Implementa Apache Guamole en GKE y Cloud SQL

Last reviewed 2025-01-09 UTC

En este documento, se describe cómo implementar Apache Gacamole en GKE y Cloud SQL.

Estas instrucciones están destinadas a ingenieros y administradores de servidores que deseen alojar Guacamole en GKE y Cloud SQL. En el documento, se supone que estás familiarizado con la implementación de cargas de trabajo en Kubernetes y Cloud SQL para MySQL. Recomendamos que estés familiarizado con Identity and Access Management y Google Compute Engine.

En el siguiente diagrama, se muestra cómo se configura un balanceador de cargas Google Cloud con IAP para proteger una instancia del cliente de Guacamole que se ejecuta en GKE:

Arquitectura para el balanceador de cargas Google Cloud configurado con IAP

El cliente de Guacamole se conecta al servicio de backend de guacd, que ejecuta conexiones de escritorio remoto a una o más VMs de Compute Engine. Las secuencias de comandos también implementan una instancia de Cloud SQL para administrar los datos de configuración de Guacamole.

Para obtener más detalles, consulta Apache Gacamole en GKE y Cloud SQL.

Objetivos

  • Implementar la infraestructura mediante Terraform.
  • Crear una base de datos de Guacamole en Cloud SQL.
  • Implementar Guacamole en un clúster de GKE mediante Skaffold.
  • Prueba una conexión a una VM a través de Guacamole.

Costos

En este documento, usarás los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud califiquen para obtener una prueba gratuita.

Cuando finalices las tareas que se describen en este documento, puedes borrar los recursos que creaste para evitar que continúe la facturación. Para obtener más información, consulta Cómo realizar una limpieza.

Antes de comenzar

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  2. Make sure that billing is enabled for your Google Cloud project.

  3. Enable the Resource Manager, Service Usage, Artifact Registry, and Compute Engine APIs.

    Enable the APIs

  4. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

Implementa la infraestructura

En esta sección, usarás Terraform para implementar los siguientes recursos:

  • Nube privada virtual
  • Una regla de firewall
  • Un clúster de GKE
  • Un repositorio de Artifact Registry
  • Cloud SQL para MySQL
  • Una VM para administrar la base de datos de MySQL
  • Cuentas de servicio

La configuración de Terraform también habilita el uso de IAP en tu proyecto.

  1. En Cloud Shell, clona el repositorio de GitHub:

    git clone https://github.com/GoogleCloudPlatform/guacamole-on-gcp.git
    
  2. Implementa la infraestructura requerida mediante Terraform.

    cd guacamole-on-gcp/tf-infra
    unset GOOGLE_CLOUD_QUOTA_PROJECT
    terraform init -upgrade
    terraform apply
    
  3. Sigue las instrucciones para ingresar tu ID del proyecto de Google Cloud.

  4. Para aprobar la solicitud de Terraform a fin de implementar recursos en tu proyecto, ingresa yes.

    La implementación de todos los recursos tarda varios minutos en completarse.

Implementa la base de datos de Guacamole

En esta sección, crearás las bases de datos y las tablas de Guacamole en Cloud SQL para MySQL y las propagarás con la información del usuario administrador.

  1. En Cloud Shell, configura las variables de entorno y busca la contraseña raíz de la base de datos:

    cd ..
    source bin/read-tf-output.sh
    

    Anota la contraseña raíz de la base de datos, ya que la necesitarás en los siguientes pasos.

    La secuencia de comandos lee las variables de salida de la ejecución de Terraform y establece las siguientes variables de entorno, que se usan en todo este procedimiento:

    CLOUD_SQL_INSTANCE
    ZONE
    REGION
    DB_MGMT_VM
    PROJECT_ID
    GKE_CLUSTER
    GUACAMOLE_URL
    SUBNET
    
  2. Copia los archivos de secuencia de comandos create-schema.sql y insert-admin-user.sql a la VM de administración de la base de datos y, luego, conéctate a la VM:

    gcloud compute scp \
        --tunnel-through-iap \
        --zone=$ZONE \
        create-schema.sql \
        insert-admin-user.sql \
        $DB_MGMT_VM:
    
    gcloud compute ssh $DB_MGMT_VM \
        --zone=$ZONE \
        --tunnel-through-iap
    

    Ahora se estableció una sesión de consola con la VM de administración de bases de datos a través de Cloud Shell.

  3. Instala las herramientas cliente MySQL:

    sudo apt-get update
    sudo apt-get install -y mariadb-client
    
  4. Conectarte a Cloud SQL y crear la base de datos Cuando se te solicite una contraseña, usa la contraseña raíz que anotaste antes en esta sección.

    export CLOUD_SQL_PRIVATE_IP=$(curl http://metadata.google.internal/computeMetadata/v1/instance/attributes/cloud_sql_ip -H "Metadata-Flavor: Google")
    mysql -h $CLOUD_SQL_PRIVATE_IP -u root -p
    
  5. Otorga permisos de usuario de la base de datos a la base de datos recién creada:

    CREATE DATABASE guacamole;
    USE guacamole;
    GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole.* TO 'guac-db-user';
    FLUSH PRIVILEGES;
    SOURCE create-schema.sql;
    SOURCE insert-admin-user.sql;
    quit
    
  6. Después de que se terminen de ejecutar los comandos de MySQL, sal de la sesión SSH de la VM:

    exit
    

Implementa Guacamole en GKE con Skaffold

En esta sección, implementarás la aplicación de Guacamole en el clúster de GKE con Skaffold. Skaffold controla el flujo de trabajo para compilar, enviar e implementar las imágenes de Guacamole en los clústeres de GKE.

  1. En Cloud Shell, implementa la configuración de GKE mediante terraform:

    cd tf-k8s
    terraform init -upgrade
    terraform apply -parallelism=1
    
  2. Obtén las credenciales del clúster de GKE:

    gcloud container clusters get-credentials \
        --region $REGION $GKE_CLUSTER
    
  3. Ejecuta Skaffold desde la raíz del repositorio de Git clonado:

    cd ..
    skaffold --default-repo $REGION-docker.pkg.dev/$PROJECT_ID/guac-repo run
    

    La herramienta Skaffold compila imágenes de contenedor para Guacamole a través de Google Cloud Build (la línea de comandos incluye una marca que especifica a qué repositorio se envían las imágenes). La herramienta también ejecuta un paso kustomize para generar ConfigMaps y Secrets de Kubernetes según el resultado de la ejecución de Terraform.

  4. Verifica que se aprovisionó el certificado:

    kubectl get -w managedcertificates/guacamole-client-cert \
    -n guacamole \
    -o jsonpath="{.spec.domains[0]} is {.status.domainStatus[0].status}"
    

    El aprovisionamiento del certificado puede tomar hasta 60 minutos en completarse.

  5. Una vez que se aprovisione el certificado, podrás visitar tu URL en un navegador.

    1. Consulta la URL de la salida de Terraform:

      echo $GUACAMOLE_URL
      
    2. En una ventana del navegador, ingresa la URL que obtuviste en el paso anterior.

    3. Cuando se te solicite, accede con tus credenciales de Google.

      Después de acceder, lo harás a Guacamole con privilegios administrativos, según la secuencia de comandos insert-admin-user.sql que ejecutaste anteriormente en este procedimiento.

Ahora puedes agregar usuarios adicionales según su dirección de correo electrónico a través de la interfaz de usuario de Guacamole. Para obtener más información, consulta Administración en la documentación de Guacamole. Estos usuarios adicionales también requieren permisos a través de Google IAM, con el rol IAP-secured Web App User.

Prueba una conexión a una VM

Después de implementar, configurar y acceder correctamente a Guacamole, puedes crear una VM de Windows y conectarte a ella a través de Guacamole.

Crea una VM

  1. En Cloud Shell, crea una VM de Windows para probar las conexiones:

    export TEST_VM=windows-vm
    gcloud compute instances create $TEST_VM \
        --project=$PROJECT_ID \
        --zone=$ZONE \
        --machine-type=n1-standard-1 \
        --subnet=$SUBNET \
        --no-address \
        --image-family=windows-2019 \
        --image-project=windows-cloud \
        --boot-disk-size=50GB \
        --boot-disk-type=pd-standard \
        —-shielded-secure-boot
    

    Después de ejecutar el comando, es posible que debas esperar unos minutos para que Windows termine de inicializarse antes de continuar con el siguiente paso.

  2. Restablece la contraseña de Windows de la VM que acabas de crear:

    gcloud compute reset-windows-password $TEST_VM \
        --user=admin \
        --zone=$ZONE
    

Agrega una conexión nueva a la VM

  1. En una ventana del navegador, ingresa la URL de la instancia de Guacamole de Implementa Guacamole en GKE con Skaffold y, luego, accede a través de IAP.
  2. En la IU de Guacamole, haz clic en tu nombre de usuario y, luego, en Configuración.
  3. En la pestaña Conexiones, haz clic en Nueva conexión.
    1. En el campo Nombre, ingresa un nombre para la conexión.
    2. En el campo Ubicación, ingresa la ubicación de la conexión.
    3. En la lista desplegable Protocolo, selecciona RDP.
  4. En Red, en el campo Nombre de host, ingresa el nombre de la VM que creaste, windows-vm.

    El DNS del proyecto resuelve este nombre de host a la dirección IP interna de la instancia.

  5. En la sección Autenticación, configure los siguientes campos:

    1. Nombre de usuario: admin
    2. Contraseña: la contraseña que obtuviste cuando restableciste la contraseña de la VM.
    3. Modo de seguridad: NLA (autenticación a nivel de red)
    4. Ignorar certificado del servidor: Selecciona la casilla de verificación.

      Las VMs de Windows de Compute Engine se aprovisionan con un certificado autofirmado para servicios de escritorio remoto, por lo que debes indicarle a Guacamole que ignore los problemas de validación de certificados.

  6. Haz clic en Guardar.

  7. Haz clic en su nombre de usuario y, luego, seleccione Página principal.

  8. Haz clic en la conexión que acabas de crear para probar la conectividad. Después de unos segundos, deberías ver el escritorio de la instancia de la VM.

Para obtener más detalles sobre la configuración de Guacamole, consulta el Manual de Apache Guacamole.

Limpia

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este procedimiento, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Borra el proyecto

  1. In the Google Cloud console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

Borra los recursos nuevos

Como alternativa a la eliminación del proyecto completo, puedes borrar los recursos individuales que se crearon durante este procedimiento. Ten en cuenta que la configuración de la pantalla de consentimiento de OAuth no se puede quitar de un proyecto, solo modificar.

  • En Cloud Shell, usa Terraform para borrar los recursos:

    cd ~/guacamole-on-gcp/tf-k8s
    terraform destroy
    
    cd ~/guacamole-on-gcp/tf-infra
    terraform destroy
    
    gcloud compute instances delete $TEST_VM –-zone=$ZONE
    

¿Qué sigue?

  • Revisa la guía de GKE sobre Endurecer la seguridad de tu clúster.
  • Revisa Encripta secretos en la capa de aplicación para obtener información sobre cómo mejorar la seguridad de los secretos, como las credenciales de la base de datos y las credenciales de OAuth.
  • Revisa las condiciones de IAM para obtener información sobre cómo proporcionar un control más detallado sobre el acceso de los usuarios a Guacamole.
  • Para obtener más información sobre cómo funciona la integración de IAP, revisa el proveedor de autenticación personalizado en el repositorio de GitHub.
  • Para obtener más información sobre las arquitecturas de referencia, los diagramas y las prácticas recomendadas, explora Cloud Architecture Center.

Colaboradores

Autor: Richard Grime | Arquitecto principal, sector público del Reino Unido

Otros colaboradores: