Men-deploy Apache Guacamole di GKE dan Cloud SQL

Last reviewed 2023-11-15 UTC

Dokumen ini menjelaskan cara men-deploy Apache Guacamole di GKE dan Cloud SQL.

Petunjuk ini ditujukan bagi administrator server dan engineer yang ingin menghosting Guacamole di GKE dan Cloud SQL. Dokumen ini mengasumsikan bahwa Anda sudah memahami deployment workload ke Kubernetes dan Cloud SQL untuk MySQL. Sebaiknya, Anda juga memahami Identity and Access Management dan Google Compute Engine.

Arsitektur

Diagram berikut menunjukkan cara load balancer Google Cloud dikonfigurasi dengan IAP, untuk melindungi instance klien Guacamole yang berjalan di GKE:

Arsitektur untuk load balancer Google Cloud yang dikonfigurasi dengan IAP.

Klien Guacamole terhubung ke layanan backend guacd, yang menjadi perantara untuk koneksi desktop jarak jauh ke satu atau beberapa VM Compute Engine. Skrip tersebut juga men-deploy instance Cloud SQL untuk mengelola data konfigurasi untuk Guacamole.

Untuk mengetahui detailnya, lihat Apache Guacamole di GKE dan Cloud SQL.

Tujuan

Men-deploy infrastruktur menggunakan Terraform.
Membuat database Guacamole di Cloud SQL.
Deploy Guacamole ke Cluster GKE menggunakan Skaffold.
Menguji koneksi ke VM melalui Guacamole.

Biaya

Dalam dokumen ini, Anda menggunakan komponen Google Cloud yang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna baru Google Cloud mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

Catatan: Jika tidak berencana untuk menyimpan resource yang Anda buat dalam prosedur ini, buatlah project, bukan memilih project yang ada. Setelah menyelesaikan langkah ini, Anda dapat menghapus project, yang menghapus semua resource yang terkait dengan project ini.

Buka pemilih project
Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.
Enable the Resource Manager, Service Usage, Artifact Registry, and Compute Engine APIs.
Enable the APIs
Di konsol Google Cloud, aktifkan Cloud Shell.

Aktifkan Cloud Shell

Men-deploy infrastruktur

Di bagian ini, Anda menggunakan Terraform untuk men-deploy resource berikut:

Virtual Private Cloud
Aturan firewall
Cluster GKE
Repositori Artifact Registry
Cloud SQL untuk MySQL
VM untuk mengelola database MySQL
Akun layanan

Konfigurasi Terraform juga memungkinkan penggunaan IAP di project Anda.

Di Cloud Shell, buat clone repositori GitHub:

git clone https://github.com/GoogleCloudPlatform/guacamole-on-gcp.git

Deploy infrastruktur yang diperlukan dengan menggunakan Terraform:

cd guacamole-on-gcp/tf-infra
unset GOOGLE_CLOUD_QUOTA_PROJECT
terraform init -upgrade
terraform apply

Ikuti petunjuk untuk memasukkan ID project Google Cloud Anda.
Untuk menyetujui permintaan Terraform guna men-deploy resource ke project Anda, masukkan yes.

Proses deploy semua resource memerlukan waktu beberapa menit.

Men-deploy database Guacamole

Di bagian ini, Anda akan membuat database dan tabel Guacamole di Cloud SQL untuk MySQL, serta mengisi database dengan informasi pengguna administrator.

Di Cloud Shell, tetapkan variabel lingkungan dan temukan sandi root database:
```
cd ..
source bin/read-tf-output.sh
```
Catat sandi root database; Anda memerlukannya pada langkah-langkah berikut.

Skrip ini membaca variabel output dari proses Terraform dan menetapkan variabel lingkungan berikut, yang digunakan di seluruh prosedur ini:
```
CLOUD_SQL_INSTANCE
ZONE
REGION
DB_MGMT_VM
PROJECT_ID
GKE_CLUSTER
GUACAMOLE_URL
SUBNET
```

Salin file skrip create-schema.sql dan insert-admin-user.sql ke VM pengelolaan database, lalu hubungkan ke VM:

gcloud compute scp \
    --tunnel-through-iap \
    --zone=$ZONE \
    create-schema.sql \
    insert-admin-user.sql \
    $DB_MGMT_VM:

gcloud compute ssh $DB_MGMT_VM \
    --zone=$ZONE \
    --tunnel-through-iap

Sesi konsol untuk VM Pengelolaan Database melalui Cloud Shell kini telah dibuat.

Instal alat klien MySQL:

sudo apt-get update
sudo apt-get install -y mariadb-client

Hubungkan ke Cloud SQL dan buat database. Saat diminta memasukkan sandi, gunakan sandi root yang Anda catat sebelumnya di bagian ini.

export CLOUD_SQL_PRIVATE_IP=$(curl http://metadata.google.internal/computeMetadata/v1/instance/attributes/cloud_sql_ip -H "Metadata-Flavor: Google")
mysql -h $CLOUD_SQL_PRIVATE_IP -u root -p

Berikan izin kepada pengguna database melalui database yang baru dibuat:

CREATE DATABASE guacamole;
USE guacamole;
GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole.* TO 'guac-db-user';
FLUSH PRIVILEGES;
SOURCE create-schema.sql;
SOURCE insert-admin-user.sql;
quit

Setelah perintah MySQL selesai berjalan, keluar dari sesi SSH VM:
```
exit
```

Men-deploy Guacamole ke GKE menggunakan Skaffold

Di bagian ini, Anda akan men-deploy aplikasi Guacamole ke cluster GKE menggunakan Skaffold. Skaffold menangani alur kerja untuk mem-build, mengirim, dan men-deploy image Guacamole ke cluster GKE.

Di Cloud Shell, deploy konfigurasi GKE menggunakan terraform:

cd tf-k8s
terraform init -upgrade
terraform apply -parallelism=1

Dapatkan kredensial untuk cluster GKE:

gcloud container clusters get-credentials \
    --region $REGION $GKE_CLUSTER

Jalankan Skaffold dari root repositori git yang di-clone:
```
cd ..
skaffold --default-repo $REGION-docker.pkg.dev/$PROJECT_ID/guac-repo run
```
Alat Skaffold mem-build image container untuk Guacamole melalui Google Cloud Build (command line menyertakan flag yang menentukan repositori mana yang menjadi tujuan pengiriman image). Alat ini juga menjalankan langkah kustomize untuk membuat ConfigMaps dan Secret Kubernetes berdasarkan output eksekusi Terraform.

Pastikan sertifikat disediakan:

kubectl get -w managedcertificates/guacamole-client-cert \
-n guacamole \
-o jsonpath="{.spec.domains[0]} is {.status.domainStatus[0].status}"

Penyediaan sertifikat dapat memerlukan waktu hingga 60 menit.

Setelah sertifikat disediakan, Anda dapat membuka URL Anda di browser.
1. Lihat URL dari output terraform:
```
echo $GUACAMOLE_URL
```
2. Di jendela browser, masukkan URL yang Anda dapatkan di langkah sebelumnya.
3. Saat IAP meminta Anda, login dengan kredensial Google.
  
  Setelah login, Anda akan login ke Guacamole dengan hak istimewa administratif, berdasarkan skrip insert-admin-user.sql yang Anda jalankan sebelumnya dalam prosedur ini.
  
  Catatan: Konfigurasi OAuth yang dibuat oleh prosedur ini disetel ke internal. Artinya, Anda harus menggunakan Akun Google dalam organisasi yang sama dengan yang Anda gunakan untuk men-deploy Guacamole dalam prosedur ini. Jika tidak, Anda akan menerima error HTTP/403 org_internal. Jika sesi browser Anda telah login ke Akun Google yang berbeda, coba hubungkan ke URL di tab mode samaran.

Sekarang, Anda dapat menambahkan pengguna tambahan berdasarkan alamat email mereka melalui antarmuka pengguna Guacamole. Untuk mengetahui detailnya, lihat Administrasi di dokumentasi Guacamole. Pengguna tambahan ini juga memerlukan izin melalui Google IAM, dengan peran IAP-secured Web App User.

Menguji koneksi ke VM

Setelah men-deploy, mengonfigurasi, dan login ke Guacamole, Anda dapat membuat VM Windows dan terhubung ke VM yang baru dibuat melalui Guacamole.

Membuat VM

Di Cloud Shell, buat VM Windows untuk menguji koneksi ke:

export TEST_VM=windows-vm
gcloud compute instances create $TEST_VM \
    --project=$PROJECT_ID \
    --zone=$ZONE \
    --machine-type=n1-standard-1 \
    --subnet=$SUBNET \
    --no-address \
    --image-family=windows-2019 \
    --image-project=windows-cloud \
    --boot-disk-size=50GB \
    --boot-disk-type=pd-standard \
    —-shielded-secure-boot

Setelah menjalankan perintah, Anda mungkin perlu menunggu beberapa menit hingga Windows selesai melakukan inisialisasi, sebelum melanjutkan ke langkah berikutnya.

Reset sandi Windows untuk VM yang baru saja Anda buat:

gcloud compute reset-windows-password $TEST_VM \
    --user=admin \
    --zone=$ZONE

Menambahkan koneksi baru ke VM

Di jendela browser, masukkan URL instance Guacamole dari Deploy Guacamole ke GKE menggunakan Skaffold, lalu login melalui IAP.
Di UI Guacamole, klik nama pengguna, lalu klik Setelan.
Di tab Connections, klik New (Baru) Connection (Koneksi).
1. Di kolom Nama, masukkan nama untuk koneksi.
2. Di kolom Location (Lokasi), masukkan lokasi untuk koneksi.
3. Dari menu drop-down Protocol, pilih RDP.
Di kolom Network (Jaringan), di kolom Hostname, masukkan nama VM yang Anda buat, windows-vm.

DNS project Anda akan me-resolve nama host ini ke alamat IP internal instance.

Catatan: Jika memilih untuk membuat VM di zona yang berbeda dengan cluster GKE Guacamole, Anda harus sepenuhnya memenuhi syarat nama VM. Untuk mengetahui detailnya, lihat DNS Internal.
Di bagian Authentication (Autentikasi), tetapkan kolom berikut:
1. Username: admin
2. Sandi: sandi yang Anda dapatkan saat mereset sandi untuk VM
3. Mode keamanan: NLA (Autentikasi Tingkat Jaringan)
4. Abaikan sertifikat server: centang kotak
  
  VM Windows Compute Engine disediakan dengan sertifikat yang ditandatangani sendiri untuk Layanan Desktop Jarak Jauh, sehingga Anda perlu menginstruksikan Guacamole agar mengabaikan masalah validasi sertifikat.
Klik Simpan.
Klik nama pengguna Anda, lalu pilih Beranda.
Klik koneksi yang baru saja Anda buat untuk menguji konektivitas. Setelah beberapa detik, Anda akan melihat desktop instance VM.

Untuk detail selengkapnya tentang cara mengonfigurasi Guacamole, lihat Panduan Apache Guacamole.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam prosedur ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

Menghapus project

Perhatian: Menghapus project memiliki efek berikut:

Semua hal dalam project akan dihapus. Jika menggunakan project yang sudah ada untuk tugas dalam dokumen ini, saat Anda menghapusnya, pekerjaan lain yang telah Anda lakukan dalam project tersebut juga akan terhapus.
Project ID kustom hilang. Saat membuat project ini, Anda mungkin telah membuat project ID kustom yang ingin digunakan di masa mendatang. Untuk mempertahankan URL yang menggunakan project ID, seperti URL appspot.com, hapus resource yang dipilih di dalam project, bukan menghapus seluruh project.

Jika Anda berencana mempelajari berbagai arsitektur, tutorial, atau panduan memulai, menggunakan kembali project dapat membantu agar Anda tidak melampaui batas kuota project.

Di konsol Google Cloud, buka halaman Manage resource.
Buka Manage resource
Pada daftar project, pilih project yang ingin Anda hapus, lalu klik Delete.
Pada dialog, ketik project ID, lalu klik Shut down untuk menghapus project.

Menghapus referensi baru

Selain menghapus seluruh project, Anda dapat menghapus resource individual yang dibuat selama prosedur ini. Perlu diperhatikan bahwa konfigurasi Layar Izin OAuth tidak dapat dihapus dari project, hanya dapat diubah.

Di Cloud Shell, gunakan terraform untuk menghapus resource:

cd ~/guacamole-on-gcp/tf-k8s
terraform destroy

cd ~/guacamole-on-gcp/tf-infra
terraform destroy

gcloud compute instances delete $TEST_VM –-zone=$ZONE

Langkah selanjutnya

Tinjau panduan GKE tentang Melakukan hardening pada keamanan cluster Anda.
Tinjau Enkripsi secret di lapisan aplikasi untuk mempelajari cara meningkatkan keamanan untuk secret, seperti kredensial database dan kredensial OAuth.
Tinjau Kondisi IAM untuk mempelajari cara memberikan kontrol yang lebih terperinci atas akses pengguna ke Guacamole.
Pahami lebih lanjut cara kerja integrasi IAP dengan meninjau penyedia autentikasi kustom di repositori GitHub.
Untuk arsitektur referensi, diagram, dan praktik terbaik lainnya jelajahi Pusat Arsitektur Cloud.