Apache Guacamole su GKE e Cloud SQL

Last reviewed 2025-01-09 UTC

Apache Guacamole offre un modo completamente basato su browser per accedere ai computer remoti tramite il protocollo Remote Desktop (RDP), Virtual Network Computing (VNC) e Secure Shell Protocol (SSH) su macchine virtuali (VM) Compute Engine. Identity-Aware Proxy (IAP) fornisce accesso a Guacamole con una maggiore sicurezza.

Questo documento sull'architettura di riferimento è rivolto agli amministratori e agli ingegneri di server che vogliono ospitare Apache Guacamole su Google Kubernetes Engine (GKE) e Cloud SQL. Questo documento presuppone che tu abbia dimestichezza con il deployment delle attività su Kubernetes e Cloud SQL per MySQL. Questo documento presuppone inoltre che tu abbia familiarità con Identity and Access Management e Google Compute Engine.

Architettura

Il seguente diagramma mostra come un Google Cloud bilanciatore del carico viene configurato con IAP per proteggere un'istanza del client Guacamole in esecuzione in GKE:

Architettura per il bilanciatore del carico Google Cloud configurato con IAP.

Questa architettura include i seguenti componenti:

  • Google Cloud Bilanciatore del carico:distribuisce il traffico su più istanze, riducendo il rischio di problemi di prestazioni.
  • IAP:offre una maggiore sicurezza tramite un'estensione di autenticazione personalizzata.
  • Client Guacamole: viene eseguito in GKE e si connette al servizio di backend guacd.
  • Servizio di backend Guacd: gestisce le connessioni di desktop remoto a una o più VM Compute Engine.
  • Database Guacamole in Cloud SQL:gestisce i dati di configurazione per Guacamole.
  • Istanze Compute Engine:VM ospitate sull'infrastruttura di Google.

Note sul layout

Le seguenti linee guida possono aiutarti a sviluppare un'architettura che soddisfi i requisiti della tua organizzazione in termini di sicurezza, costi e prestazioni.

Sicurezza e conformità

Questa architettura utilizza l'IAP per contribuire a proteggere l'accesso al servizio Guacamole. Gli utenti autorizzati accedono all'istanza Guacamole tramite un'estensione di autenticazione IAP personalizzata. Per maggiori dettagli, consulta l'estensione personalizzata su GitHub.

Quando aggiungi altri utenti (tramite l'interfaccia utente di Guacamole), questi utenti aggiuntivi devono disporre delle autorizzazioni tramite IAM, con il ruolo IAP-secured Web App User.

La configurazione OAuth creata da questo deployment è impostata su internal. A causa di questa impostazione, devi utilizzare un Account Google appartenente alla stessa organizzazione di quello che utilizzi per eseguire il deployment di Guacamole. Se utilizzi un Account Google esterno all'organizzazione, ricevi un errore HTTP/403 org_internal.

Prestazioni

Il bilanciatore del caricoGoogle Cloud e GKE distribuiscono il traffico su più istanze, il che contribuisce a ridurre il rischio di problemi di prestazioni.

Deployment

Per eseguire il deployment di questa architettura, consulta Eseguire il deployment di Apache Guacamole su GKE e Cloud SQL.

Passaggi successivi

Collaboratori

Autore: Richard Grime | Principal Architect, UK Public Sector

Altri collaboratori: