Configurare i Controlli di servizio VPC e i cluster privati

Questa pagina descrive il funzionamento di Controlli di servizio VPC e dei cluster privati e come configurarli in Cloud Workstations.

Controlli di servizio VPC

I Controlli di servizio VPC offrono una maggiore sicurezza per le tue stazioni di lavoro per contribuire a mitigare il rischio di esfiltrazione di dati. Con i Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio che possono contribuire a proteggere le risorse e i servizi dalle richieste provenienti dall'esterno del perimetro.

Di seguito sono riportati i requisiti per l'utilizzo Cloud Workstations in un perimetro di servizio VPC:

• Per contribuire a proteggere Cloud Workstations, devi limitare l'API Compute Engine nel perimetro del servizio ogni volta che limiti l'API Cloud Workstations.

• Assicurati che l'API Google Cloud Storage, l'API Google Container Registry e l'API Artifact Registry siano accessibili dalla VPC nel perimetro del servizio. Questo è necessario per importare le immagini nella tua workstation. Ti consigliamo inoltre di consentire l'accesso all'API Cloud Logging e all'API Error Reporting nel perimetro del servizio VPC, anche se non è necessario per utilizzare le Cloud Workstations.

• Assicurati che il cluster della workstation sia privato. La configurazione di un cluster privato impedisce le connessioni alle tue stazioni di lavoro dall'esterno del perimetro di servizio VPC. Il servizio Cloud Workstations impedisce la creazione di cluster pubblici in un perimetro di servizio VPC.
• Assicurati di disattivare gli indirizzi IP pubblici nella configurazione della workstation. In caso contrario, nel progetto verranno create VM con indirizzi IP pubblici. Ti consigliamo vivamente di utilizzare il vincolo dei criteri dell'organizzazione constraints/compute.vmExternalIpAccess per disattivare gli indirizzi IP pubblici per tutte le VM nel perimetro del servizio VPC. Per maggiori dettagli, consulta Limitare gli indirizzi IP esterni a VM specifiche.

Per scoprire di più sui perimetri di servizio, consulta Dettagli e configurazione dei perimetri di servizio.

Architettura

Quando configuri un cluster di workstation come privato, il piano di controllo del cluster di workstation ha solo un indirizzo IP interno. Ciò significa che i client dell'internet pubblico non possono connettersi alle workstation appartenenti al cluster di workstation. Per utilizzare un cluster privato, devi connetterlo manualmente alla tua rete Virtual Private Cloud (VPC) tramite un endpoint Private Service Connect.

Le configurazioni con cluster privati richiedono due endpoint PSC:

• Per impostazione predefinita, Cloud Workstations crea un endpoint PSC distinto per collegare il piano di controllo alle VM della workstation.

• Devi creare un endpoint PSC aggiuntivo per i cluster privati. Per connetterti dalla tua macchina locale a una workstation in un cluster privato, la tua macchina locale deve essere connessa alla rete VPC. Utilizza Cloud VPN o Cloud Interconnect per connettere la rete esterna in cui esegui la macchina alla rete VPC. Questo endpoint PSC aggiuntivo deve essere creato nella stessa rete a cui si connette la rete esterna con Cloud VPN o Cloud Interconnect.

Il seguente diagramma mostra un esempio di architettura di un cluster privato:

Prima di iniziare

Prima di iniziare, assicurati di completare i seguenti passaggi di configurazione obbligatori:

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

5. Make sure that billing is enabled for your Google Cloud project.

6. Enable the Cloud Workstations API.

   Enable the API

7. Assicurati di disporre di un ruolo IAM Amministratore Cloud Workstations nel progetto per poter creare configurazioni delle workstation. Per controllare i tuoi ruoli IAM nella console Google Cloud, vai alla pagina IAM:

   Vai a IAM

8. Le Cloud Workstations sono ospitate su VM avviate da immagini pubbliche preconfigurate di COS (Container-Optimized OS) di Compute Engine. Se il vincolo dei criteri dell'organizzazione constraints/compute.trustedimageProjects viene applicato, devi impostare vincoli di accesso alle immagini per consentire agli utenti di creare dischi di avvio da projects/cos-cloud o da tutte le immagini pubbliche.
9. (Facoltativo) Abilita l'API Container File System per consentire un avvio più rapido della workstation.

   Attiva l'API Container File System

   Per ulteriori informazioni, consulta Ridurre il tempo di avvio della workstation con Image streaming.

Creare un cluster privato

Per creare un cluster privato:

1. Nella console Google Cloud, vai alla pagina Workstation cloud.

   Vai a Cloud Workstations

2. Vai alla pagina Gestione dei cluster della workstation.

3. Fai clic su Crea.

4. Inserisci il Nome e seleziona una Regione per il cluster di workstation.

5. Nella sezione Networking, seleziona Reti in questo progetto.

6. Seleziona una Rete e una Subnet.

7. In Tipo di gateway, seleziona Gateway privato.

8. (Facoltativo) Specifica uno o più progetti aggiuntivi che ospitano l'endpoint Private Service Connect che consente l'accesso HTTP al tuo cluster privato. Per impostazione predefinita, questo endpoint può essere creato solo nel progetto del cluster di workstation e nel progetto host della rete VPC (se diverso). Se necessario, questi progetti possono essere specificati anche dopo la creazione del cluster.

9. Fai clic su Crea. Durante la creazione del cluster, lo stato visualizzato è Aggiornamento.

   La creazione di un cluster richiede diversi minuti. Al termine della creazione del cluster, lo stato del cluster potrebbe essere Degraded. Dopo aver completato i passaggi descritti nella sezione Creare un endpoint PSC, lo stato del cluster diventerà Pronto entro alcuni minuti.

Abilita la connettività del cluster privato

I client non possono connettersi alle workstation in cluster di workstation privati dall'internet pubblico. I client devono trovarsi su una rete che si connette al cluster di workstation utilizzando Private Service Connect (PSC). Per connetterti a una workstation, segui i passaggi descritti in questa sezione:

1. Crea un endpoint PSC che abbia come target il collegamento del servizio della workstation.

2. Crea una zona DNS privata.

3. Utilizza Cloud DNS per creare un record DNS che mappa il nome host del tuo cluster all'endpoint PSC.

Creare un endpoint Private Service Connect

Per creare un endpoint PSC:

1. Nella console Google Cloud, vai a Private Service Connect.

   Vai a Private Service Connect

2. Fai clic sulla scheda Endpoint collegati e poi su AggiungiConnetti endpoint.

3. In Target, seleziona Servizio pubblicato.

4. Nel campo Servizio di destinazione, inserisci l'URI del collegamento al servizio creato per il cluster di workstation. Per trovarlo, vai al cluster della tua workstation sulla console e cerca il campo URI allegato servizio in Impostazioni di rete.

5. Nel campo Endpoint, inserisci un nome per l'endpoint.

6. Seleziona una Rete per l'endpoint e poi una Subnet. Questa rete deve essere la rete che vuoi utilizzare per connetterti alle tue stazioni di lavoro e deve essere la stessa a cui si connette la tua rete esterna con Cloud VPN o Cloud Interconnect.

7. Seleziona un indirizzo IP per l'endpoint.

   Se hai bisogno di un nuovo indirizzo IP, seleziona Crea indirizzo IP:

   1. Inserisci un nome e una descrizione facoltativa per l'indirizzo IP.
   2. Per un indirizzo IP statico, seleziona Assegna automaticamente. Per un indirizzo IP personalizzato, seleziona Fammi scegliere e inserisci l'indirizzo IP che vuoi utilizzare.
   3. Per Finalità, seleziona Non condivisa.
   4. Fai clic su Prenota.

8. Seleziona uno spazio dei nomi dall'elenco a discesa o creane uno nuovo. Il campo Regione viene compilato in base alla subnet selezionata.

9. Fai clic su Aggiungi endpoint.

10. Copia l'indirizzo IP dell'endpoint in modo da poterlo utilizzare nella sezione successiva per creare una zona DNS privata e un record DNS.

Creare una zona DNS privata

Segui questi passaggi per creare una zona DNS privata per questo cluster di workstation con il nome DNS impostato su clusterHostname, che puoi trovare accedendo al cluster di workstation nella console.

1. Nella console Google Cloud, vai alla pagina Crea una zona DNS.

   Vai a Crea una zona DNS

2. In Tipo di zona, seleziona Privato.

3. Inserisci un nome zona, ad esempio private-workstations-cluster-zone.

4. Inserisci un suffisso del nome DNS per la zona privata. Tutti i record della zona condividono questo suffisso. Imposta questo nome per il tuo clusterHostname.

   Per trovare il tuo clusterHostname, vai alla pagina Cloud Workstations  > Gestione dei cluster nella console Google Cloud, quindi fai clic sul cluster della workstation per visualizzare il nome host.

5. (Facoltativo) Aggiungi una descrizione.

6. In Opzioni, seleziona Predefinito (privato).

7. Seleziona la rete su cui hai creato l'endpoint PSC nella sezione precedente, poiché l'indirizzo IP è valido solo su quella rete.

8. Fai clic su Crea.

Per ulteriori informazioni sulle zone DNS private, consulta la documentazione di Cloud DNS su come creare una zona privata e sulle Best practice per le zone private Cloud DNS.

Crea un record DNS

Per aggiungere un record che mappa *.<clusterHostname> all'indirizzo IP riservato quando hai creato l'endpoint Private Service Connect, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Zone Cloud DNS.

   Vai alle zone Cloud DNS

2. Fai clic sul nome della zona gestita a cui vuoi aggiungere il record.

3. Nella pagina Dettagli zona, fai clic su Aggiungi standard.

4. Nella pagina Crea set di record, inserisci *.<clusterHostname> nel campo Nome DNS.

5. Nel campo Indirizzo IP, inserisci l'indirizzo IP che hai prenotato per il tuo endpoint Private Service Connect nella sezione precedente.

6. Fai clic su Crea.

7. La rete VPC dovrebbe ora essere connessa al cluster di stazioni di lavoro e puoi connetterti alle stazioni di lavoro utilizzando questa rete.

Attivare la risoluzione DNS on-premise

Per utilizzare l'editor basato su browser predefinito sulla tua workstation, utilizza un browser da un computer connesso alla rete VPC. Puoi utilizzare Cloud VPN o Cloud Interconnect per connetterti dalla rete esterna in cui esegui il browser alla rete VPC.

Per connetterti da una rete esterna, devi configurare il DNS nella rete esterna. Come per i passaggi precedenti, puoi creare una zona DNS per clusterHostname e aggiungere un record che mappa *.<clusterHostname> all'indirizzo IP riservato quando hai creato l'endpoint Private Service Connect. In alternativa, puoi configurare zone di inoltro DNS o criteri del server DNS per consentire le ricerche dei nomi DNS tra gli ambienti on-premise e Google Cloud.

Potresti anche dover aggiungere *cloudworkstations.dev alla lista consentita della tua infrastruttura on-premise.

Passaggi successivi

• Configurare l'accesso alla rete VPC condiviso
• Risolvere i problemi comuni dei VPC