Configura Controlli di servizio VPC e cluster privati

Questa pagina descrive come funzionano i Controlli di servizio VPC e i cluster privati e come configurarli in Cloud Workstations.

Controlli di servizio VPC

Controlli di servizio VPC fornisce ulteriore sicurezza per le workstation per aiutare a mitigare il rischio di esfiltrazione di dati. Utilizzando Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio per proteggere risorse e servizi dalle richieste che hanno origine al di fuori del perimetro.

Di seguito sono riportati i requisiti per l'utilizzo di Cloud Workstations in un perimetro di servizio VPC:

• Per proteggere meglio Cloud Workstations, devi limitare l'API Compute Engine nel tuo perimetro di servizio ogni volta che limiti l'API Cloud Workstations.

• Assicurati che l'API Google Cloud Storage, l'API Google Container Registry e l'API Artifact Registry siano accessibili al VPC nel tuo perimetro di servizio. Questa operazione è necessaria per eseguire il pull delle immagini sulla workstation. Ti consigliamo inoltre di consentire l'accesso VPC all'API Cloud Logging e all'API Cloud Error Reporting nel tuo perimetro di servizio, anche se non è necessario per utilizzare Cloud Workstations.

• Assicurati che il cluster di workstation sia privato. La configurazione di un cluster privato impedisce le connessioni alle tue workstation dall'esterno del perimetro di servizio VPC. Il servizio Cloud Workstations impedisce la creazione di cluster pubblici in un perimetro di servizio VPC.
• Assicurati di disattivare gli indirizzi IP pubblici nella configurazione della workstation. Se non lo fai, verranno visualizzate VM con indirizzi IP pubblici nel tuo progetto. Ti consigliamo vivamente di utilizzare il vincolo dei criteri dell'organizzazione constraints/compute.vmExternalIpAccess per disattivare gli indirizzi IP pubblici per tutte le VM nel tuo perimetro di servizio VPC. Per maggiori dettagli, consulta Limitazione degli indirizzi IP esterni a VM specifiche.

Per saperne di più sui perimetri di servizio, consulta Dettagli e configurazione dei perimetri di servizio.

Architettura

Quando configuri un cluster di workstation come privato, il piano di controllo del cluster di workstation ha solo un indirizzo IP interno. Ciò significa che i client sulla rete internet pubblica non possono connettersi alle workstation appartenenti al cluster di workstation. Per utilizzare un cluster privato, devi connettere manualmente il cluster privato alla rete Virtual Private Cloud (VPC) attraverso un endpoint Private Service Connect.

Le configurazioni con cluster privati richiedono due endpoint PSC:

• Per impostazione predefinita, Cloud Workstations crea un endpoint PSC separato per connettere il piano di controllo alle VM delle workstation.

• Devi creare un endpoint PSC aggiuntivo per i cluster privati. Per connetterti dalla tua macchina locale a una workstation in un cluster privato, la macchina locale deve essere connessa alla tua rete VPC. Utilizza Cloud VPN o Cloud Interconnect per connettere la rete esterna su cui esegui la macchina alla rete VPC. Questo endpoint PSC aggiuntivo deve essere creato nella stessa rete a cui si collega la rete esterna con Cloud VPN o Cloud Interconnect.

Il seguente diagramma illustra un'architettura di esempio di un cluster privato:

Prima di iniziare

Prima di iniziare, assicurati di completare questi passaggi di configurazione richiesti:

1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

5. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

6. Attiva Cloud Workstations API.

   Abilita l'API

7. Assicurati di disporre del ruolo IAM Amministratore di Cloud Workstations nel progetto per poter creare configurazioni di workstation. Per verificare i tuoi ruoli IAM nella console Google Cloud, vai alla pagina IAM:

   Vai a IAM

8. Se il vincolo del criterio dell'organizzazione constraints/compute.trustedimageProjects viene applicato in modo forzato, devi aggiungere alla lista consentita il progetto da cui proviene l'immagine.
   • Senza la virtualizzazione nidificata, devi concedere al progetto l'autorizzazione per utilizzare le immagini VM di Compute Engine dal progetto cos-cloud.
   • Con la virtualizzazione nidificata, devi concedere al progetto l'autorizzazione per utilizzare le immagini VM di Compute Engine dal progetto ubuntu-os-gke-cloud.

   Per maggiori informazioni, consulta Impostare i vincoli di accesso alle immagini.

9. Facoltativo:abilita l'API Container File System per consentire un avvio più rapido della workstation.

   Abilita l'API Container File System

   Per maggiori informazioni, consulta Ridurre i tempi di avvio della workstation con il flusso di immagini.

crea un cluster privato

Segui questi passaggi per creare un cluster privato:

1. Nella console Google Cloud, vai alla pagina Cloud Workstations.

   Vai a Cloud Workstations

2. Vai alla pagina Gestione dei cluster della workstation.

3. Fai clic su Crea.

4. Inserisci il Nome e seleziona una Regione per il cluster di workstation.

5. Nella sezione Networking, seleziona Reti in questo progetto.

6. Seleziona una Rete e una Subnet.

7. Per Tipo di gateway, seleziona Gateway privato.

8. (Facoltativo) Specifica uno o più progetti aggiuntivi che ospitano l'endpoint Private Service Connect che abilita l'accesso HTTP al cluster privato. Per impostazione predefinita, questo endpoint può essere creato solo nel progetto del cluster di workstation e nel progetto host di rete VPC (se diverso). Se necessario, questi progetti possono essere specificati anche dopo la creazione del cluster.

9. Fai clic su Crea.

Abilita la connettività del cluster privato

I client non possono connettersi alle workstation in cluster di workstation private dalla rete internet pubblica. I client devono trovarsi su una rete connessa al cluster di workstation tramite Private Service Connect (PSC). Segui i passaggi in questa sezione per connetterti a una workstation:

1. Crea un endpoint PSC che abbia come destinazione il collegamento del servizio di workstation.

2. Crea una zona DNS privata.

3. Utilizza Cloud DNS per creare un record DNS che mappa il nome host del cluster all'endpoint PSC.

Crea un endpoint Private Service Connect

Per creare un endpoint PSC, segui questi passaggi:

1. Nella console Google Cloud, vai a Private Service Connect.

   Vai a Private Service Connect

2. Fai clic sulla scheda Endpoint connessi e quindi su aggiungiConnetti endpoint.

3. In Destinazione, seleziona Servizio pubblicato.

4. Nel campo Servizio di destinazione, inserisci l'URI del collegamento al servizio creato per il cluster di workstation. Per trovarlo, accedi al cluster della workstation nella console e cerca il campo URI del collegamento del servizio in Impostazioni di rete.

5. Nel campo Endpoint, inserisci il nome di un endpoint.

6. Seleziona una Rete per l'endpoint, quindi seleziona una Subnet. Questa rete deve essere la rete che vuoi utilizzare per connetterti alle tue workstation e deve essere la stessa a cui si collega la tua rete esterna con Cloud VPN o Cloud Interconnect.

7. Seleziona un indirizzo IP per l'endpoint.

   Se hai bisogno di un nuovo indirizzo IP, seleziona Crea indirizzo IP:

   1. Inserisci un Nome e una Descrizione facoltativa per l'indirizzo IP.
   2. Per un Indirizzo IP statico, seleziona Assegna automaticamente. Per un Indirizzo IP personalizzato, seleziona Fammi scegliere e inserisci l'indirizzo IP che vuoi utilizzare.
   3. Per Scopo, seleziona Non condiviso.
   4. Fai clic su Prenota.

8. Seleziona uno spazio dei nomi dall'elenco a discesa o crea un nuovo spazio dei nomi. La Regione viene compilata in base alla subnet selezionata.

9. Fai clic su Aggiungi endpoint.

10. Copia l'indirizzo IP dell'endpoint in modo da poterlo utilizzare nella sezione successiva Creare una zona DNS privata e un record DNS.

Crea una zona DNS privata

Segui questi passaggi per creare una zona DNS privata per questo cluster di workstation con il nome DNS impostato su clusterHostname, che puoi trovare accedendo al cluster di workstation nella console.

1. Nella console Google Cloud, vai alla pagina Crea una zona DNS.

   Vai a Crea una zona DNS

2. Per Tipo di zona, seleziona Privato.

3. Inserisci un Nome zona, ad esempio private-workstations-cluster-zone.

4. Inserisci un suffisso del nome DNS per la zona privata. Tutti i record nella zona condividono questo suffisso. Imposta questo nome su clusterHostname.

   Per trovare il tuo clusterHostname, vai alla pagina Cloud Workstations  > Gestione dei cluster nella console Google Cloud, quindi fai clic sul cluster di workstation per visualizzare il nome host.

5. (Facoltativo) Aggiungi una descrizione.

6. In Opzioni, seleziona Predefinito (privato).

7. Seleziona la rete su cui hai creato l'endpoint PSC nella sezione precedente, perché l'indirizzo IP è valido solo su quella rete.

8. Fai clic su Crea.

Per ulteriori informazioni sulle zone DNS private, consulta la documentazione di Cloud DNS su come creare una zona privata e le best practice per le zone private di Cloud DNS.

Crea un record DNS

Per aggiungere un record che mappa *.<clusterHostname> all'indirizzo IP prenotato al momento della creazione dell'endpoint Private Service Connect, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Zone Cloud DNS.

   Vai alle zone Cloud DNS

2. Fai clic sul nome della zona gestita a cui vuoi aggiungere il record.

3. Nella pagina Dettagli zona, fai clic su Aggiungi standard.

4. Nella pagina Crea set di record, inserisci *.<clusterHostname> nel campo Nome DNS.

5. Nel campo Indirizzo IP, inserisci l'indirizzo IP che hai prenotato per il tuo endpoint Private Service Connect nella sezione precedente.

6. Fai clic su Crea.

7. La tua rete VPC ora dovrebbe essere connessa al cluster delle workstation e puoi connetterti alle workstation utilizzando questa rete.

Abilita risoluzione DNS on-premise

Per utilizzare l'editor basato su browser predefinito sulla tua workstation, usa un browser da una macchina connessa alla rete VPC. Puoi utilizzare Cloud VPN o Cloud Interconnect per connetterti alla rete VPC dalla rete esterna su cui esegui il browser.

Per connetterti da una rete esterna, devi configurare il DNS nella rete esterna. Come nei passaggi precedenti, puoi creare una zona DNS per clusterHostname e aggiungere un record che mappa *.<clusterHostname> all'indirizzo IP prenotato al momento della creazione dell'endpoint Private Service Connect. In alternativa, puoi configurare criteri per le zone di forwarding DNS o i server DNS per consentire ricerche dei nomi DNS tra gli ambienti on-premise e Google Cloud.

Potresti anche dover aggiungere *cloudworkstations.dev alla lista consentita della tua infrastruttura on-premise.

Passaggi successivi

• Configura l'accesso VPC condiviso
• Risoluzione dei problemi comuni relativi al VPC