Compatibilité avec le protocole SSH

Cette page explique comment utiliser la CLI gcloud pour vous connecter à votre station de travail à partir d'une machine locale à l'aide de SSH (ou de tout autre protocole TCP).

Les stations de travail Cloud utilisent un tunnel pour transférer le trafic TCP entre un port de votre machine locale et un port de votre station de travail, sans exposer votre station de travail à Internet. Les connexions sont authentifiées à partir de la CLI gcloud et autorisés conformément à l' les stratégies IAM de la station de travail cible.

Une fois le tunnel TCP établi entre votre port local et la station de travail, vous pouvez l'utiliser pour transférer le trafic d'un client SSH, de curl ou de toute autre application qui utilise TCP.

Pour plus de commodité, Cloud Workstations fournit gcloud workstations ssh qui établit le tunnel TCP et exécute un client SSH avec une seule commande CLI gcloud.

Pour tous les autres cas d'utilisation, utilisez la commande gcloud workstations start-tcp-tunnel pour établir le tunnel TCP et exécuter l'application qui utilisera le tunnel (par exemple, curl) dans un terminal distinct.

Avant de commencer

1. Si vous n'avez pas encore de station de travail à laquelle vous connecter, configurer une station de travail.

2. Install the Google Cloud CLI, then initialize it by running the following command:

   gcloud init

3. Assurez-vous de disposer du Utilisateur Cloud Workstations rôle IAM sur la station de travail à laquelle vous vous connecterez.

   Accéder à IAM

Se connecter à votre station de travail à l'aide de SSH

Pour établir une connexion SSH sécurisée avec votre poste de travail, utilisez le gcloud workstations ssh qui démarre un tunnel TCP et exécute un client SSH.

Pour copier la commande dans le tampon de copier-coller, cliquez sur content_copy Copier l'exemple de code, puis collez la commande dans une fenêtre de terminal locale :

gcloud workstations ssh \
    --project=PROJECT_ID \
    --region=REGION \
    --cluster=CLUSTER_NAME \
    --config=CONFIG_NAME  \
    --port=WORKSTATION_PORT  \
    --local-host-port=localhost:LOCAL_PORT  \
    WORKSTATION_NAME

Remplacez les valeurs suivantes :

• PROJECT_ID : ID du projet Google Cloud du projet contenant la station de travail. Si elle est omise, le projet actuel est utilisé.

• REGION: région où se trouve le cluster de la station de travail situé, par exemple, us-central1.

• CLUSTER_NAME: nom du cluster de stations de travail contenant la station de travail.

• CONFIG_NAME : nom de la configuration de la station de travail contenant ces stations de travail.

• WORKSTATION_PORT (facultatif): port sur la station de travail vers lequel le trafic doit être envoyé. Si cette valeur n'est pas spécifiée, le trafic sera dirigé vers le port. 22 Toutes les images Cloud Workstations préconfigurées incluent un serveur SSH qui s'exécute sur le port 22 de la station de travail.

• LOCAL_PORT (facultatif): port localhost à partir duquel le trafic sera envoyé. Les numéros de port valides vont de 1024 à 65535. Si vous omettez l'indicateur --local-host-port ou spécifiez un port de 0, un port inutilisé est sélectionné automatiquement.

• WORKSTATION_NAME : nom de la station de travail.

Facultatif : Pour transmettre des indicateurs et des positions à l'implémentation ssh sous-jacente, ajoutez-les à la commande après un double tiret (--).

Utiliser un tunnel TCP pour transférer du trafic TCP arbitraire vers votre station de travail

Pour vous connecter à une station de travail à l'aide d'une application TCP autre que ssh, utilisez la commande gcloud workstations start-tcp-tunnel :

1. Exécutez la commande CLI gcloud suivante pour créer un tunnel TCP authentifié.

   Pour copier la commande dans le tampon de copier-coller, cliquez sur content_copy Copiez l'exemple de code, puis collez la commande dans une fenêtre de terminal locale:

   gcloud workstations start-tcp-tunnel \
       --project=PROJECT_ID \
       --region=REGION \
       --cluster=CLUSTER_NAME \
       --config=CONFIG_NAME \
       --local-host-port=localhost:LOCAL_PORT \
       WORKSTATION_NAME \
       WORKSTATION_PORT
   

   Remplacez les valeurs suivantes :

   • PROJECT_ID : ID du projet Google Cloud du projet contenant la station de travail. Si elle est omise, le projet actuel est utilisé.

   • REGION: région où se trouve le cluster de la station de travail situé, par exemple, us-central1.

   • CLUSTER_NAME: nom du cluster de stations de travail contenant la station de travail.

   • CONFIG_NAME: nom de la station de travail configuration contenant ces stations de travail.

   • LOCAL_PORT (facultatif) : port localhost à partir duquel le trafic sera envoyé. Les numéros de port valides vont de 1024 à 65535. Si vous omettez l'indicateur --local-host-port ou spécifiez un port de 0, un port inutilisé est sélectionné automatiquement.

   • WORKSTATION_NAME: nom de la station de travail.

   • WORKSTATION_PORT : port de la station de travail auquel le trafic doit être envoyé. Les images Cloud Workstations préconfigurées incluent un serveur SSH qui s'exécute sur le port de la station de travail 22.

2. La commande CLI gcloud effectue un test de connectivité avec la station de travail, ouvre un tunnel, puis affiche un numéro de port :

   Listening on port [LOCAL_PORT].
   

   Tout le trafic envoyé à localhost:LOCAL_PORT est transféré vers la station de travail. Le port n'est accessible que par les applications exécutées sur votre ordinateur local.

3. Laissez la CLI gcloud s'exécuter et ouvrez un autre terminal pour exécuter l'application qui se connecte à votre poste de travail.

   Par exemple, si vous exécutez un serveur sur votre poste de travail qui sert le port WORKSTATION_PORT et que, à l'étape précédente, vous avez créé un tunnel TCP qui transfère le trafic entre votre port local LOCAL_PORT et le port de la station de travail WORKSTATION_PORT, vous pouvez exécuter curl sur votre machine locale pour vous connecter au serveur sur votre poste de travail :

   curl localhost:LOCAL_PORT
   Hello, world!
   

4. Lorsque vous avez terminé, revenez au terminal où vous avez démarré le tunnel TCP et interrompez la CLI gcloud en appuyant sur Ctrl+C.

Utiliser des serveurs SSH sur des ports différents

Images de conteneurs personnalisées peuvent également utiliser les serveurs SSH sur n'importe quel port. Pour permettre les connexions depuis le gcloud, vous devez configurer des serveurs SSH personnalisés pour autoriser l'authentification par mot de passe et définir l'utilisateur cible avec un mot de passe vide. Cloud Workstations utilise Cloud IAM pour s'assurer que seul le trafic autorisé est envoyé au serveur SSH.

Étape suivante

• Définir des variables d'environnement de conteneur dans des sessions SSH pour les images de conteneur personnalisées
• Activez le transfert X11 pour les images de conteneurs personnalisés.