連線至執行個體

本頁面說明如何存取 Google Distributed Cloud (GDC) Sandbox (GDC Sandbox) 環境。

您的 GDC 沙箱執行個體是 Google Distributed Cloud 氣隙隔離環境的模擬環境,託管於 Google Cloud。與實際的 Google Distributed Cloud 氣隙隔離環境一樣,在 GDC Sandbox 執行個體中執行的服務和虛擬機器不會直接連上網際網路。如要與執行個體互動,您必須透過 GDC Sandbox 閘道連線:這個虛擬機器 (VM) 可存取網際網路,以及在 GDC Sandbox 執行個體中執行的服務和 VM。

這個閘道是 Linux 虛擬機器,支援 GUI,可取代私人網路上的機器,存取真正的 Google Distributed Cloud 實體隔離環境。該服務有以下功能:

  • 存取 Google Distributed Cloud 實體隔離環境的網頁式管理介面 (GDC 控制台)
  • 使用瀏覽器或指令列工具管理及使用執行個體
  • 從網際網路下載軟體和資源,將工作負載部署至執行個體

閘道並非開發機器,因此不會佈建必要的資源,而且不具備持續性。

本頁說明存取執行個體網頁管理介面的三種方式。

  1. 在本機 Windows、macOS 或 Linux 電腦上使用遠端桌面 (RDP) 用戶端,存取閘道 GUI 環境。
  2. 使用名為 sshuttle 的工具,從電腦建立類似 VPN 的安全通道至閘道,即可使用自己的網頁瀏覽器和其他本機安裝的工具,直接存取執行個體中的資源。
  3. 建立 Compute Engine VM,並將其做為用戶端機器,使用這個清單中的其他兩種方法之一,連線至閘道 GUI 環境。

閘道 VM 預先安裝了一組固定的使用者帳戶 (稱為「閘道帳戶」),您和執行個體的使用者同伴連線至閘道時可以使用這些帳戶。這類帳戶共有 25 個,且使用者名稱固定,範圍從 sandboxuser1sandboxuser25。這些使用者名稱無法變更,且無法在閘道 VM 中建立新使用者。這些帳戶的主要用途是建立與閘道的遠端桌面連線,並為登入 VM 的不同使用者維護個別的桌面和殼層環境。閘道帳戶與可存取 GDC Sandbox 執行個體的使用者帳戶之間沒有明確的關聯,這些帳戶與 GDC Sandbox 環境內的使用者帳戶之間也沒有明確的關聯,這部分稍後會說明。 Google Cloud 如果有多位使用者會使用您的執行個體,建議您建立追蹤試算表,並為每位使用者指派閘道帳戶。

如果透過遠端桌面存取環境,請從下列選項中選擇作業系統和支援的遠端桌面用戶端:

作業系統名稱 作業系統版本 支援的遠端桌面用戶端
Windows 11
  • Microsoft 遠端桌面
  • IAP Desktop
Ubuntu 22.04 Remmina 1.4.32 版
Debian 10 Rodete Remmina 1.4.32 版
macOS 支援 Microsoft 遠端桌面的任何版本 Microsoft 遠端桌面 (最新版本)

事前準備

如要開始連線至執行個體,您需要 GDC Sandbox 優惠電子郵件中提供的連線資訊,如「取得存取權」一文所述。如果您不是該電子郵件中指定的主要管理員,則必須新增至用於存取權控管的 Google 群組

存取 GDC Sandbox 環境前,請務必根據存取方式完成下列步驟:

存取環境

如要存取 GDC Sandbox 環境,請根據存取方法完成下列章節:

Linux

  1. 確認已安裝 Remmina:

    sudo apt-get install remmina

  2. 啟動通往 GDC Sandbox 執行個體的通道:

    gcloud compute start-iap-tunnel GDC_SANDBOX_INSTANCE_NAME 3389 --project=PROJECT_NAME \
--zone=ZONE --local-host-port=localhost:PORT_NUMBER

    更改下列內容:

    • GDC_SANDBOX_INSTANCE_NAME:GDC Sandbox 執行個體的名稱。這個名稱是由 GDC Sandbox 團隊提供。
    • PORT_NUMBER:您定義的通訊埠號碼。例如:8888
    • PROJECT_NAME:專案名稱。
    • ZONE:環境所在的可用區。您會從 GDC Sandbox 團隊收到這個名稱。

  3. 在本機環境中開啟 Remmina。

  4. 按一下左上角的「 新連線設定檔」,開始建立新的設定檔。

  5. 在「伺服器」欄位中,輸入下列格式的網址:localhost:PORT_NUMBER

  6. 在「使用者名稱」欄位中,輸入本頁簡介中提及的其中一個閘道帳戶名稱。這些項目會遵循 sandboxuser1sandboxuser20 的模式。

  7. 在「密碼」中,輸入與初始密碼相同的使用者名稱。

  8. 前往「Resolution」(解析度) 欄位,然後選取「use client resolution」(使用用戶端解析度)

  9. 按一下「儲存並連線」

您現在已連線至閘道上執行的虛擬桌面。 在閘道環境中執行下列步驟:

  1. 如果這是你第一次連線至閘道,請將密碼變更為新密碼:
    1. 開啟終端機視窗。
    2. 輸入 passwd,然後按下 Enter 鍵。
    3. 依照系統提示輸入目前的密碼。
    4. 輸入新密碼,然後再次輸入進行確認。
    5. 終端機視窗會顯示 Password updated successfully
  2. 在閘道中開啟 Chrome 瀏覽器。
  3. 將憑證安裝到 Chrome 瀏覽器 (一次性設定):
    1. 依序前往「Chrome」>「設定」>「隱私權與安全性」>「安全性」
    2. 前往「管理憑證」
    3. 切換到「Authorities」(授權單位) 分頁,然後按一下「Import」(匯入)
    4. /usr/local/share/ca-certificates/web-tls-certs.crt 找到憑證,然後按一下「選取」
    5. 勾選所有方塊,然後按一下「確定」
    6. 憑證現在應該已新增至信任儲存庫。
  4. 在網址列中輸入網址 https://console.org-1.zone1.google.gdch.test,存取 GDC Sandbox 執行個體的 GDC 控制台。

Windows

  1. 開啟 PowerShell 視窗。

  2. 啟動通往 GDC Sandbox 執行個體的通道:

    gcloud compute start-iap-tunnel GDC_SANDBOX_INSTANCE_NAME 3389 --project=PROJECT_NAME \
--zone=ZONE --local-host-port=localhost:PORT_NUMBER

    更改下列內容:

    • GDC_SANDBOX_INSTANCE_NAME:GDC Sandbox 執行個體的名稱。這個名稱是由 GDC Sandbox 團隊提供。
    • PORT_NUMBER:您定義的通訊埠號碼。例如:8888
    • PROJECT_NAME:專案名稱。
    • ZONE:環境所在的可用區。

  3. 在本機環境中開啟 Microsoft 遠端桌面。

  4. 在「電腦」輸入欄位中,輸入下列格式的網址:localhost:PORT_NUMBER

  5. 按一下 [連線]。如果成功,畫面上會顯示登入對話方塊。

  6. 在「使用者名稱」欄位中,輸入本頁簡介中提及的其中一個閘道帳戶名稱。這些項目會遵循 sandboxuser1sandboxuser20 的模式。

  7. 在「密碼」中,輸入與初始密碼相同的使用者名稱。

  8. 按一下 [確定]

您現在已連線至閘道上執行的虛擬桌面。 在閘道環境中執行下列步驟:

  1. 如果這是你第一次連線至閘道,請將密碼變更為新密碼:
    1. 開啟終端機視窗。
    2. 輸入 passwd,然後按下 Enter 鍵。
    3. 依照系統提示輸入目前的密碼。
    4. 輸入新密碼,然後再次輸入進行確認。
    5. 終端機視窗會顯示 Password updated successfully
  2. 在閘道中開啟 Chrome 瀏覽器。
  3. 將憑證安裝到 Chrome 瀏覽器 (一次性設定):
    1. 依序前往「Chrome」>「設定」>「隱私權與安全性」>「安全性」
    2. 前往「管理憑證」
    3. 切換到「Authorities」(授權單位) 分頁,然後按一下「Import」(匯入)
    4. /usr/local/share/ca-certificates/web-tls-certs.crt 找到憑證,然後按一下「選取」
    5. 勾選所有方塊,然後按一下「確定」
    6. 憑證現在應該已新增至信任儲存庫。
  4. 在網址列中輸入網址 https://console.org-1.zone1.google.gdch.test,存取 GDC Sandbox 執行個體的 GDC 控制台。

macOS

  1. 開啟終端機視窗。

  2. 啟動通往 GDC Sandbox 執行個體的通道:

    gcloud compute start-iap-tunnel GDC_SANDBOX_INSTANCE_NAME 3389 --project=PROJECT_NAME \
--zone=ZONE --local-host-port=localhost:PORT_NUMBER

    更改下列內容:

    • GDC_SANDBOX_INSTANCE_NAME:GDC Sandbox 執行個體的名稱。這個名稱是由 GDC Sandbox 團隊提供。
    • PORT_NUMBER:您定義的通訊埠號碼。例如:8888
    • PROJECT_NAME:專案名稱。
    • ZONE:環境所在的可用區。

  3. 開啟 Microsoft 遠端桌面。

  4. 按一下「新增電腦」

  5. 在「PC name」(電腦名稱) 輸入欄位中,輸入下列格式的網址:localhost:PORT_NUMBER

  6. 按一下「Add」(新增)。如果成功,畫面上會顯示登入對話方塊。

  7. 在「使用者名稱」欄位中,輸入本頁簡介中提及的其中一個閘道帳戶名稱。這些項目會遵循 sandboxuser1sandboxuser20 的模式。

  8. 在「密碼」中,輸入與初始密碼相同的使用者名稱。

  9. 按一下 [確定]

您現在已連線至閘道上執行的虛擬桌面。 在閘道環境中執行下列步驟:

  1. 如果這是你第一次連線至閘道,請將密碼變更為新密碼:
    1. 開啟終端機視窗。
    2. 輸入 passwd,然後按下 Enter 鍵。
    3. 依照系統提示輸入目前的密碼。
    4. 輸入新密碼,然後再次輸入進行確認。
    5. 終端機視窗會顯示 Password updated successfully
  2. 在閘道中開啟 Chrome 瀏覽器。
  3. 將憑證安裝到 Chrome 瀏覽器 (一次性設定):
    1. 依序前往「Chrome」>「設定」>「隱私權與安全性」>「安全性」
    2. 前往「管理憑證」
    3. 切換到「Authorities」(授權單位) 分頁,然後按一下「Import」(匯入)
    4. /usr/local/share/ca-certificates/web-tls-certs.crt 找到憑證,然後按一下「選取」
    5. 勾選所有方塊,然後按一下「確定」
    6. 憑證現在應該已新增至信任儲存庫。
  4. 在網址列中輸入網址 https://console.org-1.zone1.google.gdch.test,存取 GDC Sandbox 執行個體的 GDC 控制台。

sshuttle

如要完成這項程序,您需要註冊服務時,GDC Sandbox 團隊提供的值:

  • GDC_SANDBOX_INSTANCE_NAME:GDC Sandbox 執行個體的名稱。
  • PROJECT_NAME:代管執行個體的專案。
  • ZONE:包含執行個體的可用區。

請按照下列步驟,使用 sshuttle 連線至執行個體。

  1. 安裝憑證 (一次性設定):

    如要使用 sshuttle,請安裝憑證。您只需要在用來存取服務的每部電腦上執行一次這項操作。

    1. 使用 gcloud CLI 下載憑證:
    gcloud compute scp \
GDC_SANDBOX_INSTANCE_NAME:/usr/local/share/ca-certificates/web-tls-certs.crt \
LOCAL_FILE_PATH --tunnel-through-iap \
--project PROJECT_NAME \
--zone ZONE

    更改下列內容:

    • GDC_SANDBOX_INSTANCE_NAME:GDC Sandbox 執行個體的名稱。
    • LOCAL_FILE_PATH:下載憑證的本機路徑。
    • PROJECT_NAME:專案名稱。
    • ZONE:執行個體的代管區域。

  2. 將 CA 憑證新增至 Linux Trust Store:

    1. 設定變數,以保留您下載的 CA 憑證路徑:

      export CERT_PATH=LOCAL_FILE_PATH

    2. 如果憑證檔案沒有換行符,請新增換行符,然後將檔案複製到 ca-certificates 目錄:

      sed -i '$a\' ${CERT_PATH}
sudo cp ${CERT_PATH} /usr/local/share/ca-certificates

    3. 將憑證新增至信任儲存區:

      sudo update-ca-certificates

  3. 將 CA 憑證新增至 Cloudtop Chrome Trust Store:

    1. 依序前往「Chrome」>「設定」>「隱私權與安全性」>「安全性」
    2. 前往「管理憑證」
    3. 切換到「Authorities」(授權單位) 分頁,然後按一下「Import」(匯入)
    4. 找出您在上一個部分下載的憑證,然後按一下「選取」
    5. 勾選所有方塊,然後按一下「確定」
    6. 憑證會新增至信任儲存庫。

  4. 開啟終端機並執行指令,啟動通往 GDC Sandbox 執行個體的通道:

    sshuttle -r GDC_SANDBOX_INSTANCE_NAME --no-latency-control \
--ssh-cmd 'gcloud compute ssh --project PROJECT_NAME --zone ZONE --tunnel-through-iap' \
10.200.0.0/16 --dns

    將下列項目替換為 GDC Sandbox 團隊提供的值:

    • GDC_SANDBOX_INSTANCE_NAME:GDC Sandbox 執行個體的名稱。
    • PROJECT_NAME:專案名稱。
    • ZONE:包含 GDC Sandbox 環境的可用區。

    執行這項指令時,本機電腦傳送至 10.200.0.0/16 的所有網路要求,都會透過安全通道,轉送至 GDC Sandbox 執行個體。

  5. 開啟 Chrome 瀏覽器。

  6. 在網址列中輸入網址 https://console.org-1.zone1.google.gdch.test,存取 GDC Sandbox 執行個體的 GDC 控制台。sshuttle 執行期間,這個網址會透過閘道導向 GDC Sandbox 環境。

  7. 請按照下一節的登入說明操作。完成執行個體作業後,請在執行 sshuttle 指令的終端機中輸入 Ctrl+C,終止 sshuttle 程序。

Compute Engine VM

如要在 Compute Engine VM 中存取 GDC Sandbox 環境,請使用開機指令碼建立 VM,並使用 Chrome 遠端桌面。如要建立 VM 並存取環境,請按照下列步驟操作:

  1. 開啟 Cloud Shell 終端機。

  2. 查看可用映像檔清單:

    gcloud compute images list

    請記下 Debian-10 映像檔和映像檔所在的專案名稱。

  3. 建立文字檔案。例如 startup-script.txt

  4. 在檔案中加入下列開機指令碼:

    sudo apt-get upgrade
curl https://dl.google.com/linux/linux_signing_key.pub \
    | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/chrome-remote-desktop.gpg
echo "deb [arch=amd64] https://dl.google.com/linux/chrome-remote-desktop/deb stable main" \
    | sudo tee /etc/apt/sources.list.d/chrome-remote-desktop.list
sudo apt-get update
sudo DEBIAN_FRONTEND=noninteractive \
    apt-get install --assume-yes chrome-remote-desktop
sudo DEBIAN_FRONTEND=noninteractive \
    apt install --assume-yes xfce4 desktop-base dbus-x11 xscreensaver
sudo bash -c 'echo "exec /etc/X11/Xsession /usr/bin/xfce4-session" > /etc/chrome-remote-desktop-session'
sudo systemctl disable lightdm.service
sudo apt install --assume-yes task-xfce-desktop
curl -L -o google-chrome-stable_current_amd64.deb \
https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb
sudo apt install --assume-yes --fix-broken ./google-chrome-stable_current_amd64.deb
sudo apt install --assume-yes remmina

  5. 建立 Compute Engine VM:

    gcloud compute instances create VM_NAME \
--image-project=PROJECT_NAME \
--image-family=debian-10 \
--metadata=startup-script-from-file=SCRIPT_FILENAME

    更改下列內容:

    • VM_NAME:您為 VM 命名的名稱。例如 test-vm。
    • PROJECT_NAME:包含映文件的專案名稱。
    • SCRIPT_FILENAME:包含啟動指令碼的檔案名稱。例如:startup-script.txt

  6. 按照「在 VM 執行個體上安裝 Chrome 遠端桌面」一文的說明,安裝 Chrome 遠端桌面。

  7. 按照「連線至 VM 執行個體」一文的說明,啟用 Chrome 遠端桌面。

連線至 Compute Engine VM 後,您可以選擇下列任一選項來連線至執行個體:

  • 按照「Linux」分頁中的操作說明,使用 Remmina 連線至閘道桌面 GUI,或
  • 按照「sshuttle」分頁中的操作說明,從 Compute Engine VM 建立通往閘道的通道,並使用 VM 中的瀏覽器和終端機連線至 GDC Sandbox 執行個體。

登入 GDC 控制台

  1. 前往 https://console.org-1.zone1.google.gdch.test/ 後,系統會顯示 GDC 控制台的「登入」頁面。
  2. 按一下「Continue with fake-oidc-provider」(繼續使用 fake-oidc-provider)。「Fake OIDC Provider」(虛假的 OIDC 提供者) 頁面隨即顯示。

  3. 在「選取使用者」清單中,按一下「平台管理員」

  4. 按一下「提交」

您現在已登入 GDC 控制台,按照「建立專案」中的步驟,設定管理員帳戶和第一個專案。

提示

如果遇到任何瀏覽器問題,請關閉瀏覽器視窗,重新開啟新的瀏覽器頁面,並在網址列中輸入 https://console.org-1.zone1.google.gdch.test/

將登入頁面設為瀏覽器首頁 (選用)

為方便起見,您可以將 GDC 控制台設為瀏覽器的首頁位址。如果您使用遠端桌面存取閘道上執行的 GUI,這項功能就特別實用。

  1. 在網址列中輸入 https://console.org-1.zone1.google.gdch.test/。 系統會顯示「登入」頁面。

  2. 如要將這個頁面新增至瀏覽器首頁按鈕,請選取「瀏覽器」

  3. 在 Chrome 選單中,選取「自訂及管理 Google Chrome」

  4. 依序選取「使用者名稱」>「自訂 Chrome」

  5. 在導覽選單中選取「外觀」

  6. 按一下「顯示首頁按鈕」切換鈕,將其設為「開啟」,然後輸入網址。https://console.org-1.zone1.google.gdch.test/

  7. 在導覽選單中選取「起始畫面」

  8. 選取「開啟某個特定網頁或一組網頁」,然後輸入 https://console.org-1.zone1.google.gdch.test/的網站網址。按一下「新增」

每次開啟瀏覽器或點選首頁按鈕時,系統都會開啟 GDC Sandbox 使用者介面。