instance de serveur Windows 2016 (Serveur avec Expérience utilisateur) appelée vm-bastionhost et comportant deux interfaces réseau dans la zone .
   • Configurez la première interface réseau pour qu'elle se connecte au nouveau sous-réseau VPC avec une adresse publique éphémère (adresse NAT externe).
   • Configurez la deuxième interface réseau de manière à autoriser exclusivement les connexions internes au réseau VPC par défaut. Il s'agit de l'hôte bastion, ou serveur intermédiaire.

Cliquez sur Vérifier ma progression pour valider l'objectif. Créer l'instance vm-bastionhost

Configurer les mots de passe utilisateur

1. Une fois vos instances Windows configurées, créez un compte utilisateur et réinitialisez les mots de passe Windows pour la connexion à chacune d'elles.

REMARQUE : Copiez le nom d'utilisateur et le mot de passe des deux instances pour une utilisation ultérieure.

2. La commande gcloud suivante crée un utilisateur appelé app-admin et réinitialise le mot de passe pour un hôte appelé vm-bastionhost et situé dans la zone  :

gcloud compute reset-windows-password vm-bastionhost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}

3. La commande gcloud suivante crée un utilisateur appelé app-admin et réinitialise le mot de passe pour un hôte appelé vm-securehost et situé dans la zone  :

gcloud compute reset-windows-password vm-securehost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}

• Vous pouvez également forcer la réinitialisation du mot de passe à partir de la console Compute Engine. Vous devrez répéter cette étape pour le deuxième hôte, car les identifiants de connexion à cette instance seront différents.

Tâche 3 : Établir la connexion à l'hôte sécurisé et configurer le serveur Internet Information Services

1. Pour établir la connexion à l'hôte sécurisé, vous devez commencer par vous connecter via RDP à l'hôte bastion. Vous pouvez établir une connexion à une instance Windows sur Compute Engine avec une adresse externe via RDP, en utilisant le bouton RDP situé à côté des instances Windows sur la page récapitulative des instances Compute Engine.

2. Une fois connecté à l'hôte bastion via une session RDP, ouvrez une nouvelle session RDP dans cet hôte bastion pour vous connecter à l'adresse de réseau privé interne de l'hôte sécurisé.

3. Lorsque vous êtes connecté à un serveur Windows, vous pouvez lancer le client RDP Microsoft à l'aide de la commande mstsc.exe ou rechercher Remote Desktop Manager dans le menu Démarrer. Cela vous permet de vous connecter à partir de l'hôte bastion aux autres instances Compute du même réseau VPC même si ces instances ne possèdent pas elles-mêmes de connexion Internet directe.

Une fois connecté à la machine vm-securehost via RDP, configurez le serveur Internet Information Services.

4. Une fois connecté à la machine vm-securehost, ouvrez la fenêtre de gestion du serveur et configurez le serveur local pour ajouter des rôles et des fonctionnalités.

5. Utilisez l'installation basée sur un rôle ou une fonctionnalité pour ajouter le rôle Web Server (IIS) (Serveur Web (IIS)).

Cliquez sur Vérifier ma progression pour valider l'objectif. Configurer le logiciel du serveur Web IIS

Dépannage

• Connexion à l'hôte bastion impossible : vérifiez que vous essayez bien de vous connecter à l'adresse externe de l'hôte bastion. Si l'adresse est correcte, il est possible que vous ne puissiez pas vous connecter à l'hôte bastion lorsque la règle de pare-feu n'est pas configurée de manière à autoriser le trafic du port TCP 3389 (RDP) depuis Internet, ou l'adresse IP publique de votre propre système, vers l'interface réseau de l'hôte bastion possédant une adresse externe. Enfin, il est possible que vous rencontriez des difficultés pour vous connecter via RDP si votre propre réseau n'autorise pas l'accès aux adresses Internet via RDP. Si tout le reste a été correctement configuré, vous devrez vous adresser au propriétaire du réseau que vous utilisez pour vous connecter à Internet, afin qu'il ouvre le port 3389, ou vous devrez vous connecter avec un autre réseau.
• Connexion à l'hôte sécurisé à partir de l'hôte bastion impossible : si vous parvenez à vous connecter à l'hôte bastion, mais ne parvenez pas à établir la connexion RDP interne à l'aide de la connexion Bureau à distance de Microsoft, vérifiez que les deux instances sont connectées au même réseau VPC.

Félicitations !

Félicitations ! Dans cet atelier, vous avez configuré un environnement serveur Windows sécurisé à l'aide d'un hôte bastion et d'un réseau VPC. Vous avez également configuré une règle de pare-feu pour autoriser l'accès HTTP à la machine virtuelle, et vous avez déployé le serveur Microsoft Internet Information Services sur la machine sécurisée.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 9 février 2024

Dernier test de l'atelier : 6 décembre 2023

Copyright 2025 Google LLC. Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.