Configurazione di Controlli di servizio VPC e cluster privati

Questa pagina descrive come funzionano i Controlli di servizio VPC e i cluster privati e come configurarli in Cloud Workstations.

Controlli di servizio VPC

I Controlli di servizio VPC forniscono un'ulteriore sicurezza per le tue workstation, riducendo il rischio di esfiltrazione di dati. Utilizzando i Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio che contribuiscono a proteggere risorse e servizi da richieste che hanno origine al di fuori del perimetro.

Questi sono i requisiti per l'utilizzo di Cloud Workstations in un perimetro di servizio VPC:

• Per proteggere meglio Cloud Workstations, devi limitare l'API Compute Engine nel perimetro di servizio ogni volta che limiti l'API Cloud Workstations.

• Assicurati che l'API Google Cloud Storage, l'API Google Container Registry e l'API Artifact Registry siano accessibili al VPC nel tuo perimetro di servizio. Questa operazione è necessaria per eseguire il pull delle immagini sulla workstation. Ti consigliamo inoltre di consentire all'API Cloud Logging e all'API Cloud Error Reporting di essere accessibili tramite VPC nel tuo perimetro di servizio, anche se questa operazione non è necessaria per utilizzare Cloud Workstations.

• Assicurati che il cluster di workstation sia privato. La configurazione di un cluster privato impedisce le connessioni alle tue workstation dall'esterno del perimetro di servizio VPC. Il servizio Cloud Workstations impedisce la creazione di cluster pubblici in un perimetro di servizio VPC.
• Assicurati di disattivare gli indirizzi IP pubblici nella configurazione della workstation. In caso contrario, verranno create VM con indirizzi IP pubblici nel tuo progetto. Ti consigliamo vivamente di utilizzare il vincolo del criterio dell'organizzazione constraints/compute.vmExternalIpAccess per disattivare gli indirizzi IP pubblici per tutte le VM nel tuo perimetro di servizio VPC. Per maggiori dettagli, consulta Limitazione degli indirizzi IP esterni a VM specifiche.

Per scoprire di più sui perimetri di servizio, vedi Dettagli e configurazione dei perimetri di servizio.

Architettura

Quando configuri un cluster di workstation come privato, il piano di controllo del cluster di workstation ha solo un indirizzo IP interno. Ciò significa che i client sulla rete internet pubblica non possono connettersi alle workstation appartenenti al cluster di workstation. Per utilizzare un cluster privato, devi connetterlo manualmente alla tua rete Virtual Private Cloud (VPC) tramite un endpoint Private Service Connect.

Le configurazioni con cluster privati richiedono due endpoint PSC:

• Per impostazione predefinita, Cloud Workstations crea un endpoint PSC separato per connettere il piano di controllo alle VM della workstation.

• Devi creare un endpoint PSC aggiuntivo per i cluster privati. Per stabilire una connessione dalla tua macchina locale a una workstation in un cluster privato, la tua macchina locale deve essere connessa alla rete VPC. Utilizza Cloud VPN o Cloud Interconnect per connettere alla rete VPC la rete esterna in cui esegui la macchina.

Il seguente diagramma illustra un'architettura di esempio di un cluster privato:

Prima di iniziare

Prima di iniziare, assicurati di completare questi passaggi di configurazione obbligatori:

1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

2. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

   Vai al selettore progetti

3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

4. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

   Vai al selettore progetti

5. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

6. Attiva Cloud Workstations API.

   Abilita l'API

7. Assicurati di disporre di un ruolo IAM Amministratore di Cloud Workstations nel progetto, in modo da poter creare configurazioni di workstation. Per verificare i tuoi ruoli IAM nella console Google Cloud, vai alla pagina IAM:

   Vai a IAM

8. Se viene applicato in modo forzato il vincolo del criterio dell'organizzazione constraints/compute.trustedimageProjects, devi aggiungere il progetto da cui proviene l'immagine alla lista consentita.
   • Senza la virtualizzazione nidificata, devi concedere al tuo progetto l'autorizzazione per utilizzare le immagini VM di Compute Engine dal progetto cos-cloud.
   • Con la virtualizzazione nidificata, devi concedere al tuo progetto l'autorizzazione a utilizzare le immagini VM di Compute Engine dal progetto ubuntu-os-gke-cloud.

   Per maggiori informazioni, consulta Impostare vincoli di accesso alle immagini.

9. Facoltativo: abilita l'API Container File System per consentire un avvio più rapido della workstation.

   Abilita l'API Container File System

   Per maggiori informazioni, consulta Ridurre i tempi di avvio della workstation con il flusso di immagini.

Creare un cluster privato

Per creare un cluster privato:

1. Nella console Google Cloud, vai alla pagina Cloud Workstations.

   Vai a Cloud Workstations

2. Vai alla pagina Gestione del cluster della workstation.

3. Fai clic su Crea.

4. Inserisci il nome e seleziona una regione per il cluster di workstation.

5. Nella sezione Networking, seleziona Reti in questo progetto.

6. Seleziona una rete e una Subnet.

7. In Tipo di gateway, seleziona Gateway privato.

8. (Facoltativo) Specifica uno o più progetti aggiuntivi che ospitano l'endpoint Private Service Connect che consente l'accesso HTTP al tuo cluster privato. Per impostazione predefinita, questo endpoint può essere creato solo nel progetto cluster di workstation e nel progetto host di rete VPC (se diverso). Se necessario, questi progetti possono essere specificati anche dopo la creazione del cluster.

9. Fai clic su Crea.

Abilita la connettività del cluster privato

I client non possono connettersi alle workstation in cluster di workstation private dalla rete internet pubblica. I client devono trovarsi su una rete che si connette al cluster di workstation utilizzando Private Service Connect (PSC). Segui i passaggi in questa sezione per connetterti a una workstation:

1. Crea un endpoint PSC che abbia come target il collegamento al servizio della workstation.

2. Crea una zona DNS privata.

3. Utilizza Cloud DNS per creare un record DNS che mappa il nome host del cluster all'endpoint PSC.

Crea un endpoint Private Service Connect

Per creare un endpoint PSC:

1. Nella console Google Cloud, vai a Private Service Connect.

   Vai a Private Service Connect

2. Fai clic sulla scheda Endpoint connessi e poi su aggiungiConnetti endpoint.

3. In Destinazione, seleziona Servizio pubblicato.

4. Nel campo Servizio di destinazione, inserisci l'URI del collegamento al servizio creato per il cluster di workstation. Per individuarlo, accedi al tuo cluster di workstation nella console e cerca il campo URI del collegamento al servizio in Impostazioni di rete.

5. Nel campo Endpoint, inserisci il nome di un endpoint.

6. Seleziona una rete per l'endpoint, quindi una Subnet. Questa rete deve essere quella che vuoi utilizzare per la connessione alle tue workstation.

7. Seleziona un indirizzo IP per l'endpoint.

   Se hai bisogno di un nuovo indirizzo IP, seleziona Crea indirizzo IP:

   1. Inserisci un nome e una descrizione facoltativa per l'indirizzo IP.
   2. Per un Indirizzo IP statico, seleziona Assegna automaticamente. Per un Indirizzo IP personalizzato, seleziona Fammi scegliere e inserisci l'indirizzo IP che vuoi utilizzare.
   3. In corrispondenza di Scopo, seleziona Non condiviso.
   4. Fai clic su Prenota.

8. Seleziona uno spazio dei nomi dall'elenco a discesa o crea un nuovo spazio dei nomi. La regione viene compilata in base alla subnet selezionata.

9. Fai clic su Aggiungi endpoint.

10. Copia l'indirizzo IP dell'endpoint in modo da poterlo utilizzare nella sezione successiva Creare una zona DNS e un record DNS privati.

Crea una zona DNS privata

Segui questi passaggi per creare una zona DNS privata per questo cluster di workstation con il nome DNS impostato su clusterHostname, che puoi trovare accedendo al cluster di workstation nella console.

1. Nella console Google Cloud, vai alla pagina Crea una zona DNS.

   Vai a Crea una zona DNS

2. In Tipo di zona, seleziona Privato.

3. Inserisci un Nome zona, ad esempio private-workstations-cluster-zone.

4. Inserisci un suffisso del nome DNS per la zona privata. Tutti i record nella zona condividono questo suffisso. Imposta questo nome sul tuo clusterHostname.

   Per trovare clusterHostname, vai alla pagina Cloud Workstations  > Gestione cluster nella console Google Cloud, quindi fai clic sul cluster di workstation per visualizzare il nome host.

5. (Facoltativo) Aggiungi una descrizione.

6. In Opzioni, seleziona Predefinita (privata).

7. Seleziona la rete su cui hai creato l'endpoint PSC nella sezione precedente perché l'indirizzo IP è valido solo su quella rete.

8. Fai clic su Crea.

Per ulteriori informazioni sulle zone DNS private, consulta la documentazione di Cloud DNS su come creare una zona privata e sulle best practice per le zone private di Cloud DNS.

Crea un record DNS

Per aggiungere un record che mappa *.<clusterHostname> all'indirizzo IP riservato quando hai creato l'endpoint Private Service Connect, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Zone Cloud DNS.

   Vai a Zone Cloud DNS

2. Fai clic sul nome della zona gestita a cui vuoi aggiungere il record.

3. Nella pagina Dettagli zona, fai clic su Aggiungi standard.

4. Nella pagina Crea set di record, inserisci *.<clusterHostname> nel campo Nome DNS.

5. Nel campo Indirizzo IP, inserisci l'indirizzo IP che hai prenotato per l'endpoint Private Service Connect nella sezione precedente.

6. Fai clic su Crea.

7. La tua rete VPC ora dovrebbe essere connessa al cluster di workstation e potrai connetterti alle workstation utilizzando questa rete.

Abilita la risoluzione DNS on-premise

Per utilizzare l'editor basato su browser predefinito sulla tua workstation, utilizza un browser da una macchina connessa alla rete VPC. Puoi utilizzare Cloud VPN o Cloud Interconnect per connetterti dalla rete esterna in cui esegui il browser alla rete VPC.

Per connetterti da una rete esterna, devi configurare il DNS nella rete esterna. Come per i passaggi precedenti, puoi creare una zona DNS per clusterHostname e aggiungere un record che mappa *.<clusterHostname> all'indirizzo IP riservato quando hai creato l'endpoint Private Service Connect. In alternativa, puoi configurare zone di inoltro DNS o criteri dei server DNS per consentire le ricerche di nomi DNS tra gli ambienti on-premise e Google Cloud.

Potresti anche dover aggiungere *cloudworkstations.dev alla lista consentita della tua infrastruttura on-premise.

Passaggi successivi

• Configura l'accesso VPC condiviso
• Risolvere i problemi comuni del VPC