Verbindung zu Instanzen herstellen

Auf dieser Seite werden einige der gängigsten Methoden zum Herstellen einer Verbindung zu Linux- und Windows-Instanzen von Compute Engine beschrieben.

Weitere Möglichkeiten, eine Verbindung zu Instanzen herzustellen, werden in folgenden Themen vorgestellt:

Lesen Sie vor dem Herstellen einer Verbindung die folgenden Hinweise:

  • Sie müssen den Nutzerzugriff auf Ihre Instanz einrichten. Auf dieser Seite wird davon ausgegangen, dass Sie beim Erstellen der Instanz entweder gemäß der Kurzanleitung: Linux-VM verwenden oder der Kurzanleitung: Windows-VM verwenden vorgegangen sind und dabei auch den Standardnutzerzugriff erstellt haben. Folgen Sie mindestens einer dieser Kurzanleitungen vollständig, bevor Sie fortfahren.

    Weitere Informationen zum Verwalten des Nutzerzugriffs auf die Instanz finden Sie unter Zugriff auf Instanzen verwalten.

  • Bei Linux-Instanzen können Sie Ihre Hostschlüssel als Gastattribute auf Ihrer Instanz speichern. Weitere Informationen finden Sie unter Hostschlüssel speichern.

Mit Linux-Instanzen verbinden

Wenn Sie eine Verbindung zu Linux-Instanzen über die Google Cloud Platform Console oder das gcloud-Befehlszeilentool im SDK herstellen möchten, führen Sie die Schritte auf den nachstehenden Tabs aus:

Wenn diese grundlegenden SSH-Optionen für Sie nicht infrage kommen, müssen Sie möglicherweise über Drittanbietertools eine Verbindung zu Instanzen herstellen oder eine Verbindung zu Instanzen herstellen, die keine externe IP-Adresse haben.

Konsole

  1. Rufen Sie in der GCP Console die Seite VM-Instanzen auf.

    Zur Seite "VM-Instanzen"

  2. Klicken Sie in der Liste der VM-Instanzen in der Zeile der Instanz, zu der Sie eine Verbindung herstellen möchten, auf SSH.

    SSH-Schaltfläche neben dem Instanznamen.

gcloud

Mit dem Befehl gcloud compute ssh stellen Sie eine Verbindung zu Instanzen her, für die Sie eine Zugriffsberechtigung haben.

gcloud compute ssh --project [PROJECT_ID] --zone [ZONE] [INSTANCE_NAME]

Dabei gilt:

  • [PROJECT_ID] ist die ID des Projekts, das die Instanz enthält.
  • [ZONE] ist der Name der Zone, in der sich die Instanz befindet.
  • [INSTANCE_NAME] ist der Name der Instanz.

Wenn Sie Standardeigenschaften für das gcloud-Befehlszeilentool festgelegt haben, können Sie die Flags --project und --zone von diesem Befehl weglassen. Beispiel:

gcloud compute ssh [INSTANCE_NAME]

Nachdem Sie eine Verbindung hergestellt haben, führen Sie Befehle für die Linux-Instanz über das Terminal aus. Wenn Sie die Instanz nicht mehr benötigen, trennen Sie die Verbindung mit dem Befehl exit.

Speicherorte von SSH-Schlüsseln

In Compute Engine wird beim ersten Verbindungsaufbau ein SSH-Schlüsselpaar für Sie generiert und an einem der folgenden Orte gespeichert:

  • Standardmäßig wird der generierte Schlüssel von Compute Engine zu den Metadaten von Projekten oder Instanzen hinzugefügt.
  • Wenn im Konto die Verwendung von OS Login konfiguriert wurde, wird der generierte Schlüssel von Compute Engine im Nutzerkonto gespeichert.

Wenn Sie auf die in diesem Dokument beschriebene Weise eine Verbindung herstellen, brauchen Sie nicht zu wissen, wo Ihre SSH-Schlüssel gespeichert sind. Die Angabe des Speicherorts ist jedoch möglicherweise erforderlich, wenn Sie die Verbindung mit den alternativen oder erweiterten Methoden herstellen möchten, die unter Durch erweiterte Methoden mit Instanzen verbinden beschrieben sind.

Hostschlüssel speichern

Ein Hostschlüssel ist ein Schlüsselpaar, das einen bestimmten Host oder Computer identifiziert. Wenn Sie eine Verbindung zu einem Remote-Host herstellen, wird anhand des Hostschlüssels bestätigt, dass die Verbindung zum gewünschten Computer erfolgt.

Wenn Sie die Verbindung zu Ihren Linux-Instanzen mit gcloud compute ssh herstellen, können Sie Ihre Hostschlüssel als zusätzliche Sicherheitsebene als Gastattribute speichern.

Durch das Speichern von SSH-Hostschlüsseln als Gastattribute erhöhen Sie die Sicherheit der Verbindungen. Sie schützen sie vor Sicherheitslücken wie MITM-Angriffen (Man-in-the-Middle). Wenn beim ersten Start einer VM-Instanz Gastattribute aktiviert sind, werden die generierten Hostschlüssel in Compute Engine als Gastattribute gespeichert. Anhand der beim ersten Start gespeicherten Hostschlüssel werden anschließend in Compute Engine alle nachfolgenden Verbindungen zur VM-Instanz überprüft.

Unterstützte Betriebssysteme

Hostschlüssel können unter den folgenden Betriebssystemen als Gastattribute gespeichert werden:

  • Debian
  • Ubuntu
  • Red Hat Enterprise Linux (RHEL)
  • CentOS
  • SUSE Linux Enterprise Server (SLES)

Hostschlüssel können nur beim ersten Start einer VM-Instanz in Gastattribute geschrieben werden. Um die Hostschlüssel für die Gastattribute zu schreiben, müssen Sie vor dem ersten Start der VM-Instanz Gastattribute aktivieren.

Führen Sie die folgenden Schritte aus, um Hostschlüssel als Gastattribute zu speichern:

  1. Aktivieren Sie Gastattribute, bevor Sie die VM-Instanz zum ersten Mal starten. Sie können Gastattribute entweder während der Instanzerstellung für ausgewählte VM-Instanzen oder aber für Ihr gesamtes Projekt aktivieren. Wie Sie Gastattribute aktivieren, erfahren Sie unter Gastattribute auf der Instanz aktivieren.
  2. Stellen Sie mit gcloud compute SSH eine Verbindung zu Ihrer Instanz her.

    1. Prüfen Sie, ob Sie die neueste Version des gcloud-Befehlszeilentools haben:

      gcloud components update
      
    2. Stellen Sie eine Verbindung zur Instanz her.

      gcloud compute ssh --project [PROJECT_ID] --zone [ZONE] [INSTANCE_NAME]
      

      Dabei gilt:

      • [PROJECT_ID] ist die ID des Projekts, das die Instanz enthält.
      • [ZONE] ist der Name der Zone, in der sich die Instanz befindet.
      • [INSTANCE_NAME] ist der Name der Instanz.

      Wenn Sie Standardeigenschaften für das gcloud-Befehlszeilentool festgelegt haben, können Sie die Flags --project und --zone bei diesem Befehl weglassen. Beispiel:

      gcloud compute ssh [INSTANCE_NAME]
      
    3. Überprüfen Sie die Startmeldung. Unter einem Debian-Betriebssystem sehen Sie möglicherweise die folgende Meldung:

      Writing 3 keys to [YOUR_HOME_DIRECTORY]/.ssh/google_compute_known_hosts
      Linux host-key-2 4.9.0-9-amd64 #1 SMP Debian 4.9.168-1+deb9u3 (2019-06-16) x86_64
  3. Prüfen Sie, ob die Hostschlüssel gespeichert wurden.

Speicherung der Hostschlüssel als Gastattribute prüfen

Prüfen Sie anhand des seriellen Ports oder der Hostschlüsselwerte für die Instanz, ob Hostschlüssel als Gastattribute gespeichert sind.

Option 1: Seriellen Port prüfen

  1. Rufen Sie die Ausgabe des seriellen Ports auf.
  2. Wählen Sie Serieller Port 1 aus.
  3. Suchen Sie folgende Meldung:

    INFO Wrote ssh-rsa host key to guest attributes
    

    Wenn das Image ein unterstütztes Betriebssystem verwendet, aber Gastattribute vor dem ersten VM-Start nicht aktiviert wurden, wird möglicherweise die folgende Meldung angezeigt:

    Unable to write ssh-rsa host key to guest attributes
    

    Dies bedeutet, dass für diese Instanz Hostschlüssel nicht als Gastattribute gespeichert werden. Wenn Sie Hostschlüssel für zukünftig erstellte Instanzen speichern möchten, aktivieren Sie vor dem ersten Start der Instanz Gastattribute.

Option 2: Hostschlüsselwerte prüfen

Mit dem gcloud-Befehlszeilentool können Sie prüfen, ob SSH-Schlüssel in Gastattribute geschrieben werden.

 gcloud compute instances get-guest-attributes [INSTANCE_NAME] --query-path "hostkeys/" --zone [ZONE]

Dabei gilt:

  • [ZONE] ist der Name der Zone, in der sich die Instanz befindet.
  • [INSTANCE_NAME] ist der Name der Instanz.

Die Ausgabe kann etwa so aussehen:

NAMESPACE  KEY                  VALUE
hostkeys   ecdsa-sha2-nistp256  AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBBJAGpTm
                                V3mFxBTHK1NIu9a7kVQWaHsZVaFUsqF8cLxQRQ+N96/Djiiuz1tucHQ8vBTJI=
hostkeys   ssh-ed25519          AAAAC3NzaC1lZDI1NTE5AAAAIM/WYBn3jIEW5t3BZumx0X/Htm61J6S9FcU8L
hostkeys   ssh-rsa              AAAAB3NzaC1yc2EAAAADAQABAAABAQDU3jReR/MoSttlWYfauW6qEqS2dhe5
                                Zdd3guYk2H7ZyxblNuP56nOl/IMuniVmsFa9v8W6MExViu6G5Cy4iIesot09
                                1hsgkG0U7sbWrXM10PQ8pnpI3B5arplCiEMhRtXy64rlW3Nx156bLdcxv5l+
                                7Unu4IviKlY43uqqwSyTv+V8q4ThpQ9dNbk1Gg838+KzazljzHahtbIaE1rm
                                I0L1lUqKiKLSLKuBgrI2Y/WSuqvqGEz+bMH7Ri4ht+7sAwykph6FbOgKqoBI
                                hVWBo38/Na/gEuvtmgULUwK+xy9zWg9k8k/Qtihc6El9GD9y

Mit Windows-Instanzen verbinden

Sie können in der Google Cloud Console oder über eine grafische Benutzeroberfläche mit dem Remote Desktop Protocol (RDP) eine Verbindung zu Windows-Instanzen herstellen.

Remotedesktop

Bevor Sie eine Verbindung herstellen, müssen Sie ein Passwort für die Windows-Instanz erstellt haben, damit Sie es in den folgenden Schritten eingeben können:

Chrome Remote Desktop

Prüfen Sie vor dem Verbindungsaufbau über Chrome Remote Desktop, ob die folgenden Voraussetzungen erfüllt sind:

  • Die VM-Instanz hat eine öffentliche IP-Adresse.
  • Ihre Firewallregeln lassen eingehenden TCP-Traffic von der öffentlichen IP-Adresse Ihres Clients an die Instanz über Port 3389 zu.

So stellen Sie eine Verbindung über Chrome Remote Desktop her:

  1. Stellen Sie die Instanzverbindung wahlweise über Chrome RDP für die GCP oder Remote Desktop her. Eine Anleitung finden Sie auf den jeweiligen Tabs.

  2. Laden Sie Chrome auf die VM herunter und installieren Sie die Anwendung.

  3. Laden Sie Chrome Remote Desktop herunter und installieren Sie die Anwendung.

  4. Folgen Sie der Anleitung der Erweiterung, um die VM-Instanz als Host einzurichten.

  5. Trennen Sie die Verbindung zur Instanz.

  6. Führen Sie auf dem Computer, auf dem Sie über Chrome Remote Desktop eine Verbindung zur VM-Instanz verwenden möchten, den Download und die Installation von Chrome Remote Desktop durch.

  7. Achten Sie darauf, dass Sie sich in Chrome mit demselben Google-Konto angemeldet haben, das Sie bei der Installation von Chrome Remote Desktop auf der VM-Instanz verwendet haben.

  8. Die VM-Instanz sollte in der Liste mit den Remote-Geräten aufgeführt sein. Klicken Sie auf das Gerät, um eine Verbindung herzustellen.

Chrome RDP für GCP

Prüfen Sie vor dem Herstellen einer Verbindung mit Chrome RDP für die GCP, ob die folgenden Voraussetzungen erfüllt sind:

  • Die VM-Instanz hat eine öffentliche IP-Adresse.
  • Ihre Firewallregeln lassen eingehenden TCP-Traffic von der öffentlichen IP-Adresse Ihres Clients an die Instanz über Port 3389 zu.
  1. Installieren Sie Chrome RDP für die Google Cloud-Erweiterung.

  2. Rufen Sie in der Cloud Console die Seite "VM-Instanzen" auf und suchen Sie die Windows-Instanz, zu der Sie eine Verbindung herstellen möchten.

    Zur Seite "VM-Instanzen"

  3. Klicken Sie für die Instanz, zu der Sie eine Verbindung herstellen möchten, auf die Schaltfläche RDP. Die Chrome RDP-Erweiterung wird geöffnet.

  4. Geben Sie die Domain, Ihren Nutzernamen und Ihr Passwort ein und klicken Sie auf OK, um eine Verbindung herzustellen.

    Fenster zur Instanzerstellung mit den erforderlichen Optionen

    Wenn für Ihre Instanz keine Domain konfiguriert ist, können Sie das Feld Domain leer lassen.

  5. Wenn Sie dazu aufgefordert werden, klicken Sie auf Weiter, um das Zertifikat zu akzeptieren.

Remotedesktop

Prüfen Sie vor dem Herstellen einer Verbindung über einen Remote Desktop-Client, ob die folgenden Voraussetzungen erfüllt sind:

  • Ihre VM-Instanz hat eine öffentliche IP-Adresse. Außerdem lassen Ihre Firewallregeln eingehenden TCP-Traffic von der öffentlichen IP-Adresse Ihres Clients an die Instanz über Port 3389 zu.
  • Ihr lokales Netzwerk ist über VPN oder Cloud Interconnect mit Ihrer VPC verbunden. Außerdem lassen Ihre Firewallregeln eingehenden TCP-Traffic von der privaten IP-Adresse Ihres Clients zur Instanz über Port 3389 zu.

So stellen Sie eine Verbindung zu Microsoft Windows Remotedesktop her:

  1. Ermitteln Sie auf der Seite "VM-Instanzen" die IP-Adresse der Windows-Instanz.

    • Verwenden Sie die externe IP-Adresse, um eine Verbindung über das Internet herzustellen.
    • Verwenden Sie die interne IP-Adresse, um eine Verbindung über VPN oder Cloud Interconnect herzustellen.

    Zur Seite "VM-Instanzen"

    Suchen Sie alternativ die IP-Adresse. Führen Sie dazu im gcloud-Befehlszeilentool den Befehl instances list aus:

    gcloud compute instances list
    
  2. Öffnen Sie auf Ihrem Windows-Computer die Remotedesktopverbindung von Microsoft Windows.

    Das mstsc-Verbindungsfenster.

  3. Geben Sie in das Feld Computer die IP-Adresse ein. Klicken Sie auf Verbinden.

  4. Geben Sie Ihren Nutzernamen und Ihr Passwort ein. Klicken Sie dann auf OK, um die Verbindung herzustellen.

Sonstiges

Sie können auch über andere RDP-Clients, z. B. für Android, iOS und Mac entwickelte Clients, eine Verbindung zu Ihren Windows-VM-Instanzen herstellen.

Prüfen Sie vor dem Verbindungsaufbau, ob eine der folgenden Voraussetzungen erfüllt ist:

  • Ihre VM-Instanz hat eine öffentliche IP-Adresse. Außerdem lassen Ihre Firewallregeln eingehenden TCP-Traffic von der öffentlichen IP-Adresse Ihres Clients an die Instanz über Port 3389 zu.
  • Ihr lokales Netzwerk ist über VPN oder Cloud Interconnect mit Ihrer VPC verbunden. Außerdem lassen Ihre Firewallregeln eingehenden TCP-Traffic von der privaten IP-Adresse Ihres Clients zur Instanz über Port 3389 zu.

So stellen Sie eine Verbindung über andere RDP-Clients her:

  1. Ermitteln Sie auf der Seite "VM-Instanzen" die IP-Adresse der Windows-Instanz.

    • Verwenden Sie die externe IP-Adresse, um eine Verbindung über das Internet herzustellen.
    • Verwenden Sie die interne IP-Adresse, um eine Verbindung über VPN oder Cloud Interconnect herzustellen.

    Zur Seite "VM-Instanzen"

    Suchen Sie alternativ die IP-Adresse. Führen Sie dazu im gcloud-Befehlszeilentool den Befehl instances list aus:

    gcloud compute instances list
    
  2. Installieren Sie den unterstützten Client gemäß der Installationsanleitung des Clients.

  3. Stellen Sie mithilfe der IP-Adresse der Instanz eine Verbindung her und authentifizieren Sie sich mit Ihrem Nutzernamen und Passwort für die Instanz.

Eine Liste der offiziell unterstützten Clients finden Sie im Artikel Remotedesktop-Clients von Microsoft.

Wenn Sie Schwierigkeiten beim Herstellen einer Verbindung mit RDP haben, lesen Sie die Seite Fehlerbehebung bei RDP.

Spezielle Verwaltungskonsole

In diesem Abschnitt wird beschrieben, wie Sie über die interaktive serielle Konsole eine Verbindung zur speziellen Verwaltungskonsole (Special Administrative Console, SAC) der Windows-Instanz herstellen. Sie können die SAC für die Fehlerbehebung bei einer Windows-Instanz verwenden, wenn keine Verbindung über den Remotedesktop möglich ist.

Vor dem Verbindungsaufbau ist es wichtig, dass Sie ein Passwort für die Windows-Instanz erstellt und griffbereit haben.

Führen Sie die Schritte auf einem der folgenden Tabs aus, um über eine interaktive serielle Konsole eine Verbindung zur Windows-Instanz herzustellen:

Konsole

So stellen Sie eine Verbindung mit Ihrer Windows-Instanz mithilfe einer interaktiven seriellen Konsole über die Cloud Console her:

  1. Öffnen Sie in der Cloud Console die Seite "VM-Instanzen" und klicken Sie auf den Namen Ihrer Instanz. Die Detailseite der VM-Instanz wird geöffnet.

    Zur Seite "VM-Instanzen"

  2. Klicken Sie auf Bearbeiten. Wählen Sie unter Remote access (Remotezugriff) die Option Enable connecting to serial ports (Verbindung mit seriellen Ports aktivieren) aus. Dadurch wird die interaktive serielle Konsole für diese Instanz aktiviert.

    Bildschirmeinstellung zum Bearbeiten der Instanzdetails

    Wenn diese Einstellungen für alle Instanzen in Ihrem Projekt gelten sollen, können Sie alternativ benutzerdefinierte Metadaten für das gesamte Projekt festlegen.

    Weitere Informationen zum Aktualisieren von Instanzmetadaten finden Sie unter Metadaten einer Instanz speichern und abrufen.

  3. Klicken Sie auf Speichern und kehren Sie dann zum Anfang der Seite zurück.

  4. Klicken Sie unter Remotezugriff auf die Drop-down-Liste neben Mit serieller Konsole verbinden und wählen Sie Serieller Port 2 aus. Eine Windows Special Administrative Console (SAC, spezielle Verwaltungskonsole) wird geöffnet.

  5. Führen Sie an der Eingabeaufforderung SAC> den Befehl cmd aus, um einen neuen Kanal zu erstellen. SAC gibt den Kanalnamen zurück, z. B. Cmd001.

  6. Führen Sie ch -sn [CHANNEL_NAME] aus und drücken Sie eine beliebige Taste, um eine Verbindung zum Kanal herzustellen. Beispiel:

    SAC> cmd
    The Command Prompt session was successfully launched.
    SAC>
    EVENT:   A new channel has been created.  Use "ch -?" for channel help.
    Channel: Cmd0001
    SAC> ch -sn cmd0001
    Press any key to confirm connection to the channel.
    
  7. Geben Sie den Nutzernamen, die Domain und das Passwort der Instanz ein, zu der eine Verbindung hergestellt werden soll.

gcloud

So stellen Sie über das gcloud-Befehlszeilentool mithilfe einer interaktiven seriellen Konsole eine Verbindung zu Ihrer Windows-Instanz her:

  1. Laden Sie das Cloud SDK für Ihr lokales Betriebssystem herunter und installieren Sie es, falls noch nicht geschehen. Siehe Google Cloud SDK installieren.

  2. Starten Sie das Cloud SDK.

  3. Konfigurieren Sie die Instanz mit dem folgenden Befehl, um Verbindungen zu seriellen Ports zuzulassen.

    gcloud compute instances add-metadata [INSTANCE_NAME]
    --metadata=serial-port-enable=1
    

    Optional: Wenn Sie möchten, dass die Einstellungen auf alle Instanzen in Ihrem Projekt angewendet werden, führen Sie stattdessen den folgenden Cloud SDK-Befehl aus:

    gcloud compute project-info add-metadata
    --metadata=serial-port-enable=1
    

    Weitere Informationen zu benutzerdefinierten Metadaten finden Sie unter Benutzerdefinierte Metadaten für das gesamte Projekt einrichten.

    Weitere Informationen zum Aktualisieren von Metadaten finden Sie unter Metadaten auf einer laufenden Instanz aktualisieren.

  4. Führen Sie den folgenden gcloud-Befehl aus, um eine interaktive Sitzung zu starten:

    gcloud compute connect-to-serial-port [INSTANCE_NAME] --port=2
    

    Interaktive SAC-Sitzung

  5. Führen Sie an der Eingabeaufforderung SAC> den Befehl cmd aus, um einen neuen Kanal zu erstellen. SAC gibt den Kanalnamen zurück, z. B. Cmd001.

  6. Führen Sie ch -sn [CHANNEL_NAME] aus und drücken Sie eine beliebige Taste, um eine Verbindung zum Kanal herzustellen. Beispiel:

    SAC> cmd
    The Command Prompt session was successfully launched.
    SAC>
    EVENT:   A new channel has been created.  Use "ch -?" for channel help.
    Channel: Cmd0001
    SAC> ch -sn cmd0001
    Press any key to confirm connection to the channel.
    
  7. Geben Sie den Nutzernamen, die Domain und das Passwort der Instanz ein, zu der eine Verbindung hergestellt werden soll.

Weitere Informationen