Questa pagina è stata tradotta dall'API Cloud Translation.

Accedere da remoto a un cluster privato utilizzando un bastion host

Questo tutorial mostra come accedere a un cluster privato in Google Kubernetes Engine (GKE) tramite internet utilizzando un host bastione.

Puoi creare cluster GKE privati con nessun accesso client all'endpoint pubblico. Questa opzione di accesso migliora la sicurezza del cluster impedendo tutto l'accesso al control plane da internet. Tuttavia, la disattivazione dell'accesso all'endpoint pubblico ti impedisce di interagire con il cluster da remoto, a meno che non aggiunga l'indirizzo IP del client remoto come rete autorizzata.

Questo tutorial mostra come configurare un host bastione, ovvero una macchina host per scopi speciali progettata per resistere agli attacchi. L'host bastione utilizza Tinyproxy per inoltrare il traffico client al cluster. Utilizzi Identity-Aware Proxy (IAP) per accedere in sicurezza all'bastion host dal client remoto.

Obiettivi

Crea un cluster privato senza accesso all'endpoint pubblico.
Esegui il deployment di una macchina virtuale (VM) Compute Engine da utilizzare come bastion host nella sottorete del cluster.
Utilizza IAP per connettere un client remoto al cluster tramite internet.

Costi

In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:

Per generare una stima dei costi basata sull'utilizzo previsto, utilizza il Calcolatore prezzi. I nuovi utenti di Google Cloud potrebbero essere idonei per una prova gratuita.

Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.

Prima di iniziare

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the GKE, Compute Engine, Identity-Aware Proxy APIs.

Enable the APIs

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Update and install gcloud components:

gcloud components update
gcloud components install alpha beta

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the GKE, Compute Engine, Identity-Aware Proxy APIs.

Enable the APIs

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Update and install gcloud components:

gcloud components update
gcloud components install alpha beta

Creare un cluster privato

Crea un nuovo cluster privato senza accesso client all'endpoint pubblico. Posiziona il cluster nella sua subnet. Puoi farlo utilizzando Google Cloud CLI o la console Google Cloud.

gcloud

Esegui questo comando:

gcloud container clusters create-auto CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --create-subnetwork=name=SUBNET_NAME \
    --enable-master-authorized-networks \
    --enable-private-nodes \
    --enable-private-endpoint

Sostituisci quanto segue:

CLUSTER_NAME: il nome del nuovo cluster.
COMPUTE_REGION: la regione Compute Engine per il cluster.
SUBNET_NAME: il nome della nuova subnet in cui collocare il cluster.

Console

Creare una sottorete Virtual Private Cloud

Vai alla pagina Reti VPC nella console Google Cloud.

Vai a Reti VPC
Fai clic sulla rete predefinita.
Nella sezione Subnet, fai clic su Aggiungi subnet.
Nella finestra di dialogo Aggiungi una subnet, specifica quanto segue:
1. Nome: un nome per la nuova subnet.
2. Regione: una regione per la subnet. Deve corrispondere alla regione del cluster.
3. Intervallo di indirizzi IP: specifica 10.2.204.0/22 o un altro intervallo che non sia in conflitto con altri intervalli nella rete VPC.
4. Per Accesso privato Google, seleziona l'opzione On.
Fai clic su Aggiungi.

Creare un cluster privato

Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

Vai a Google Kubernetes Engine
Fai clic su Crea.
Fai clic su Configura per GKE Autopilot.
Specifica un nome e una regione per il nuovo cluster. La regione deve essere uguale alla subnet.
Nella sezione Networking, seleziona l'opzione Cluster privato.
Deseleziona la casella di controllo Accedi al control plane utilizzando l'indirizzo IP esterno.
Nell'elenco a discesa Subnet del nodo, seleziona la subnet che hai creato.
Se vuoi, configura altre impostazioni per il cluster.
Fai clic su Crea.

Puoi anche utilizzare un cluster GKE Standard con il flag --master-ipv4-cidr specificato.

Crea una VM bastion host

Crea una VM Compute Engine all'interno della rete interna del cluster privato per fungere da bastion host in grado di gestire il cluster.

gcloud

Crea una VM Compute Engine:

gcloud compute instances create INSTANCE_NAME \
    --zone=COMPUTE_ZONE \
    --machine-type=e2-micro \
    --network-interface=no-address,network-tier=PREMIUM,subnet=SUBNET_NAME

Sostituisci quanto segue:

INSTANCE_NAME: il nome della VM.
COMPUTE_ZONE: la zona Compute Engine per la VM. Posizionalo nella stessa regione del cluster.
SUBNET_NAME: la subnet in cui vuoi collocare la VM.

Nota: ti consigliamo di creare la VM nella stessa subnet VPC del cluster. Se crei la VM in una subnet diversa, aggiungi l'intervallo di indirizzi IP della VM come rete autorizzata per il cluster.

Console

Vai alla pagina Istanze VM nella console Google Cloud.

Vai a Istanze VM
Fai clic su Crea istanza.
Specifica quanto segue:
1. Nome: il nome della VM.
2. Regione e Zona: la regione e la zona della VM. Utilizza la stessa regione del cluster.
3. Tipo di macchina: un tipo di macchina. Scegli un tipo di macchina di piccole dimensioni, ad esempio e2-micro.
4. In Interfacce di rete, seleziona la stessa rete VPC e la stessa subnet del cluster.
5. Se vuoi, configura altre impostazioni per l'istanza.
Fai clic su Crea.

Crea regola firewall

Per consentire a IAP di connettersi alla VM del bastion host, crea una regola firewall.

Esegui il deployment del proxy

Una volta configurati l'bastion host e il cluster privato, devi implementare un demone proxy nell'host per inoltrare il traffico al piano di controllo del cluster. Per questo tutorial, installa Tinyproxy.

Avvia una sessione nella VM:

gcloud compute ssh INSTANCE_NAME --tunnel-through-iap --project=PROJECT_ID

Installa Tinyproxy:
```
sudo apt install tinyproxy
```
Apri il file di configurazione di Tinyproxy:
```
sudo vi /etc/tinyproxy/tinyproxy.conf
```
Nel file:
1. Verifica che la porta sia 8888.
2. Cerca la sezione Allow:
```
  /Allow 127
```
3. Aggiungi la seguente riga alla sezione Allow:
```
  Allow localhost
```
Salva il file e riavvia Tinyproxy:
```
sudo service tinyproxy restart
```
Esci dalla sessione:
```
exit
```

Connettiti al cluster dal client remoto

Dopo aver configurato Tinyproxy, devi configurare il client remoto con le credenziali del cluster e specificare il proxy. Sul client remoto:

Recupera le credenziali per il cluster:
```
gcloud container clusters get-credentials CLUSTER_NAME \
    --region=COMPUTE_REGION \
    --project=PROJECT_ID
```
Sostituisci quanto segue:
- CLUSTER_NAME: il nome del cluster privato.
- COMPUTE_REGION: la regione del cluster.
- PROJECT_ID: l'ID del progetto Google Cloud del cluster.

Crea un tunnel per il bastion host utilizzando IAP:

gcloud compute ssh INSTANCE_NAME \
    --tunnel-through-iap \
    --project=PROJECT_ID \
    --zone=COMPUTE_ZONE \
    --ssh-flag="-4 -L8888:localhost:8888 -N -q -f"

Specifica il proxy:
```
export HTTPS_PROXY=localhost:8888
kubectl get ns
```
L'output è un elenco di spazi dei nomi nel cluster privato.

Interrompi l'ascolto sul client remoto

Se vuoi ripristinare la modifica sul client remoto in qualsiasi momento, devi terminare il processo di ascolto sulla porta TCP 8888. Il comando per eseguire questa operazione è diverso a seconda del sistema operativo del client.

netstat -lnpt | grep 8888 | awk '{print $7}' | grep -o '[0-9]\+' | sort -u | xargs sudo kill

Risoluzione dei problemi

Restrizioni del firewall nelle reti aziendali

Se utilizzi una rete aziendale con un firewall rigido, potresti non riuscire a completare questo tutorial senza richiedere un'eccezione. Se richiedi un'eccezione, l'intervallo IP di origine per l'bastion host è 35.235.240.0/20 per impostazione predefinita.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Elimina il progetto

Attenzione: l'eliminazione di un progetto ha i seguenti effetti:

L'intero contenuto del progetto viene eliminato. Se hai utilizzato un progetto esistente per le attività descritte in questo documento, quando lo elimini elimini anche tutto il lavoro svolto nel progetto.
Gli ID progetto personalizzati non sono più disponibili. Quando hai creato questo progetto, potresti aver creato un ID progetto personalizzato che vuoi utilizzare in futuro. Per conservare gli URL che utilizzano l'ID progetto, ad esempio un appspot.com URL, elimina le risorse selezionate all'interno del progetto anziché eliminare l'intero progetto.

Se intendi esplorare più architetture, tutorial o guide rapide, il riuso dei progetti può aiutarti a non superare i limiti di quota.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Elimina singole risorse

Elimina l'bastion host di cui hai eseguito il deployment in questo tutorial:

gcloud compute instances delete INSTANCE_NAME \
    --zone=COMPUTE_ZONE

Elimina il cluster:

gcloud container clusters delete CLUSTER_NAME \
    --region=COMPUTE_REGION

Elimina la subnet:

gcloud compute networks subnets delete SUBNET_NAME \
    --region=COMPUTE_REGION