Connettiti all'istanza

Questa pagina descrive i metodi per accedere all'ambiente Google Distributed Cloud (GDC) Sandbox (GDC Sandbox).

L'istanza sandbox GDC è una simulazione di un ambiente Google Distributed Cloud con air gap, ospitato su Google Cloud. Come un vero ambiente air-gap di Google Distributed Cloud, i servizi e le macchine virtuali in esecuzione nell'istanza GDC Sandbox non sono connessi direttamente a internet. Per interagire con l'istanza, devi connetterti tramite il gateway sandbox GDC:una macchina virtuale (VM) che ha accesso a internet, nonché ai servizi e alle VM in esecuzione nell'istanza sandbox GDC.

Il gateway è una macchina virtuale Linux, completa di supporto GUI, che sostituisce una macchina su una rete privata con accesso a un ambiente Google Distributed Cloud air-gapped reale. Puoi utilizzarlo per:

  • Accedi all'interfaccia di gestione basata sul web, la console GDC, del tuo ambiente isolato di Google Distributed Cloud
  • Gestisci e utilizza l'istanza utilizzando strumenti basati su browser o a riga di comando
  • Scarica software e risorse da internet per eseguire il deployment dei carichi di lavoro nell'istanza

Il gateway non è pensato per essere una macchina di sviluppo; non è provisionato con le risorse richieste e non è persistente.

Questa pagina descrive tre opzioni per accedere all'interfaccia di gestione web della tua istanza.

  1. Utilizza un client Remote Desktop (RDP) sulla tua macchina locale Windows, macOS o Linux per accedere all'ambiente GUI del gateway.
  2. Utilizza uno strumento chiamato sshuttle per creare un tunnel sicuro simile a una VPN dalla tua macchina al gateway, consentendoti di utilizzare il tuo browser web e altri strumenti installati localmente per accedere direttamente alle risorse nella tua istanza.
  3. Crea una VM di Compute Engine e utilizzala come macchina client per connetterti all'ambiente GUI del gateway utilizzando uno degli altri due metodi in questo elenco.

La VM gateway viene preinstallata con un insieme fisso di account utente, chiamati account gateway, che tu e gli altri utenti della tua istanza potete utilizzare per connettervi al gateway. Esistono 25 di questi account, con un insieme fisso di nomi utente, da sandboxuser1 a sandboxuser25. Questi nomi utente non possono essere modificati e non è possibile creare nuovi utenti nella VM gateway. Lo scopo principale di questi account è stabilire una connessione Remote Desktop al gateway e mantenere un ambiente shell e desktop separato per i diversi utenti che accedono alla VM. Non esiste una connessione esplicita tra gli account gateway e gli Google Cloud account utente con accesso all'istanza sandbox GDC; né esiste una connessione esplicita tra questi account e gli account utente all'interno dell'ambiente sandbox GDC stesso, che verrà trattato in seguito. Se la tua istanza verrà utilizzata da più utenti, ti consigliamo di creare un foglio di lavoro di monitoraggio e assegnare a ciascun utente un account gateway.

Se accedi all'ambiente tramite un desktop remoto, scegli un sistema operativo e il client di desktop remoto supportato tra le seguenti opzioni:

Nome del sistema operativo Versione sistema operativo Client di desktop remoto supportato
Windows 11
  • Microsoft Remote Desktop
  • IAP Desktop
Ubuntu 22.04 Remmina, versione 1.4.32
Debian 10 Rodete Remmina, versione 1.4.32
macOS Qualsiasi versione con supporto di Microsoft Remote Desktop Microsoft Remote Desktop, ultima versione

Prima di iniziare

Per iniziare la procedura di connessione alla tua istanza, avrai bisogno delle informazioni di connessione incluse nell'email di offerta della sandbox GDC, come descritto in Ottenere l'accesso. Se non sei l'amministratore principale specificato in questa email, devi essere aggiunto al gruppo Google utilizzato per il controllo dell'accesso.

Prima di accedere all'ambiente sandbox GDC, assicurati di completare le seguenti operazioni in base al tuo metodo di accesso:

Accedere all'ambiente

Per accedere all'ambiente sandbox GDC, completa le seguenti sezioni in base al tuo metodo di accesso:

Linux

  1. Assicurati di aver installato Remmina:

    sudo apt-get install remmina

  2. Avvia il tunnel all'istanza sandbox GDC:

    gcloud compute start-iap-tunnel GDC_SANDBOX_INSTANCE_NAME 3389 --project=PROJECT_NAME \
--zone=ZONE --local-host-port=localhost:PORT_NUMBER

    Sostituisci quanto segue:

    • GDC_SANDBOX_INSTANCE_NAME: il nome dell'istanza GDC Sandbox. Ricevi questo nome dal team della sandbox GDC.
    • PORT_NUMBER: un numero di porta che definisci. Ad esempio, 8888.
    • PROJECT_NAME: il nome del progetto.
    • ZONE: la zona in cui si trova il tuo ambiente. Ricevi questo nome dal team di GDC Sandbox.

  3. Dal tuo ambiente locale, apri Remmina.

  4. fai clic su Nuovo profilo di connessione nell'angolo in alto a sinistra per iniziare la creazione di un nuovo profilo.

  5. Nel campo Server, inserisci l'URL nel formato localhost:PORT_NUMBER.

  6. Nel campo Nome utente, inserisci il nome di uno degli account gateway descritti nell'introduzione di questa pagina. Questi seguono il pattern da sandboxuser1 a sandboxuser20.

  7. Nel campo Password, inserisci lo stesso nome utente della password iniziale.

  8. Vai al campo Risoluzione e seleziona Usa risoluzione client.

  9. Fai clic su Salva e connetti.

Ora sei connesso a un desktop virtuale in esecuzione sul gateway. Esegui i seguenti passaggi all'interno dell'ambiente del gateway:

  1. Se è la prima volta che ti connetti al gateway, cambia la password con una nuova:
    1. Apri una finestra del terminale.
    2. Digita passwd e premi Invio.
    3. Se richiesto, inserisci la password attuale.
    4. Inserisci la nuova password e confermala ridigitandola.
    5. Nella finestra del terminale viene visualizzato Password updated successfully.
  2. Apri il browser Chrome all'interno del gateway.
  3. Installa il certificato nel browser Chrome (configurazione una tantum):
    1. Vai a Chrome > Impostazioni > Privacy e sicurezza > Sicurezza.
    2. Vai a Gestisci certificati.
    3. Passa alla scheda Autorità, poi fai clic su Importa.
    4. Individua il certificato in /usr/local/share/ca-certificates/web-tls-certs.crt e fai clic su Seleziona.
    5. Seleziona tutte le caselle e fai clic su Ok.
    6. Il certificato dovrebbe ora essere aggiunto all'archivio di attendibilità.
  4. Nella barra degli indirizzi, inserisci l'URL https://console.org-1.zone1.google.gdch.test per accedere alla console GDC per la tua istanza GDC Sandbox.

Windows

  1. Apri una finestra di PowerShell.

  2. Avvia il tunnel all'istanza sandbox GDC:

    gcloud compute start-iap-tunnel GDC_SANDBOX_INSTANCE_NAME 3389 --project=PROJECT_NAME \
--zone=ZONE --local-host-port=localhost:PORT_NUMBER

    Sostituisci quanto segue:

    • GDC_SANDBOX_INSTANCE_NAME: il nome dell'istanza GDC Sandbox. Ricevi questo nome dal team della sandbox GDC.
    • PORT_NUMBER: un numero di porta che definisci. Ad esempio, 8888.
    • PROJECT_NAME: il nome del progetto.
    • ZONE: la zona in cui si trova l'ambiente.

  3. Dall'ambiente locale, apri Microsoft Remote Desktop.

  4. Nel campo di input Computer, inserisci l'URL nel formato localhost:PORT_NUMBER.

  5. Fai clic su Connetti. Se l'operazione va a buon fine, viene visualizzata una finestra di dialogo di accesso.

  6. Nel campo Nome utente, inserisci il nome di uno degli account gateway descritti nell'introduzione di questa pagina. Questi seguono il pattern da sandboxuser1 a sandboxuser20.

  7. Nel campo Password, inserisci lo stesso nome utente della password iniziale.

  8. Fai clic su OK.

Ora sei connesso a un desktop virtuale in esecuzione sul gateway. Esegui i seguenti passaggi all'interno dell'ambiente del gateway:

  1. Se è la prima volta che ti connetti al gateway, cambia la password con una nuova:
    1. Apri una finestra del terminale.
    2. Digita passwd e premi Invio.
    3. Se richiesto, inserisci la password attuale.
    4. Inserisci la nuova password e confermala ridigitandola.
    5. Nella finestra del terminale viene visualizzato Password updated successfully.
  2. Apri il browser Chrome all'interno del gateway.
  3. Installa il certificato nel browser Chrome (configurazione una tantum):
    1. Vai a Chrome > Impostazioni > Privacy e sicurezza > Sicurezza.
    2. Vai a Gestisci certificati.
    3. Passa alla scheda Autorità, poi fai clic su Importa.
    4. Individua il certificato in /usr/local/share/ca-certificates/web-tls-certs.crt e fai clic su Seleziona.
    5. Seleziona tutte le caselle e fai clic su Ok.
    6. Il certificato dovrebbe ora essere aggiunto all'archivio di attendibilità.
  4. Nella barra degli indirizzi, inserisci l'URL https://console.org-1.zone1.google.gdch.test per accedere alla console GDC per la tua istanza GDC Sandbox.

macOS

  1. Apri una finestra del terminale.

  2. Avvia il tunnel all'istanza sandbox GDC:

    gcloud compute start-iap-tunnel GDC_SANDBOX_INSTANCE_NAME 3389 --project=PROJECT_NAME \
--zone=ZONE --local-host-port=localhost:PORT_NUMBER

    Sostituisci quanto segue:

    • GDC_SANDBOX_INSTANCE_NAME: il nome dell'istanza GDC Sandbox. Ricevi questo nome dal team della sandbox GDC.
    • PORT_NUMBER: un numero di porta che definisci. Ad esempio, 8888.
    • PROJECT_NAME: il nome del progetto.
    • ZONE: la zona in cui si trova l'ambiente.

  3. Apri Microsoft Remote Desktop.

  4. Fai clic su Aggiungi PC.

  5. Nel campo di input Nome PC, inserisci un URL nel formato localhost:PORT_NUMBER.

  6. Fai clic su Aggiungi. Se l'operazione va a buon fine, viene visualizzata una finestra di dialogo di accesso.

  7. Nel campo Nome utente, inserisci il nome di uno degli account gateway descritti nell'introduzione di questa pagina. Questi seguono il pattern da sandboxuser1 a sandboxuser20.

  8. Nel campo Password, inserisci lo stesso nome utente della password iniziale.

  9. Fai clic su OK.

Ora sei connesso a un desktop virtuale in esecuzione sul gateway. Esegui i seguenti passaggi all'interno dell'ambiente del gateway:

  1. Se è la prima volta che ti connetti al gateway, cambia la password con una nuova:
    1. Apri una finestra del terminale.
    2. Digita passwd e premi Invio.
    3. Se richiesto, inserisci la password attuale.
    4. Inserisci la nuova password e confermala ridigitandola.
    5. Nella finestra del terminale viene visualizzato Password updated successfully.
  2. Apri il browser Chrome all'interno del gateway.
  3. Installa il certificato nel browser Chrome (configurazione una tantum):
    1. Vai a Chrome > Impostazioni > Privacy e sicurezza > Sicurezza.
    2. Vai a Gestisci certificati.
    3. Passa alla scheda Autorità, poi fai clic su Importa.
    4. Individua il certificato in /usr/local/share/ca-certificates/web-tls-certs.crt e fai clic su Seleziona.
    5. Seleziona tutte le caselle e fai clic su Ok.
    6. Il certificato dovrebbe ora essere aggiunto all'archivio di attendibilità.
  4. Nella barra degli indirizzi, inserisci l'URL https://console.org-1.zone1.google.gdch.test per accedere alla console GDC per la tua istanza GDC Sandbox.

sshuttle

Per completare la procedura, avrai bisogno di alcuni valori forniti dal team di GDC Sandbox al momento della registrazione al servizio:

  • GDC_SANDBOX_INSTANCE_NAME: il nome dell'istanza sandbox GDC.
  • PROJECT_NAME: il progetto che ospita l'istanza.
  • ZONE: la zona contenente l'istanza.

Per connetterti all'istanza utilizzando sshuttle, segui questi passaggi.

  1. Installa il certificato (configurazione una tantum):

    Per utilizzare sshuttle, devi installare un certificato. Devi eseguire questa operazione una sola volta su ogni macchina che utilizzi per accedere al servizio.

    1. Scarica il certificato utilizzando gcloud CLI:
    gcloud compute scp \
GDC_SANDBOX_INSTANCE_NAME:/usr/local/share/ca-certificates/web-tls-certs.crt \
LOCAL_FILE_PATH --tunnel-through-iap \
--project PROJECT_NAME \
--zone ZONE

    Sostituisci quanto segue:

    • GDC_SANDBOX_INSTANCE_NAME: il nome dell'istanza sandbox GDC.
    • LOCAL_FILE_PATH: il percorso locale per scaricare il certificato.
    • PROJECT_NAME: il nome del progetto.
    • ZONE: la zona in cui è ospitata l'istanza.

  2. Aggiungi il certificato CA all'archivio attendibile di Linux:

    1. Imposta una variabile per contenere il percorso del certificato CA che hai scaricato:

      export CERT_PATH=LOCAL_FILE_PATH

    2. Aggiungi un'interruzione di riga se non esiste per il file del certificato e copialo nella directory ca-certificates:

      sed -i '$a\' ${CERT_PATH}
sudo cp ${CERT_PATH} /usr/local/share/ca-certificates

    3. Aggiungi il certificato all'archivio attendibile:

      sudo update-ca-certificates

  3. Aggiungi il certificato CA all'archivio attendibile di Chrome Cloudtop:

    1. Vai a Chrome > Impostazioni > Privacy e sicurezza > Sicurezza.
    2. Vai a Gestisci certificati.
    3. Passa alla scheda Autorità, poi fai clic su Importa.
    4. Individua il certificato scaricato nella sezione precedente e fai clic su Seleziona.
    5. Seleziona tutte le caselle e fai clic su Ok.
    6. Il certificato viene aggiunto all'archivio di attendibilità.

  4. Apri un terminale ed esegui il comando per avviare il tunnel all'istanza sandbox GDC:

    sshuttle -r GDC_SANDBOX_INSTANCE_NAME --no-latency-control \
--ssh-cmd 'gcloud compute ssh --project PROJECT_NAME --zone ZONE --tunnel-through-iap' \
10.200.0.0/16 --dns

    Sostituisci quanto segue con i valori forniti dal team di GDC Sandbox:

    • GDC_SANDBOX_INSTANCE_NAME: il nome dell'istanza sandbox GDC.
    • PROJECT_NAME: il nome del progetto.
    • ZONE: la zona che contiene l'ambiente sandbox GDC.

    Mentre questo comando è in esecuzione, tutte le richieste di rete a 10.200.0.0/16 dalla tua macchina locale vengono indirizzate all'istanza sandbox GDC tramite un tunnel sicuro.

  5. Apri il browser Chrome.

  6. Nella barra degli indirizzi, inserisci l'URL https://console.org-1.zone1.google.gdch.test per accedere alla console GDC per la tua istanza GDC Sandbox. Mentre sshuttle è in esecuzione, questo URL verrà indirizzato tramite il gateway all'ambiente sandbox GDC.

  7. Puoi procedere con le istruzioni di accesso nella sezione successiva. Quando hai finito di lavorare con l'istanza, inserisci Ctrl+C nel terminale in cui è in esecuzione il comando sshuttle per terminare il processo sshuttle.

VM di Compute Engine

Per accedere all'ambiente sandbox GDC in una VM Compute Engine, crea la VM con uno script di avvio e utilizza Chrome Remote Desktop. Per creare la VM e accedere all'ambiente:

  1. Apri un terminale Cloud Shell.

  2. Visualizza un elenco delle immagini disponibili:

    gcloud compute images list

    Prendi nota dell'immagine Debian-10 e del nome del progetto in cui si trova l'immagine.

  3. Crea un file di testo. Ad esempio, startup-script.txt.

  4. Nel file, aggiungi il seguente script di avvio:

    sudo apt-get upgrade
curl https://dl.google.com/linux/linux_signing_key.pub \
    | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/chrome-remote-desktop.gpg
echo "deb [arch=amd64] https://dl.google.com/linux/chrome-remote-desktop/deb stable main" \
    | sudo tee /etc/apt/sources.list.d/chrome-remote-desktop.list
sudo apt-get update
sudo DEBIAN_FRONTEND=noninteractive \
    apt-get install --assume-yes chrome-remote-desktop
sudo DEBIAN_FRONTEND=noninteractive \
    apt install --assume-yes xfce4 desktop-base dbus-x11 xscreensaver
sudo bash -c 'echo "exec /etc/X11/Xsession /usr/bin/xfce4-session" > /etc/chrome-remote-desktop-session'
sudo systemctl disable lightdm.service
sudo apt install --assume-yes task-xfce-desktop
curl -L -o google-chrome-stable_current_amd64.deb \
https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb
sudo apt install --assume-yes --fix-broken ./google-chrome-stable_current_amd64.deb
sudo apt install --assume-yes remmina

  5. Crea una VM di Compute Engine:

    gcloud compute instances create VM_NAME \
--image-project=PROJECT_NAME \
--image-family=debian-10 \
--metadata=startup-script-from-file=SCRIPT_FILENAME

    Sostituisci quanto segue:

    • VM_NAME: il nome che assegni alla VM. Ad esempio, test-vm.
    • PROJECT_NAME: il nome del progetto che contiene l'immagine.
    • SCRIPT_FILENAME: il nome del file che contiene lo script di avvio. Ad esempio, startup-script.txt.

  6. Installa Chrome Remote Desktop seguendo le istruzioni riportate in Installare Chrome Remote Desktop sull'istanza VM.

  7. Attiva Chrome Remote Desktop seguendo i passaggi descritti in Connettiti all'istanza VM.

Dopo aver effettuato la connessione alla VM di Compute Engine, puoi scegliere una delle seguenti opzioni per connetterti all'istanza:

  • segui le istruzioni nella scheda Linux per connetterti alla GUI del desktop del gateway utilizzando Remmina oppure
  • Segui le istruzioni nella scheda sshuttle per creare un tunnel dalla tua VM Compute Engine al gateway e utilizza il browser e il terminale nella VM per connetterti all'istanza sandbox GDC.

Accedi alla console GDC

  1. Dopo aver visitato https://console.org-1.zone1.google.gdch.test/, viene visualizzata una pagina di accesso per la console GDC.
  2. Fai clic su Continua con fake-oidc-provider. Viene visualizzata una pagina Fornitore OIDC fittizio.

  3. Nell'elenco Seleziona un utente, fai clic su Amministratore della piattaforma.

  4. Fai clic su Invia.

Ora hai eseguito l'accesso alla console GDC. Segui i passaggi descritti in Creare un progetto per configurare l'account amministratore e il tuo primo progetto.

Suggerimenti

Se riscontri problemi con il browser, chiudi la finestra del browser, apri una nuova pagina del browser e inserisci https://console.org-1.zone1.google.gdch.test/ nella barra degli indirizzi.

(Facoltativo) Aggiungere la pagina di accesso come home page nel browser

Per comodità, puoi configurare la console GDC come indirizzo di casa nel browser. Questa operazione è particolarmente utile se utilizzi un desktop remoto per accedere alla GUI in esecuzione sul gateway.

  1. Nella barra degli indirizzi, inserisci https://console.org-1.zone1.google.gdch.test/. Viene visualizzata una pagina di accesso.

  2. Per aggiungere questa pagina al pulsante Home del browser, seleziona Browser.

  3. Nel menu Chrome, seleziona Personalizza e controlla Google Chrome .

  4. Seleziona nome utente  > Personalizza Chrome.

  5. Nel menu di navigazione, seleziona Aspetto.

  6. Fai clic sul pulsante di attivazione/disattivazione Mostra pulsante Home per impostarlo su On e inserisci l'URL di https://console.org-1.zone1.google.gdch.test/.

  7. Nel menu di navigazione, seleziona All'avvio.

  8. Seleziona Apri una pagina o un insieme di pagine specifiche e inserisci l'URL del sito di https://console.org-1.zone1.google.gdch.test/. Fai clic su Aggiungi.

L'interfaccia utente della sandbox GDC si apre ogni volta che apri il browser o fai clic sul pulsante Home.