Implantar o Apache Guacamole no GKE e no Cloud SQL

Last reviewed 2023-11-15 UTC

Neste documento, descrevemos como implantar o Apache Guacamole no GKE e no Cloud SQL.

Estas instruções são destinadas a administradores e engenheiros de servidores que querem hospedar o Guacamole no GKE e no Cloud SQL. O documento pressupõe que você já conheça a implantação de cargas de trabalho no Kubernetes e no Cloud SQL para MySQL. Recomendamos que você também esteja familiarizado com o Identity and Access Management e o Google Compute Engine.

Arquitetura

O diagrama a seguir mostra como um balanceador de carga do Google Cloud é configurado com o IAP para proteger uma instância do cliente Guacamole em execução no GKE:

Arquitetura para o balanceador de carga do Google Cloud configurado com o IAP.

O cliente Guacamole se conecta ao serviço de back-end guacd, que intermedia as conexões da área de trabalho remota com uma ou mais VMs do Compute Engine. Os scripts também implantam uma instância do Cloud SQL para gerenciar dados de configuração do Guacamole.

Veja mais detalhes em Apache Guacamole no GKE e Cloud SQL.

Objetivos

Implantar a infraestrutura usando o Terraform.
Criar um banco de dados do Guacamole no Cloud SQL.
Implantar o Guacamole em um cluster do GKE usando o Skaffold.
Testar uma conexão com uma VM usando o Guacamole.

Custos

Neste documento, você usará os seguintes componentes faturáveis do Google Cloud:

Para gerar uma estimativa de custo baseada na projeção de uso deste tutorial, use a calculadora de preços. Novos usuários do Google Cloud podem estar qualificados para uma avaliação gratuita.

Ao concluir as tarefas descritas neste documento, é possível evitar o faturamento contínuo excluindo os recursos criados. Saiba mais em Limpeza.

Antes de começar

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Make sure that billing is enabled for your Google Cloud project.
Enable the Resource Manager, Service Usage, Artifact Registry, and Compute Engine APIs.
Enable the APIs
In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

Implante a infraestrutura

Nesta seção, você usará o Terraform para implantar os seguintes recursos:

Nuvem privada virtual
uma regra de firewall
Um cluster do GKE
Um repositório do Artifact Registry
Cloud SQL para MySQL
Uma VM para gerenciar o banco de dados MySQL
Contas de serviço

A configuração do Terraform também permite o uso do IAP no seu projeto.

No Cloud Shell, clone o repositório do GitHub.

git clone https://github.com/GoogleCloudPlatform/guacamole-on-gcp.git

Implante a infraestrutura necessária usando o Terraform:

cd guacamole-on-gcp/tf-infra
unset GOOGLE_CLOUD_QUOTA_PROJECT
terraform init -upgrade
terraform apply

Siga as instruções para inserir o ID do projeto do Google Cloud.
Para aprovar a solicitação do Terraform para implantar recursos no projeto, insira yes.

A implantação de todos os recursos leva alguns minutos.

Implantar o banco de dados do Guacamole

Nesta seção, você cria o banco de dados e as tabelas do Guacamole no Cloud SQL para MySQL e preenche o banco de dados com as informações de usuário do administrador.

No Cloud Shell, defina variáveis de ambiente e encontre a senha raiz do banco de dados:
```
cd ..
source bin/read-tf-output.sh
```
Anote a senha raiz do banco de dados. você precisará dele nas etapas a seguir.

O script lê variáveis de saída da execução do Terraform e define as seguintes variáveis de ambiente, que são usadas ao longo deste procedimento:
```
CLOUD_SQL_INSTANCE
ZONE
REGION
DB_MGMT_VM
PROJECT_ID
GKE_CLUSTER
GUACAMOLE_URL
SUBNET
```
Copie os arquivos de script create-schema.sql e insert-admin-user.sql para a VM de gerenciamento do banco de dados e conecte-se à VM:
```
gcloud compute scp \
    --tunnel-through-iap \
    --zone=$ZONE \
    create-schema.sql \
    insert-admin-user.sql \
    $DB_MGMT_VM:

gcloud compute ssh $DB_MGMT_VM \
    --zone=$ZONE \
    --tunnel-through-iap
```
Uma sessão do console para a VM de gerenciamento de banco de dados por meio do Cloud Shell está estabelecida.

Instale as ferramentas de cliente do MySQL:

sudo apt-get update
sudo apt-get install -y mariadb-client

Conecte-se ao Cloud SQL e crie o banco de dados. Quando uma senha for solicitada, use a senha raiz que você anotou anteriormente nesta seção.

export CLOUD_SQL_PRIVATE_IP=$(curl http://metadata.google.internal/computeMetadata/v1/instance/attributes/cloud_sql_ip -H "Metadata-Flavor: Google")
mysql -h $CLOUD_SQL_PRIVATE_IP -u root -p

Conceda ao usuário o banco de dados recém-criado:

CREATE DATABASE guacamole;
USE guacamole;
GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole.* TO 'guac-db-user';
FLUSH PRIVILEGES;
SOURCE create-schema.sql;
SOURCE insert-admin-user.sql;
quit

Depois que os comandos do MySQL forem executados, saia da sessão SSH da VM:
```
exit
```

Implantar o Guacamole no GKE usando o Skaffold

Nesta seção, você implantará o aplicativo Guacamole no cluster do GKE usando o Skaffold. O Skaffold lida com o fluxo de trabalho para criar, enviar e implantar as imagens do Guacamole nos clusters do GKE.

No Cloud Shell, implante a configuração do GKE usando o Terraform:
```
cd tf-k8s
terraform init -upgrade
terraform apply -parallelism=1
```

Receba credenciais para o cluster do GKE:

gcloud container clusters get-credentials \
    --region $REGION $GKE_CLUSTER

Execute o Skaffold da raiz do repositório git clonado:
```
cd ..
skaffold --default-repo $REGION-docker.pkg.dev/$PROJECT_ID/guac-repo run
```
A ferramenta Skaffold cria imagens de contêiner para o Guacamole por meio do Google Cloud Build (a linha de comando inclui uma sinalização que especifica para qual repositório enviar as imagens). A ferramenta também executa uma etapa de kustomize para gerar ConfigMaps e Secrets do Kubernetes com base na saída da execução do Terraform.

Verifique se o certificado foi provisionado:

kubectl get -w managedcertificates/guacamole-client-cert \
-n guacamole \
-o jsonpath="{.spec.domains[0]} is {.status.domainStatus[0].status}"

O provisionamento do certificado pode levar até 60 minutos.

Depois que o certificado for provisionado, você poderá visitar seu URL em um navegador.
1. Veja o URL da saída do Terraform:
```
echo $GUACAMOLE_URL
```
2. Em uma janela do navegador, digite o URL da etapa anterior.
3. Quando solicitado pelo IAP, faça login com suas credenciais do Google.
  
  Depois de fazer login, você entra no Guacamole com privilégios administrativos, com base no script insert-admin-user.sql que executou anteriormente neste procedimento.
  
  Observação: a configuração do OAuth criada por esse procedimento é definida como internal. Isso significa que você precisa usar uma Conta do Google na mesma organização usada para implantar o Guacamole neste procedimento. Caso contrário, ocorrerá um erro HTTP/403 org_internal. Se a sessão do navegador já estiver conectada a outra Conta do Google, tente se conectar ao URL em uma guia no modo de navegação anônima.

Agora é possível adicionar outros usuários com base no endereço de e-mail deles na interface do usuário do Guacamole. Para mais detalhes, consulte Administração na documentação do Guacamole. Esses usuários adicionais também exigem permissões por meio do Google IAM, com o papel IAP-secured Web App User.

Testar uma conexão com uma VM

Depois de implantar, configurar e fazer login no Guacamole, é possível criar uma VM do Windows e se conectar à VM recém-criada pelo Guacamole.

Criar uma VM

No Cloud Shell, crie uma VM do Windows para testar as conexões:

export TEST_VM=windows-vm
gcloud compute instances create $TEST_VM \
    --project=$PROJECT_ID \
    --zone=$ZONE \
    --machine-type=n1-standard-1 \
    --subnet=$SUBNET \
    --no-address \
    --image-family=windows-2019 \
    --image-project=windows-cloud \
    --boot-disk-size=50GB \
    --boot-disk-type=pd-standard \
    —-shielded-secure-boot

Depois de executar o comando, talvez seja necessário aguardar alguns minutos para que o Windows conclua a inicialização antes de prosseguir para a próxima etapa.

Redefina a senha do Windows para a VM que você acabou de criar:

gcloud compute reset-windows-password $TEST_VM \
    --user=admin \
    --zone=$ZONE

Adicionar uma nova conexão à VM

Em uma janela do navegador, insira o URL da instância do Guacamole de Implantar Guacamole no GKE usando Skaffold e faça login pelo IAP.
Na IU do Guacamole, clique no seu nome de usuário e selecione Configurações.
Na guia Conexões, clique em Nova conexão.
1. No campo Nome, insira um nome para a rede.
2. No campo Local, digite o local da conexão.
3. Na lista suspensa Protocolo, selecione RDP.
Em Rede, no campo Nome do host, insira o nome da VM que você criou, windows-vm.

O DNS do projeto resolve esse nome do host para o endereço IP interno da instância.

Observação: se você escolher criar sua VM em uma zona diferente do cluster do GKE Guacamole, será necessário qualificar totalmente o nome da VM. Veja mais detalhes em DNS interno.
Na seção Autenticação, configure os seguintes campos:
1. Nome de usuário: admin
2. Senha: a senha que você recebeu ao redefinir a senha da VM
3. Modo de segurança: NLA (autenticação no nível da rede)
4. Ignorar certificado do servidor: marque a caixa de seleção
  
  As VMs do Windows do Compute Engine são provisionadas com um certificado autoassinado para os serviços de Área de trabalho remota. Portanto, você precisa instruir o Guacamole a ignorar problemas de validação de certificado.
Clique em Save.
Clique no seu nome de usuário e selecione Início.
Clique na conexão que você acabou de criar para testar a conectividade. Após alguns segundos, a área de trabalho da instância de VM será exibida.

Para mais detalhes sobre como configurar o Guacamole, consulte o Manual do Apache Guacamole.

Limpar

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados nesse procedimento, exclua o projeto que contém eles ou mantenha o projeto e exclua os recursos individuais.

Excluir o projeto

Cuidado: excluir um projeto tem os seguintes efeitos:

Tudo no projeto é excluído. Se você tiver usado um projeto existente para as tarefas neste documento, a exclusão dele incluirá a exclusão de quaisquer outros trabalhos feitos no projeto.
Os IDs do projeto personalizados são perdidos. Ao criar o projeto, você pode ter criado um código do projeto personalizado para ser usado no futuro. Para preservar os URLs que usam o ID do projeto, como um URL appspot.com, exclua recursos específicos do projeto, em vez de excluir o projeto inteiro.

Se você planeja passar por várias arquiteturas, tutoriais ou guias de início rápido, a reutilização de projetos pode evitar que você exceda os limites da cota do projeto.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Excluir os novos recursos

Como alternativa à exclusão de todo o projeto, é possível excluir os recursos individuais criados durante esse procedimento. Observe que a configuração da tela de permissão OAuth não pode ser removida de um projeto, apenas modificada.

No Cloud Shell, use o Terraform para excluir os recursos:

cd ~/guacamole-on-gcp/tf-k8s
terraform destroy

cd ~/guacamole-on-gcp/tf-infra
terraform destroy

gcloud compute instances delete $TEST_VM –-zone=$ZONE

A seguir

Consulte as orientações do GKE sobre Como melhorar a segurança do seu cluster.
Consulte Criptografar secrets na camada do aplicativo para saber como aumentar a segurança dos secrets, como credenciais de banco de dados e OAuth.
Analise as Condições do IAM para saber como fornecer controle mais granular sobre o acesso do usuário ao Guacamole.
Para saber mais sobre como a integração do IAP funciona, analise o provedor de autenticação personalizado no repositório do GitHub.
Para mais arquiteturas de referência, diagramas e práticas recomendadas, confira a Central de arquitetura do Cloud.