Halaman ini diterjemahkan oleh Cloud Translation API.

Men-deploy Apache Guacamole di GKE dan Cloud SQL

Last reviewed 2023-11-15 UTC

Dokumen ini menjelaskan cara men-deploy Apache Guacamole di GKE dan Cloud SQL.

Petunjuk ini ditujukan untuk administrator server dan engineer yang ingin menghosting Guacamole di GKE dan Cloud SQL. Dokumen ini mengasumsikan bahwa Anda telah memahami penerapan beban kerja ke Kubernetes dan Cloud SQL untuk MySQL. Sebaiknya, Anda juga memahami Identity and Access Management dan Google Compute Engine.

Arsitektur

Diagram berikut menunjukkan cara load balancer Google Cloud dikonfigurasi dengan IAP, untuk melindungi instance klien Guacamole yang berjalan di GKE:

Arsitektur untuk load balancer Google Cloud yang dikonfigurasi dengan IAP.

Klien Guacamole terhubung ke layanan backend guacd, yang memaketkan koneksi desktop jarak jauh ke satu atau beberapa VM Compute Engine. Skrip ini juga men-deploy instance Cloud SQL untuk mengelola data konfigurasi Guacamole.

Untuk mengetahui detailnya, lihat Apache Guacamole di GKE dan Cloud SQL.

Tujuan

Men-deploy infrastruktur menggunakan Terraform.
Buat database Guacamole di Cloud SQL.
Deploy Guacamole ke Cluster GKE menggunakan Skaffold.
Menguji koneksi ke VM melalui Guacamole.

Biaya

Dalam dokumen ini, Anda akan menggunakan komponen Google Cloud yang dapat ditagih berikut:

Untuk membuat perkiraan biaya berdasarkan proyeksi penggunaan Anda, gunakan kalkulator harga. Pengguna baru Google Cloud mungkin memenuhi syarat untuk mendapatkan uji coba gratis.

Setelah menyelesaikan tugas yang dijelaskan dalam dokumen ini, Anda dapat menghindari penagihan berkelanjutan dengan menghapus resource yang Anda buat. Untuk mengetahui informasi selengkapnya, lihat Pembersihan.

Sebelum memulai

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Make sure that billing is enabled for your Google Cloud project.
Enable the Resource Manager, Service Usage, Artifact Registry, and Compute Engine APIs.
Enable the APIs
In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

Men-deploy infrastruktur

Di bagian ini, Anda akan menggunakan Terraform untuk men-deploy resource berikut:

Virtual Private Cloud
Aturan firewall
Cluster GKE
Repositori Artifact Registry
Cloud SQL untuk MySQL
VM untuk mengelola database MySQL
Akun layanan

Konfigurasi Terraform juga memungkinkan penggunaan IAP di project Anda.

Di Cloud Shell, buat clone repositori GitHub:

git clone https://github.com/GoogleCloudPlatform/guacamole-on-gcp.git

Deploy infrastruktur yang diperlukan menggunakan Terraform:

cd guacamole-on-gcp/tf-infra
unset GOOGLE_CLOUD_QUOTA_PROJECT
terraform init -upgrade
terraform apply

Ikuti petunjuk untuk memasukkan project ID Google Cloud Anda.
Untuk menyetujui permintaan Terraform guna men-deploy resource ke project Anda, masukkan yes.

Men-deploy semua resource memerlukan waktu beberapa menit.

Men-deploy database Guacamole

Di bagian ini, Anda akan membuat database dan tabel Guacamole di Cloud SQL untuk MySQL, serta mengisi database dengan informasi pengguna administrator.

Di Cloud Shell, tetapkan variabel lingkungan dan temukan sandi root database:
```
cd ..
source bin/read-tf-output.sh
```
Catat sandi root database; Anda memerlukannya di langkah-langkah berikut.

Skrip ini membaca variabel output dari operasi Terraform dan menetapkan variabel lingkungan berikut, yang digunakan di seluruh prosedur ini:
```
CLOUD_SQL_INSTANCE
ZONE
REGION
DB_MGMT_VM
PROJECT_ID
GKE_CLUSTER
GUACAMOLE_URL
SUBNET
```

Salin file skrip create-schema.sql dan insert-admin-user.sql ke VM pengelolaan database, lalu hubungkan ke VM:

gcloud compute scp \
    --tunnel-through-iap \
    --zone=$ZONE \
    create-schema.sql \
    insert-admin-user.sql \
    $DB_MGMT_VM:

gcloud compute ssh $DB_MGMT_VM \
    --zone=$ZONE \
    --tunnel-through-iap

Sesi konsol ke VM Pengelolaan Database melalui Cloud Shell kini telah dibuat.

Instal alat klien MySQL:

sudo apt-get update
sudo apt-get install -y mariadb-client

Hubungkan ke Cloud SQL dan buat database. Saat diminta untuk memasukkan sandi, gunakan sandi root yang Anda catat sebelumnya di bagian ini.

export CLOUD_SQL_PRIVATE_IP=$(curl http://metadata.google.internal/computeMetadata/v1/instance/attributes/cloud_sql_ip -H "Metadata-Flavor: Google")
mysql -h $CLOUD_SQL_PRIVATE_IP -u root -p

Berikan izin pengguna database ke database yang baru dibuat:

CREATE DATABASE guacamole;
USE guacamole;
GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole.* TO 'guac-db-user';
FLUSH PRIVILEGES;
SOURCE create-schema.sql;
SOURCE insert-admin-user.sql;
quit

Setelah perintah MySQL selesai berjalan, keluar dari sesi SSH VM:
```
exit
```

Men-deploy Guacamole ke GKE menggunakan Skaffold

Di bagian ini, Anda akan men-deploy aplikasi Guacamole ke cluster GKE menggunakan Skaffold. Skaffold menangani alur kerja untuk mem-build, mengirim, dan men-deploy image Guacamole ke cluster GKE.

Di Cloud Shell, deploy konfigurasi GKE menggunakan terraform:

cd tf-k8s
terraform init -upgrade
terraform apply -parallelism=1

Dapatkan kredensial untuk cluster GKE:

gcloud container clusters get-credentials \
    --region $REGION $GKE_CLUSTER

Jalankan Skaffold dari root repositori git yang di-clone:
```
cd ..
skaffold --default-repo $REGION-docker.pkg.dev/$PROJECT_ID/guac-repo run
```
Alat Skaffold mem-build image container untuk Guacamole melalui Google Cloud Build (command line menyertakan flag yang menentukan repositori tempat image akan dikirimkan). Alat ini juga menjalankan langkah kustomize untuk membuat ConfigMap dan Secret Kubernetes berdasarkan output dari eksekusi Terraform.

Pastikan bahwa sertifikat telah disediakan:

kubectl get -w managedcertificates/guacamole-client-cert \
-n guacamole \
-o jsonpath="{.spec.domains[0]} is {.status.domainStatus[0].status}"

Penyediaan sertifikat dapat memerlukan waktu hingga 60 menit.

Setelah sertifikat disediakan, Anda dapat membuka URL di browser.
1. Lihat URL dari output terraform:
```
echo $GUACAMOLE_URL
```
2. Di jendela browser, masukkan URL yang Anda dapatkan di langkah sebelumnya.
3. Saat IAP meminta Anda, login dengan kredensial Google Anda.
  
  Setelah login, Anda akan login ke Guacamole dengan hak istimewa administratif, berdasarkan skrip insert-admin-user.sql yang Anda jalankan sebelumnya dalam prosedur ini.
  
  Catatan: Konfigurasi OAuth yang dibuat oleh prosedur ini disetel ke internal. Artinya, Anda harus menggunakan Akun Google di organisasi yang sama dengan yang Anda gunakan untuk men-deploy Guacamole dalam prosedur ini; jika tidak, Anda akan menerima HTTP/403 org_internal error. Jika sesi browser Anda sudah login ke Akun Google lain, coba hubungkan ke URL di tab mode samaran.

Sekarang, Anda dapat menambahkan pengguna tambahan berdasarkan alamat email mereka melalui antarmuka pengguna Guacamole. Untuk mengetahui detailnya, lihat Administrasi dalam dokumentasi Guacamole. Pengguna tambahan ini juga memerlukan izin melalui Google IAM, dengan peran IAP-secured Web App User.

Menguji koneksi ke VM

Setelah men-deploy, mengonfigurasi, dan berhasil login ke Guacamole, Anda dapat membuat VM Windows dan terhubung ke VM yang baru dibuat melalui Guacamole.

Membuat VM

Di Cloud Shell, buat VM Windows untuk menguji koneksi ke:

export TEST_VM=windows-vm
gcloud compute instances create $TEST_VM \
    --project=$PROJECT_ID \
    --zone=$ZONE \
    --machine-type=n1-standard-1 \
    --subnet=$SUBNET \
    --no-address \
    --image-family=windows-2019 \
    --image-project=windows-cloud \
    --boot-disk-size=50GB \
    --boot-disk-type=pd-standard \
    —-shielded-secure-boot

Setelah menjalankan perintah, Anda mungkin perlu menunggu beberapa menit hingga Windows selesai melakukan inisialisasi, sebelum melanjutkan ke langkah berikutnya.

Reset sandi Windows untuk VM yang baru saja Anda buat:

gcloud compute reset-windows-password $TEST_VM \
    --user=admin \
    --zone=$ZONE

Menambahkan koneksi baru ke VM

Di jendela browser, masukkan URL instance Guacamole dari Men-deploy Guacamole ke GKE menggunakan Skaffold, lalu login melalui IAP.
Di UI Guacamole, klik nama pengguna Anda, lalu klik Settings.
Di tab Connections, klik New (Baru) Connection (Koneksi).
1. Di kolom Nama, masukkan nama untuk koneksi.
2. Di kolom Location (Lokasi), masukkan lokasi untuk koneksi.
3. Dari menu drop-down Protokol, pilih RDP.
Di kolom Network (Jaringan), di kolom Hostname, masukkan nama VM yang Anda buat, windows-vm.

DNS project Anda me-resolve nama host ini ke alamat IP internal instance.

Catatan: Jika memilih untuk membuat VM di zona yang berbeda dengan cluster GKE Guacamole, Anda harus sepenuhnya memenuhi syarat nama VM. Untuk mengetahui detailnya, lihat DNS Internal.
Di bagian Authentication (Autentikasi), tetapkan kolom berikut:
1. Username: admin
2. Sandi: sandi yang Anda dapatkan saat mereset sandi untuk VM
3. Mode keamanan: NLA (Autentikasi Tingkat Jaringan)
4. Abaikan sertifikat server: centang kotak
  
  VM Windows Compute Engine disediakan dengan sertifikat yang ditandatangani sendiri untuk Layanan Desktop Jarak Jauh, sehingga Anda perlu menginstruksikan Guacamole untuk mengabaikan masalah validasi sertifikat.
Klik Simpan.
Klik nama pengguna Anda, lalu pilih Beranda.
Klik koneksi yang baru saja Anda buat untuk menguji konektivitas. Setelah beberapa detik, Anda akan melihat desktop instance VM.

Untuk mengetahui detail selengkapnya tentang cara mengonfigurasi Guacamole, lihat Panduan Apache Guacamole.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam prosedur ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

Menghapus project

Perhatian: Menghapus project memiliki efek berikut:

Semua hal dalam project akan dihapus. Jika menggunakan project yang sudah ada untuk tugas dalam dokumen ini, saat Anda menghapusnya, pekerjaan lain yang telah Anda lakukan dalam project tersebut juga akan terhapus.
Project ID kustom hilang. Saat membuat project ini, Anda mungkin telah membuat project ID kustom yang ingin digunakan di masa mendatang. Untuk mempertahankan URL yang menggunakan project ID, seperti URL appspot.com, hapus resource yang dipilih di dalam project, bukan menghapus seluruh project.

Jika Anda berencana mempelajari beberapa arsitektur, tutorial atau panduan memulai, dengan menggunakan kembali project dapat membantu Anda agar tidak melampaui batas kuota project.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Menghapus resource baru

Selain menghapus seluruh project, Anda juga dapat menghapus resource individual yang dibuat selama prosedur ini. Perhatikan bahwa konfigurasi Layar Izin OAuth tidak dapat dihapus dari project, hanya diubah.

Di Cloud Shell, gunakan terraform untuk menghapus resource:

cd ~/guacamole-on-gcp/tf-k8s
terraform destroy

cd ~/guacamole-on-gcp/tf-infra
terraform destroy

gcloud compute instances delete $TEST_VM –-zone=$ZONE

Langkah berikutnya

Tinjau panduan GKE tentang Melakukan hardening pada keamanan cluster Anda.
Tinjau Mengenkripsi secret di lapisan aplikasi untuk mempelajari cara meningkatkan keamanan secret, seperti kredensial database dan kredensial OAuth.
Tinjau Kondisi IAM untuk mempelajari cara memberikan kontrol yang lebih terperinci atas akses pengguna ke Guacamole.
Pahami lebih lanjut cara kerja integrasi IAP dengan meninjau penyedia autentikasi kustom di repositori GitHub.
Untuk arsitektur referensi, diagram, dan praktik terbaik lainnya jelajahi Pusat Arsitektur Cloud.