Configura Controlli di servizio VPC e cluster privati

Questa pagina descrive come funzionano i Controlli di servizio VPC e i cluster privati e come per configurarle in Cloud Workstations.

Controlli di servizio VPC

I Controlli di servizio VPC forniscono maggiore sicurezza per le tue workstation a ridurre il rischio di esfiltrazione di dati. Con i Controlli di servizio VPC, puoi aggiungere di progetti ai perimetri di servizio che possono aiutare a proteggere risorse e servizi che hanno origine al di fuori del perimetro.

Questi sono i requisiti per utilizzare Cloud Workstations in un Perimetro di servizio VPC:

  • Per contribuire a proteggere Cloud Workstations, devi limitare l'API Compute Engine nel perimetro del servizio ogni volta che limiti l'API Cloud Workstations.
  • Assicurati che l'API Google Cloud Storage, l'API Google Container Registry, e l'API Artifact Registry VPC accessibile nel tuo servizio perimetrale. Questa operazione è necessaria per eseguire il pull delle immagini sulla workstation. Ti consigliamo inoltre di autorizzare l'API Cloud Logging e l'API Error Reporting in modo che sia accessibile al VPC perimetro di servizio, sebbene non sia necessario per l'uso Cloud Workstations.

  • Assicurati che il cluster della workstation sia privato. La configurazione di un cluster privato impedisce le connessioni alle tue stazioni di lavoro dall'esterno del perimetro di servizio VPC. Cloud Workstations impedisce la creazione di cluster pubblici in un VPC perimetro di servizio.
  • Assicurati di disattivare gli indirizzi IP pubblici nella tua workstation configurazione. Se non lo fai, si verificheranno VM con IP pubblico indirizzi IP esterni nel tuo progetto. Ti consigliamo vivamente di utilizzare constraints/compute.vmExternalIpAccess vincolo dei criteri dell'organizzazione per disattivare gli indirizzi IP pubblici per tutte le VM nel tuo perimetro di servizio VPC. Per maggiori dettagli, consulta Limitare gli indirizzi IP esterni a VM specifiche.

Per saperne di più sui perimetri di servizio, consulta Dettagli e configurazione del perimetro di servizio.

Architettura

Quando configuri un cluster di workstation come privato, il piano di controllo cluster di workstation ha solo un indirizzo IP interno. Ciò significa che i clienti dalla rete internet pubblica non può connettersi alle workstation appartenenti di un cluster di workstation. Per utilizzare un cluster privato, devi connettere manualmente un cluster privato alla rete Virtual Private Cloud (VPC) Private Service Connect endpoint.

Le configurazioni con cluster privati richiedono due endpoint PSC:

  • Per impostazione predefinita, Cloud Workstations crea un endpoint PSC distinto per collegare il piano di controllo alle VM della workstation.

  • Devi crea un endpoint PSC aggiuntivo per i cluster privati. Per connetterti dal tuo computer locale a una workstation in un cluster privato, la macchina locale deve essere connessa rete VPC. Utilizza Cloud VPN o Cloud Interconnect per connettere la rete esterna in cui esegui la macchina alla rete VPC. Questo endpoint PSC aggiuntivo deve essere creato nella stessa rete a cui si connette la rete esterna con Cloud VPN o Cloud Interconnect.

Il seguente diagramma illustra un'architettura di esempio di un cluster privato:

Figura 1. Cluster privati

Prima di iniziare

Prima di iniziare, assicurati di completare questi passaggi di configurazione richiesti:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Enable the Cloud Workstations API.

    Enable the API

  7. Assicurati di disporre del ruolo IAM Amministratore di Cloud Workstations nella in modo da poter creare configurazioni di workstation. Per verificare i tuoi ruoli IAM nella console Google Cloud, vai a Pagina IAM:

    Vai a IAM

  8. Le Cloud Workstations sono ospitate su VM avviate da immagini pubbliche preconfigurate di COS (Container-Optimized OS) di Compute Engine. Se l'organizzazione constraints/compute.trustedimageProjects un vincolo di criterio, devi impostare i vincoli di accesso alle immagini per consentire agli utenti di creare dischi di avvio da projects/cos-cloud o da tutte le immagini pubbliche.
  9. Facoltativo:abilita l'API Container File System per consentire un avvio più rapido della workstation.

    Abilita l'API Container File System

    Per ulteriori informazioni, vedi Riduci i tempi di avvio della workstation con Flusso di immagini.

Creare un cluster privato

Segui questi passaggi per creare un cluster privato:

  1. Nella console Google Cloud, vai alla pagina Cloud Workstations.

    Vai a Cloud Workstations

  2. Vai alla pagina Gestione dei cluster della workstation.

  3. Fai clic su Crea.

  4. Inserisci il Nome e seleziona una Regione per il cluster di workstation.

  5. Nella sezione Networking, seleziona Reti in questo progetto.

  6. Seleziona una Rete e una Subnet.

  7. Per Tipo di gateway, seleziona Gateway privato.

  8. (Facoltativo) Specifica uno o più progetti aggiuntivi che ospitano Endpoint Private Service Connect che consente l'accesso HTTP al tuo in un cluster privato. Per impostazione predefinita, questo endpoint può essere creato solo progetto cluster di workstation e progetto host della rete VPC (se diverso). Se necessario, questi progetti possono essere specificati anche dopo la creazione del cluster.

  9. Fai clic su Crea.

Abilita la connettività del cluster privato

I client non possono connettersi alle workstation in cluster di workstation privati dall' tramite la rete internet pubblica. I client devono trovarsi su una rete connessa un cluster di workstation Private Service Connect (PSC). Segui i passaggi in questa sezione per connetterti a una workstation:

  1. Crea un endpoint PSC che ha come destinazione il collegamento del servizio di workstation.

  2. Crea una zona DNS privata.

  3. Utilizza Cloud DNS per creare un record DNS che esegue la mappatura il nome host del cluster all'endpoint PSC.

Crea un endpoint Private Service Connect

Per creare un endpoint PSC, segui questi passaggi:

  1. Nella console Google Cloud, vai a Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Endpoint connessi e quindi su aggiungiConnetti endpoint.

  3. In Destinazione, seleziona Servizio pubblicato.

  4. Nel campo Servizio di destinazione, inserisci l'URI del collegamento al servizio creato per il cluster di workstation. Per trovarlo, accedi alla tua workstation nella console e cercando il campo URI del collegamento del servizio in Impostazioni di rete.

  5. Nel campo Endpoint, inserisci un nome per l'endpoint.

  6. Seleziona una Rete per l'endpoint, quindi seleziona una Subnet. Deve trattarsi della rete a cui vuoi connetterti alle workstation e deve essere la stessa rete della rete esterna si connette a Cloud VPN o Cloud Interconnect.

  7. Seleziona un indirizzo IP per l'endpoint.

    Se hai bisogno di un nuovo indirizzo IP, seleziona Crea indirizzo IP:

    1. Inserisci un Nome e una Descrizione facoltativa per l'indirizzo IP.
    2. Per un Indirizzo IP statico, seleziona Assegna automaticamente. Per un Indirizzo IP personalizzato, seleziona Fammi scegliere. e inserisci l'indirizzo IP che vuoi utilizzare.
    3. Per Scopo, seleziona Non condiviso.
    4. Fai clic su Prenota.
  8. Seleziona uno spazio dei nomi dall'elenco a discesa o crea un nuovo spazio dei nomi. La Regione viene compilata in base alla subnet selezionata.

  9. Fai clic su Aggiungi endpoint.

  10. Copia l'indirizzo IP dell'endpoint in modo da poterlo utilizzare nel prossimo sezione a Crea una zona DNS privata e un record DNS.

Crea una zona DNS privata

Segui questi passaggi per creare una zona DNS privata per questo cluster di workstation con il nome DNS impostato su clusterHostname, che puoi trovare accedendo al cluster di workstation nella console.

  1. Nella console Google Cloud, vai alla pagina Crea una zona DNS.

    Vai per creare una zona DNS

  2. Per Tipo di zona, seleziona Privato.

  3. Inserisci un nome zona, ad esempio private-workstations-cluster-zone.

  4. Inserisci un suffisso del nome DNS per la zona privata. Tutti i record nella zona condividi questo suffisso. Imposta questo nome su clusterHostname.

    Per trovare il tuo clusterHostname, vai alla pagina Cloud Workstations  > Gestione dei cluster nella console Google Cloud, quindi fai clic sul cluster della workstation per visualizzare il nome host.

  5. (Facoltativo) Aggiungi una descrizione.

  6. In Opzioni, seleziona Predefinito (privato).

  7. Seleziona la rete in cui hai creato l'endpoint PSC nel sezione precedente perché l'indirizzo IP è valido solo su quella rete.

  8. Fai clic su Crea.

Per ulteriori informazioni sulle zone DNS private, consulta la documentazione di Cloud DNS documentazione su come Crea una zona privata e Best practice per le zone private di Cloud DNS.

Crea un record DNS

Per aggiungere un record che mappa *.<clusterHostname> all'IP riservato al momento della creazione dell'endpoint Private Service Connect segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Zone Cloud DNS.

    Vai alle zone Cloud DNS

  2. Fai clic sul nome della zona gestita a cui vuoi aggiungere il record.

  3. Nella pagina Dettagli zona, fai clic su Aggiungi standard.

  4. Nella pagina Crea set di record, nel campo Nome DNS, inserisci *.<clusterHostname>.

  5. Nel campo Indirizzo IP, inserisci l'indirizzo IP che hai prenotato per il tuo Endpoint Private Service Connect nella sezione precedente.

  6. Fai clic su Crea.

  7. La tua rete VPC ora dovrebbe essere connessa alla workstation in un cluster Kubernetes e potrai connetterti alle workstation utilizzando questa rete.

Abilita risoluzione DNS on-premise

Per utilizzare l'editor basato su browser predefinito sulla tua workstation, usa un browser da un macchina connessa alla rete VPC. Puoi utilizzare Cloud VPN o Cloud Interconnect per connetterti alla rete esterna in cui esegui il browser al VPC in ogni rete.

Per connetterti da una rete esterna, devi configurare il DNS nella rete esterna. Come nei passaggi precedenti, puoi creare una zona DNS per clusterHostname e aggiungere un record che mappa *.<clusterHostname> all'IP riservato al momento della creazione dell'endpoint Private Service Connect. In alternativa, puoi configurare Criteri per le zone di inoltro DNS o i server DNS per consentire ricerche di nomi DNS tra gli ambienti on-premise e Google Cloud.

Potresti anche dover aggiungere *cloudworkstations.dev alla lista consentita della tua infrastruttura on-premise.

Passaggi successivi