Configurer VPC Service Controls et des clusters privés

Cette page décrit le fonctionnement de VPC Service Controls et les clusters privés, pour les configurer dans Cloud Workstations.

VPC Service Controls

VPC Service Controls offre une sécurité supplémentaire pour vos stations de travail afin de vous aider pour limiter le risque d'exfiltration des données. À l'aide de VPC Service Controls, vous pouvez ajouter des projets aux périmètres de service, qui peuvent aider à protéger les ressources et les services de requêtes provenant de l'extérieur du périmètre.

Voici les conditions requises pour utiliser Cloud Workstations Périmètre de service VPC:

• Pour protéger Cloud Workstations, vous devez restreindre les l'API Compute Engine dans votre périmètre de service chaque fois que vous limitez API Cloud Workstations.

• Assurez-vous que l'API Google Cloud Storage, l'API Google Container Registry et l'API Artifact Registry sont <ph type="x-smartling-placeholder"></ph> un VPC accessible dans votre service périmètre. Cela est nécessaire pour récupérer des images sur votre poste de travail. Nous vous recommandons aussi d'autoriser l'API Cloud Logging et Cloud Logging l'API Error Reporting pour qu'elle soit accessible par VPC périmètre de service, bien qu'elle ne soit pas requise pour utiliser Cloud Workstations.

• Assurez-vous que votre cluster de stations de travail est privée. La configuration d'un cluster privé empêche les connexions à vos stations de travail depuis l'extérieur de votre périmètre de service VPC. Cloud Workstations empêche la création de clusters publics dans un VPC périmètre de service.
• Veillez à désactiver les adresses IP publiques sur votre station de travail configuration. Si vous ne le faites pas, les VM auront des adresses IP publiques dans votre projet. Nous vous recommandons vivement d'utiliser constraints/compute.vmExternalIpAccess contrainte de règle d'administration permettant de désactiver les adresses IP publiques pour toutes les VM dans votre périmètre de service VPC. Pour en savoir plus, consultez Restreindre les adresses IP externes à des des VM.

Pour en savoir plus sur les périmètres de service, consultez la page Périmètres de service : détails et configuration.

Architecture

Lorsque vous configurez un cluster de stations de travail comme privé, le plan de contrôle du le cluster de stations de travail ne dispose que d'une adresse IP interne. Cela signifie que les clients depuis l'Internet public ne peuvent pas se connecter aux postes de travail appartenant au un cluster de stations de travail. Pour utiliser un cluster privé, vous devez connecter manuellement à votre réseau cloud privé virtuel (VPC) via un Private Service Connect point de terminaison unique.

Les configurations avec des clusters privés nécessitent deux points de terminaison PSC:

• Par défaut, Cloud Workstations crée un point de terminaison PSC distinct pour connecter le plan de contrôle aux VM de la station de travail.

• Vous devez Créez un point de terminaison PSC supplémentaire pour les clusters privés. Pour vous connecter à partir de votre ordinateur local à une station de travail dans une votre ordinateur local doit être connecté à votre sur le réseau VPC du client. Utilisez Cloud VPN ou Cloud Interconnect pour connecter le réseau externe sur lequel vous exécutez votre machine au VPC réseau. Ce point de terminaison PSC supplémentaire doit être créé sur le même réseau auquel votre réseau externe se connecte via Cloud VPN ou Cloud Interconnect.

Le schéma suivant illustre un exemple d'architecture d'un cluster privé:

Avant de commencer

Avant de commencer, assurez-vous d'avoir effectué ces étapes de configuration obligatoires:

1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Vérifiez que la facturation est activée pour votre projet Google Cloud.

4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

5. Vérifiez que la facturation est activée pour votre projet Google Cloud.

6. Activez Cloud Workstations API.

   Activer l'API

7. Assurez-vous de disposer d'un rôle IAM d'administrateur Cloud Workstations sur le pour pouvoir créer des configurations de stations de travail. Pour vérifier vos rôles IAM dans la console Google Cloud, accédez à la IAM:

   <ph type="x-smartling-placeholder"></ph> Accéder à IAM

8. Si l'organisation constraints/compute.trustedimageProjects est appliquée, vous devez ajouter le projet associé à l'image à la liste d'autorisation.
   • Sans la virtualisation imbriquée, vous devez accorder à votre projet l'autorisation d'utiliser la VM Compute Engine du projet cos-cloud.
   • Avec la virtualisation imbriquée, vous devez accorder à votre projet l'autorisation d'utiliser la VM Compute Engine du projet ubuntu-os-gke-cloud.

   Pour en savoir plus, consultez Définissez des contraintes d'accès aux images.

9. Facultatif:Activez l'API Container File System pour accélérer le démarrage de la station de travail.

   Activer l'API Container File System

   Pour en savoir plus, consultez Réduire le temps de démarrage des stations de travail avec Streaming d'images :

Créer un cluster privé

Pour créer un cluster privé, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page Cloud Workstations.

   Accéder à Cloud Workstations

2. Accédez à la page Gestion des clusters de la station de travail.

3. Cliquez sur Créer.

4. Saisissez le nom et sélectionnez une région pour votre cluster de stations de travail.

5. Dans la section "Mise en réseau", sélectionnez Réseaux dans ce projet.

6. Sélectionnez un réseau et un sous-réseau.

7. Dans le champ Type de passerelle, sélectionnez Passerelle privée.

8. (Facultatif) Spécifiez un ou plusieurs projets supplémentaires qui hébergent le le point de terminaison Private Service Connect qui permet d'accéder un cluster privé. Par défaut, ce point de terminaison ne peut être créé que dans le projet de cluster de stations de travail et projet hôte du réseau VPC (s'il est différent). Si nécessaire, ces projets peuvent également être spécifiés après la création du cluster.

9. Cliquez sur Créer.

Activer la connectivité du cluster privé

Les clients ne peuvent pas se connecter aux stations de travail des clusters de stations de travail privés à partir de l'Internet public. Les clients doivent se trouver sur un réseau qui se connecte au un cluster de stations de travail utilisant Private Service Connect (PSC). Suivez les étapes de cette section pour vous connecter à une station de travail:

1. Créer un point de terminaison PSC qui cible votre rattachement de service de station de travail.

2. Créez une zone DNS privée.

3. Utiliser Cloud DNS pour créer un enregistrement DNS qui mappe le nom d'hôte de votre cluster sur le point de terminaison PSC.

Créer un point de terminaison Private Service Connect

Suivez ces étapes pour créer un point de terminaison PSC:

1. Dans la console Google Cloud, accédez à Private Service Connect.

   OK à Private Service Connect

2. Cliquez sur l'onglet Points de terminaison connectés, puis sur addPoint de terminaison Connect.

3. Pour Cible, sélectionnez Service publié

4. Dans le champ Service cible, saisissez l'URI du rattachement de service créé. pour le cluster de stations de travail. Accédez à votre poste de travail pour obtenir cette information. cluster dans la console et recherchant le champ URI du rattachement de service sous Paramètres des réseaux.

5. Dans le champ Point de terminaison, saisissez un nom de point de terminaison.

6. Sélectionnez un réseau pour le point de terminaison, puis un sous-réseau. Ce réseau doit être celui auquel vous souhaitez vous connecter vos stations de travail, et doit correspondre au même réseau que votre réseau externe se connecte via Cloud VPN ou Cloud Interconnect.

7. Sélectionnez une adresse IP pour le point de terminaison.

   Si vous avez besoin d'une nouvelle adresse IP, sélectionnez Créer une adresse IP:

   1. Saisissez un nom et une description facultative pour l'adresse IP.
   2. Pour une adresse IP statique, sélectionnez Attribuer automatiquement. Pour Adresse IP personnalisée, sélectionnez Laissez-moi choisir. et saisissez l'adresse IP que vous souhaitez utiliser.
   3. Dans le champ Objectif, sélectionnez Non partagé.
   4. Cliquez sur Réserver.

8. Sélectionnez un espace de noms dans la liste déroulante ou créez-en un. La région est renseignée en fonction du sous-réseau sélectionné.

9. Cliquez sur Ajouter un point de terminaison.

10. Copiez l'adresse IP du point de terminaison afin de pouvoir l'utiliser dans la prochaine pour Créez une zone et un enregistrement DNS privés.

Créer une zone DNS privée

Suivez ces étapes afin de créer une zone DNS privée pour ce cluster de stations de travail avec le nom DNS défini sur votre clusterHostname, que vous pouvez trouver en accédant à votre cluster de stations de travail sur la console.

1. Dans Google Cloud Console, accédez à la page Créer une zone DNS.

   OK pour créer une zone DNS

2. Dans le champ Type de zone, sélectionnez Privé.

3. Saisissez un Nom de zone, tel que private-workstations-cluster-zone.

4. Saisissez un suffixe de Nom DNS pour la zone privée. Tous les enregistrements de la zone partager ce suffixe. Définissez ce nom sur votre clusterHostname.

   Pour trouver votre clusterHostname, accédez à Cloud Workstations > Page Gestion des clusters de la console Google Cloud Cliquez ensuite sur votre cluster de stations de travail pour afficher le nom d'hôte.

5. Facultatif : ajoutez une description.

6. Dans le champ Options, sélectionnez Par défaut (privé).

7. Sélectionnez le réseau avec lequel vous avez créé le point de terminaison PSC activé dans section précédente car l'adresse IP n'est valide que sur ce réseau.

8. Cliquez sur Créer.

Pour en savoir plus sur les zones DNS privées, consultez Cloud DNS sur la façon de Créer une zone privée et Bonnes pratiques pour les zones privées Cloud DNS

Créer un enregistrement DNS

Pour ajouter un enregistrement qui mappe *.<clusterHostname> à l'adresse IP réservée lors de la création du point de terminaison Private Service Connect, procédez comme suit:

1. Dans la console Google Cloud, accédez à la page Zones Cloud DNS.

   Accéder aux zones Cloud DNS

2. Cliquez sur le nom de la zone gérée à laquelle vous souhaitez ajouter l'enregistrement.

3. Sur la page Détails de la zone, cliquez sur Ajouter un réseau standard.

4. Sur la page Créer un jeu d'enregistrements, dans le champ Nom DNS, saisissez *.<clusterHostname>

5. Dans le champ Adresse IP, saisissez l'adresse IP que vous avez réservée pour votre point de terminaison Private Service Connect dans la section précédente.

6. Cliquez sur Créer.

7. Votre réseau VPC devrait maintenant être connecté à la station de travail et vous pouvez vous connecter à des stations de travail à l'aide de ce réseau.

Activer la résolution DNS sur site

Pour utiliser l'éditeur basé sur un navigateur par défaut sur votre poste de travail, utilisez un navigateur depuis un connectée au réseau VPC. Vous pouvez utiliser Cloud VPN ou Cloud Interconnect pour vous connecter au VPC depuis le réseau externe dans lequel vous exécutez votre navigateur réseau.

Pour vous connecter depuis un réseau externe, vous devez configurer le DNS sur le réseau externe. Comme pour les étapes précédentes, vous pouvez créer une zone DNS pour clusterHostname et ajouter un enregistrement qui mappe *.<clusterHostname> à l'adresse IP. réservée lors de la création du point de terminaison Private Service Connect. Vous pouvez également configurer Zones de transfert DNS ou règles de serveur DNS pour permettre la recherche de noms DNS entre vos environnements sur site et Google Cloud.

Vous devrez peut-être aussi ajouter *cloudworkstations.dev à votre environnement sur site liste d'autorisation de l'infrastructure.

Étape suivante

• Configurer l'accès au VPC partagé
• Résoudre les problèmes courants liés au VPC