Implementa Apache Guamole en GKE y Cloud SQL

Last reviewed 2023-11-15 UTC

En este documento, se describe cómo implementar Apache Gacamole en GKE y Cloud SQL.

Estas instrucciones están destinadas a ingenieros y administradores de servidores que deseen alojar Guacamole en GKE y Cloud SQL. En el documento, se supone que estás familiarizado con la implementación de cargas de trabajo en Kubernetes y Cloud SQL para MySQL. Recomendamos que estés familiarizado con Identity and Access Management y Google Compute Engine.

Arquitectura

En el siguiente diagrama, se muestra cómo se configura un balanceador de cargas de Google Cloud con IAP para proteger una instancia del cliente de Guacamole que se ejecuta en GKE:

Arquitectura para el balanceador de cargas de Google Cloud configurado con IAP.

El cliente de Guacamole se conecta al servicio de backend de guacd, que ejecuta conexiones de escritorio remoto a una o más VMs de Compute Engine. Las secuencias de comandos también implementan una instancia de Cloud SQL para administrar los datos de configuración de Guacamole.

Para obtener más detalles, consulta Apache Gacamole en GKE y Cloud SQL.

Objetivos

Implementar la infraestructura mediante Terraform.
Crear una base de datos de Guacamole en Cloud SQL.
Implementar Guacamole en un clúster de GKE mediante Skaffold.
Probar una conexión a una VM a través de Guacamole

Costos

En este documento, usarás los siguientes componentes facturables de Google Cloud:

Para generar una estimación de costos en función del uso previsto, usa la calculadora de precios. Es posible que los usuarios nuevos de Google Cloud califiquen para obtener una prueba gratuita.

Cuando finalices las tareas que se describen en este documento, puedes borrar los recursos que creaste para evitar que continúe la facturación. Para obtener más información, consulta Cómo realizar una limpieza.

Antes de comenzar

En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

Nota: Si no planeas conservar los recursos que creaste durante este procedimiento, crea un proyecto en lugar de seleccionar uno existente. Cuando termines, puedes borrar el proyecto y quitar todos los recursos asociados con él.

Ir al selector de proyectos
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
Habilita las API de Resource Manager, Service Usage, Artifact Registry, and Compute Engine.
Habilita las API
En la consola de Google Cloud, activa Cloud Shell.

Activar Cloud Shell

Implementa la infraestructura

En esta sección, usarás Terraform para implementar los siguientes recursos:

Nube privada virtual
Una regla de firewall
Un clúster de GKE
Un repositorio de Artifact Registry
Cloud SQL para MySQL
Una VM para administrar la base de datos de MySQL
Cuentas de servicio

La configuración de Terraform también permite el uso de IAP en tu proyecto.

En Cloud Shell, clona el repositorio de GitHub:

git clone https://github.com/GoogleCloudPlatform/guacamole-on-gcp.git

Implementa la infraestructura requerida mediante Terraform.

cd guacamole-on-gcp/tf-infra
unset GOOGLE_CLOUD_QUOTA_PROJECT
terraform init -upgrade
terraform apply

Sigue las instrucciones para ingresar tu ID del proyecto de Google Cloud.
Para aprobar la solicitud de Terraform a fin de implementar recursos en tu proyecto, ingresa yes.

La implementación de todos los recursos tarda varios minutos en completarse.

Implementa la base de datos de Guacamole

En esta sección, crearás las bases de datos y las tablas de Guacamole en Cloud SQL para MySQL y las propagarás con la información del usuario administrador.

En Cloud Shell, configura las variables de entorno y busca la contraseña raíz de la base de datos:
```
cd ..
source bin/read-tf-output.sh
```
Toma nota de la contraseña raíz de la base de datos. lo necesitarás en los siguientes pasos.

La secuencia de comandos lee las variables de salida de la ejecución de Terraform y establece las siguientes variables de entorno, que se usan durante este procedimiento:
```
CLOUD_SQL_INSTANCE
ZONE
REGION
DB_MGMT_VM
PROJECT_ID
GKE_CLUSTER
GUACAMOLE_URL
SUBNET
```
Copia los archivos de secuencia de comandos create-schema.sql y insert-admin-user.sql a la VM de administración de bases de datos y, luego, conéctate a la VM:
```
gcloud compute scp \
    --tunnel-through-iap \
    --zone=$ZONE \
    create-schema.sql \
    insert-admin-user.sql \
    $DB_MGMT_VM:

gcloud compute ssh $DB_MGMT_VM \
    --zone=$ZONE \
    --tunnel-through-iap
```
Ahora se estableció una sesión de consola con la VM de administración de bases de datos a través de Cloud Shell.

Instala las herramientas cliente MySQL:

sudo apt-get update
sudo apt-get install -y mariadb-client

Conectarte a Cloud SQL y crear la base de datos Cuando se te solicite una contraseña, usa la contraseña raíz que anotaste antes en esta sección.

export CLOUD_SQL_PRIVATE_IP=$(curl http://metadata.google.internal/computeMetadata/v1/instance/attributes/cloud_sql_ip -H "Metadata-Flavor: Google")
mysql -h $CLOUD_SQL_PRIVATE_IP -u root -p

Otorga permisos de usuario de base de datos a la base de datos recién creada:

CREATE DATABASE guacamole;
USE guacamole;
GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole.* TO 'guac-db-user';
FLUSH PRIVILEGES;
SOURCE create-schema.sql;
SOURCE insert-admin-user.sql;
quit

Una vez que los comandos de MySQL terminen de ejecutarse, sal de la sesión de SSH de la VM:
```
exit
```

Implementa Guacamole en GKE mediante Skaffold

En esta sección, implementarás la aplicación de Guacamole en el clúster de GKE mediante Skaffold. Skaffold controla el flujo de trabajo para compilar, enviar e implementar las imágenes de Guacamole en los clústeres de GKE.

En Cloud Shell, implementa la configuración de GKE mediante terraform:
```
cd tf-k8s
terraform init -upgrade
terraform apply -parallelism=1
```

Obtén credenciales para el clúster de GKE:

gcloud container clusters get-credentials \
    --region $REGION $GKE_CLUSTER

Ejecuta Skaffold desde la raíz del repositorio de Git clonado:
```
cd ..
skaffold --default-repo $REGION-docker.pkg.dev/$PROJECT_ID/guac-repo run
```
La herramienta Skaffold compila imágenes de contenedor para Guacamole a través de Google Cloud Build (la línea de comandos incluye una marca que especifica a qué repositorio se envían las imágenes). La herramienta también ejecuta un paso kustomize para generar Kubernetes Config y Secrets en función del resultado de la ejecución de Terraform.

Verifica que se haya aprovisionado el certificado:

kubectl get -w managedcertificates/guacamole-client-cert \
-n guacamole \
-o jsonpath="{.spec.domains[0]} is {.status.domainStatus[0].status}"

El aprovisionamiento del certificado puede tomar hasta 60 minutos en completarse.

Una vez que se aprovisione el certificado, puedes visitar tu URL en un navegador.
1. Observa la URL de la salida de Terraform:
```
echo $GUACAMOLE_URL
```
2. En una ventana del navegador, ingresa la URL que obtuviste en el paso anterior.
3. Cuando IAP te solicite, accede con tus credenciales de Google.
  
  Después de acceder, accedes a Guacamole con privilegios administrativos, según la secuencia de comandos insert-admin-user.sql que ejecutaste antes en este procedimiento.
  
  Nota: La configuración de OAuth que creó este procedimiento se establece como interna. Esto significa que debes usar una Cuenta de Google en la misma organización que usaste para implementar Guacamole en este procedimiento, de lo contrario, recibirás un error HTTP/403 org_internal. Si tu sesión de navegador ya accedió a una Cuenta de Google diferente, intenta conectarte a la URL en una pestaña del modo incógnito.

Ahora puedes agregar usuarios adicionales según su dirección de correo electrónico a través de la interfaz de usuario de Guacamole. Para obtener más detalles, consulta Administración en la documentación de Guacamole. Estos usuarios adicionales también requieren permisos a través de Google IAM, con el rol IAP-secured Web App User.

Prueba una conexión a una VM

Después de implementar, configurar y acceder correctamente a Guacamole, puedes crear una VM de Windows y conectarte a la VM recién creada a través de Guacamole.

Crea una VM

En Cloud Shell, crea una VM de Windows para probar las conexiones:

export TEST_VM=windows-vm
gcloud compute instances create $TEST_VM \
    --project=$PROJECT_ID \
    --zone=$ZONE \
    --machine-type=n1-standard-1 \
    --subnet=$SUBNET \
    --no-address \
    --image-family=windows-2019 \
    --image-project=windows-cloud \
    --boot-disk-size=50GB \
    --boot-disk-type=pd-standard \
    —-shielded-secure-boot

Después de ejecutar el comando, es posible que debas esperar unos minutos para que Windows termine de inicializarse antes de continuar con el siguiente paso.

Restablece la contraseña de Windows para la VM que acabas de crear:

gcloud compute reset-windows-password $TEST_VM \
    --user=admin \
    --zone=$ZONE

Agrega una conexión nueva a la VM

En una ventana del navegador, ingresa la URL de la instancia de Guacamole desde Implementar Guacamole en GKE mediante Skaffold y, luego, accede a través de IAP.
En la IU de Guacamole, haz clic en tu nombre de usuario y, luego, en Configuración.
En la pestaña Conexiones, haz clic en Conexión nueva.
1. En el campo Nombre, ingresa un nombre para la conexión.
2. En el campo Ubicación, ingresa la ubicación de la conexión.
3. En la lista desplegable Protocolo, selecciona RDP.
En Red, en el campo Nombre de host, ingresa el nombre de la VM que creaste, windows-vm.

El DNS del proyecto resuelve este nombre de host a la dirección IP interna de la instancia.

Nota: Si decides crear tu VM en una zona diferente a la de tu clúster de GKE de Guacamole, debes calificar por completo el nombre de la VM. Para obtener detalles, consulta DNS interno.
En la sección Autenticación, configure los siguientes campos:
1. Nombre de usuario: admin
2. Contraseña: la contraseña que obtuviste cuando restableciste la contraseña de la VM.
3. Modo de seguridad: NLA (autenticación a nivel de la red)
4. Ignorar certificado de servidor: selecciona la casilla de verificación
  
  Las VMs de Windows de Compute Engine se aprovisionan con un certificado autofirmado para servicios de escritorio remoto, por lo que debes indicarle a Guacamole que ignore los problemas de validación de certificados.
Haz clic en Guardar.
Haz clic en su nombre de usuario y, luego, seleccione Página principal.
Haz clic en la conexión que acabas de crear para probar la conectividad. Después de unos segundos, deberías ver el escritorio de la instancia de VM.

Para obtener más detalles sobre cómo configurar Guacamole, consulta el Manual de Apache Guacamole.

Realiza una limpieza

Para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Borra el proyecto

Precaución: Borrar un proyecto tiene estas consecuencias:

Se borra todo en el proyecto. Si usaste un proyecto existente para las tareas de este documento, cuando lo borres, también se borrará cualquier otro trabajo que hayas realizado en el proyecto.
Se pierden los ID personalizados de proyectos. Cuando creaste este proyecto, es posible que hayas creado un ID del proyecto personalizado que desees utilizar en el futuro. Para conservar las URL que utilizan el ID del proyecto, como una URL appspot.com, borra los recursos seleccionados dentro del proyecto en lugar de borrar todo el proyecto.

Si planeas explorar varias infraestructuras, instructivos y guías de inicio rápido la reutilización de proyectos puede ayudarte a evitar exceder los límites de las cuotas del proyecto.

En la consola de Google Cloud, ve a la página Administrar recursos.
Ir a Administrar recursos
En la lista de proyectos, elige el proyecto que quieres borrar y haz clic en Borrar.
En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.

Borra los recursos nuevos

Como alternativa a la eliminación del proyecto completo, puedes borrar los recursos individuales creados durante este procedimiento. Ten en cuenta que la configuración de la pantalla de consentimiento de OAuth no se puede quitar de un proyecto, solo se puede modificar.

En Cloud Shell, usa Terraform para borrar los recursos:

cd ~/guacamole-on-gcp/tf-k8s
terraform destroy

cd ~/guacamole-on-gcp/tf-infra
terraform destroy

gcloud compute instances delete $TEST_VM –-zone=$ZONE

¿Qué sigue?

Revisa la guía de GKE sobre Endurece la seguridad del clúster.
Revisa Encripta secretos en la capa de la aplicación para aprender a aumentar la seguridad para secretos, como las credenciales de base de datos y las credenciales de OAuth.
Revisa las Condiciones de IAM para aprender a proporcionar un control más detallado sobre el acceso de los usuarios a Guacamole.
Revisa el proveedor de autenticación personalizado en el repositorio de GitHub para obtener más información sobre cómo funciona la integración de IAP.
Para obtener más información sobre las arquitecturas de referencia, los diagramas y las prácticas recomendadas, explora Cloud Architecture Center.