Configure os VPC Service Controls e os clusters privados

Esta página descreve como funcionam os VPC Service Controls e os clusters privados, e como os configurar no Cloud Workstations.

VPC Service Controls

O VPC Service Controls oferece segurança adicional para as suas estações de trabalho, ajudando a mitigar o risco de exfiltração de dados. Com os VPC Service Controls, pode adicionar projetos a perímetros de serviço que podem ajudar a proteger recursos e serviços de pedidos que têm origem fora do perímetro.

Seguem-se os requisitos para usar as Cloud Workstations num perímetro de serviço da VPC:

  • Para ajudar a proteger o Cloud Workstations, tem de restringir a API Compute Engine no seu perímetro de serviço sempre que restringir a API Cloud Workstations.

  • Certifique-se de que a API Google Cloud Storage e a API Artifact Registry são acessíveis através da VPC no seu perímetro de serviço. Isto é necessário para transferir imagens para a sua estação de trabalho. Também recomendamos que permita que a API Cloud Logging e a API Cloud Error Reporting sejam acessíveis através da VPC no seu perímetro de serviço, embora isto não seja necessário para usar as Cloud Workstations.

  • Certifique-se de que o cluster da estação de trabalho é privado. A configuração de um cluster privado impede as ligações às suas estações de trabalho a partir do exterior do perímetro de serviço da VPC. O serviço Cloud Workstations impede a criação de clusters públicos num perímetro de serviço de VPC.
  • Certifique-se de que desativa os endereços IP públicos na configuração da estação de trabalho. Se não o fizer, vai ter VMs com endereços IP públicos no seu projeto. Recomendamos vivamente que use a restrição da política da organização constraints/compute.vmExternalIpAccess para desativar os endereços IP públicos para todas as VMs no seu perímetro de serviço da VPC. Para ver detalhes, consulte o artigo Restringir endereços IP externos a VMs específicas.

Para saber mais acerca dos perímetros de serviço, consulte o artigo Detalhes e configuração do perímetro de serviço.

Arquitetura

Quando configura um cluster de estações de trabalho como privado, o plano de controlo do cluster de estações de trabalho tem apenas um endereço IP interno. Isto significa que os clientes da Internet pública não podem estabelecer ligação às estações de trabalho pertencentes ao cluster de estações de trabalho. Para usar um cluster privado, tem de associar manualmente o cluster privado à sua rede de nuvem virtual privada (VPC) através de um ponto final do Private Service Connect.

As configurações com clusters privados requerem dois pontos finais do PSC:

  • Por predefinição, o Cloud Workstations cria um ponto final do PSC separado para ligar o plano de controlo às VMs da estação de trabalho.

  • Tem de criar um ponto final do PSC adicional para clusters privados. Para estabelecer ligação da sua máquina local a uma estação de trabalho num cluster privado, a sua máquina local tem de estar ligada à sua rede VPC. Use o Cloud VPN ou o Cloud Interconnect para ligar a rede externa na qual executa a sua máquina à rede VPC. Este ponto final do PSC adicional tem de ser criado na mesma rede à qual a sua rede externa se liga com o Cloud VPN ou o Cloud Interconnect.

O diagrama seguinte ilustra um exemplo de arquitetura de um cluster privado:

Figura 1. Clusters privados

Antes de começar

Antes de começar, certifique-se de que conclui estes passos de configuração obrigatórios:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Enable the Cloud Workstations API.

    Enable the API

  7. Certifique-se de que tem uma função IAM de administrador do Cloud Workstations no projeto para poder criar configurações de estações de trabalho. Para verificar as suas funções do IAM na Google Cloud consola, aceda à página IAM:

    Aceda ao IAM

  8. As estações de trabalho na nuvem estão alojadas em VMs iniciadas a partir de imagens públicas do SO otimizado para contentores (COS) do Compute Engine pré-configuradas. Se a restrição de política da organização constraints/compute.trustedimageProjects for aplicada, tem de definir restrições de acesso a imagens para permitir que os utilizadores criem discos de arranque a partir do projects/cos-cloud ou de todas as imagens públicas.
  9. Opcional: ative a API Container File System para permitir um arranque mais rápido da estação de trabalho.

    Ative a API Container File System

    Para mais informações, consulte o artigo Reduza o tempo de arranque da estação de trabalho com o streaming de imagens.

    10. Criar um cluster privado

    Siga estes passos para criar um cluster privado:

    1. Na Google Cloud consola, aceda à página Cloud Workstations.

      Aceda às estações de trabalho na nuvem

    2. Navegue para a página Gestão de clusters da estação de trabalho.

    3. Clique em Criar.

    4. Introduza o Nome e selecione uma Região para o cluster da estação de trabalho.

    5. Na secção Rede, selecione Redes neste projeto.

    6. Selecione uma rede e uma sub-rede.

    7. Para Tipo de gateway, selecione Gateway privado.

    8. Opcional: especifique um ou mais projetos adicionais que alojam o ponto final do Private Service Connect que permite o acesso HTTP ao seu cluster privado. Por predefinição, este ponto final só pode ser criado no projeto do cluster da estação de trabalho e no projeto anfitrião da rede VPC (se for diferente). Se necessário, estes projetos também podem ser especificados após a criação do cluster.

    9. Clique em Criar. Enquanto o cluster está a ser criado, o estado é apresentado como A atualizar.

      A criação de um cluster demora vários minutos. Quando a criação do cluster estiver concluída, o estado do cluster pode aparecer como Degradado. Depois de concluir os passos na secção Crie um ponto final do PSC, o estado do cluster muda para Pronto em vários minutos.

    Ative a conetividade do cluster privado

    Os clientes não conseguem estabelecer ligação a estações de trabalho em clusters de estações de trabalho privadas a partir da Internet pública. Os clientes têm de estar numa rede que se ligue ao cluster da estação de trabalho através do Private Service Connect (PSC). Siga os passos nesta secção para estabelecer ligação a uma estação de trabalho:

    1. Crie um ponto final do PSC que tenha como destino a associação de serviço da sua estação de trabalho.

    2. Crie uma zona de DNS privado.

    3. Use o Cloud DNS para criar um registo DNS que mapeie o nome de anfitrião do cluster para o ponto final do PSC.

    Crie um ponto final do Private Service Connect

    Siga estes passos para criar um ponto final do PSC:

    1. Na Google Cloud consola, aceda ao Private Service Connect.

      Aceder ao Private Service Connect

    2. Clique no separador Pontos finais associados e, de seguida, clique em adicionarAssociar ponto final.

    3. Em Segmentar, selecione Serviço publicado.

    4. No campo Serviço de destino, introduza o URI do anexo de serviço criado para o cluster da estação de trabalho. Para encontrar esta informação, navegue para o cluster da estação de trabalho na consola e procure o campo URI do anexo de serviço em Definições de rede.

    5. No campo Ponto final, introduza um nome de ponto final.

    6. Selecione uma rede para o ponto final e, de seguida, selecione uma sub-rede. Esta rede deve ser a rede que quer usar para estabelecer ligação às suas estações de trabalho e tem de ser a mesma rede à qual a sua rede externa se liga com o Cloud VPN ou o Cloud Interconnect.

    7. Selecione um endereço IP para o ponto final.

      Se precisar de um novo endereço IP, selecione Criar endereço IP:

      1. Introduza um Nome e uma Descrição opcional para o endereço IP.
      2. Para um endereço IP estático, selecione Atribuir automaticamente. Para um endereço IP personalizado, selecione Permitir-me escolher e introduza o endereço IP que quer usar.
      3. Para Objetivo, selecione Não partilhado.
      4. Clique em Reservar.

    8. Selecione um espaço de nomes na lista pendente ou crie um novo espaço de nomes. A Região é preenchida com base na sub-rede selecionada.

    9. Clique em Adicionar ponto final.

    10. Copie o endereço IP do ponto final para o poder usar na secção seguinte para criar uma zona DNS privada e um registo DNS.

    Crie uma zona DNS privada

    Siga estes passos para criar uma zona DNS privada para este cluster de estações de trabalho com o nome DNS definido para o seu clusterHostname, que pode encontrar navegando para o cluster de estações de trabalho na consola.

    1. Na Google Cloud consola, aceda à página Criar uma zona DNS.

      Aceda a Criar uma zona DNS

    2. Para o Tipo de zona, selecione Privado.

    3. Introduza um Nome da zona, como private-workstations-cluster-zone.

    4. Introduza um sufixo de nome DNS para a zona privada. Todos os registos na zona partilham este sufixo. Defina este nome para o seu clusterHostname.

      Para encontrar o seu clusterHostname, navegue para a página Cloud Workstations  > Gestão de clusters na Google Cloud consola e, de seguida, clique no cluster da estação de trabalho para ver o nome do anfitrião.

    5. Opcional: adicione uma descrição.

    6. Em Opções, selecione Predefinição (privado).

    7. Selecione a rede na qual criou o ponto final do PSC na secção anterior, porque o endereço IP só é válido nessa rede.

    8. Clique em Criar.

    Para mais informações acerca das zonas de DNS privadas, consulte a documentação do Cloud DNS sobre como criar uma zona privada e as práticas recomendadas para zonas privadas do Cloud DNS.

    Crie um registo DNS

    Para adicionar um registo que mapeia *.<clusterHostname> para o endereço IP reservado quando criou o ponto final do Private Service Connect, siga estes passos:

    1. Na Google Cloud consola, aceda à página Zonas de DNS na nuvem.

      Aceda às zonas do Cloud DNS

    2. Clique no nome da zona gerida à qual quer adicionar o registo.

    3. Na página Detalhes da zona, clique em Adicionar padrão.

    4. Na página Criar conjunto de registos, no campo Nome DNS, introduza *.<clusterHostname>.

    5. No campo Endereço IP, introduza o endereço IP que reservou para o seu ponto final do Private Service Connect na secção anterior.

    6. Clique em Criar.

    7. A sua rede VPC deve estar agora ligada ao cluster da estação de trabalho e pode estabelecer ligação a estações de trabalho através desta rede.

    Ative a resolução de DNS no local

    Para usar o editor baseado no navegador predefinido na sua estação de trabalho, use um navegador de um computador ligado à rede VPC. Pode usar o Cloud VPN ou o Cloud Interconnect para estabelecer ligação a partir da rede externa na qual executa o navegador à rede VPC.

    Para estabelecer ligação a partir de uma rede externa, tem de configurar o DNS na rede externa. Semelhante aos passos anteriores, pode criar uma zona de DNS para clusterHostname e adicionar um registo que mapeie *.<clusterHostname> para o endereço IP reservado quando criou o ponto final do Private Service Connect. Em alternativa, pode configurar zonas de encaminhamento DNS ou políticas de servidor DNS para permitir procuras de nomes DNS entre os seus ambientes no local e Google Cloud .

    Também pode ter de adicionar *cloudworkstations.dev à lista de autorizações da infraestrutura no local.

    O que se segue?