Esta página foi traduzida pela API Cloud Translation.

Suporte a SSH

Nesta página, descrevemos como usar a CLI gcloud para se conectar à sua estação de trabalho de uma máquina local usando SSH (ou qualquer outro protocolo TCP).

O Cloud Workstations usa um túnel para encaminhar o tráfego TCP entre uma porta na sua máquina local e uma porta na estação de trabalho sem expor abertamente a estação de trabalho à Internet. As conexões são autenticadas usando credenciais da CLI gcloud e autorizadas de acordo com as políticas do IAM da estação de trabalho de destino.

Depois que o túnel TCP for estabelecido entre a porta local e a estação de trabalho, será possível usá-lo para encaminhar o tráfego de um cliente SSH, curl ou qualquer outro aplicativo que use TCP.

Para sua conveniência, o Cloud Workstations fornece o comando gcloud workstations ssh, que estabelece o túnel TCP e executa um cliente SSH com um único comando da CLI gcloud.

Para todos os outros casos de uso, use o comando gcloud workstations start-tcp-tunnel para estabelecer o túnel TCP e execute o aplicativo que vai usar o túnel (por exemplo, curl) em um terminal separado.

Antes de começar

Se você ainda não tiver uma estação de trabalho para se conectar, configure uma.
Instale a CLI do Google Cloud. Após a instalação, inicialize a CLI do Google Cloud executando o seguinte comando:
```
gcloud init
```
Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.
Verifique se você tem o papel do IAM de Usuário do Cloud Workstations na estação de trabalho a que você vai se conectar.

Acessar o IAM

Conectar-se à estação de trabalho usando SSH

Para estabelecer uma conexão SSH segura com a estação de trabalho, use o comando gcloud workstations ssh, que inicia um túnel TCP e executa um cliente SSH.

Para copiar o comando para o buffer de copiar e colar, clique em Copiar exemplo de código e cole o comando em uma janela de terminal local:

gcloud workstations ssh \
    --project=PROJECT_ID \
    --region=REGION \
    --cluster=CLUSTER_NAME \
    --config=CONFIG_NAME  \
    --port=WORKSTATION_PORT  \
    --local-host-port=localhost:LOCAL_PORT  \
    WORKSTATION_NAME

Substitua os seguintes valores:

PROJECT_ID: o ID do projeto Google Cloud que contém a estação de trabalho. Se omitido, o projeto atual será usado.
REGION: a região em que o cluster da estação de trabalho está localizado. Por exemplo, us-central1.
CLUSTER_NAME: o nome do cluster de estação de trabalho que contém a estação de trabalho.
CONFIG_NAME: o nome da configuração de estação de trabalho que contém essas estações de trabalho.
WORKSTATION_PORT (opcional): a porta na estação de trabalho para onde o tráfego deve ser enviado. Se omitido, o tráfego será enviado para a porta 22. Todas as imagens pré-configuradas do Cloud Workstations incluem um servidor SSH que é executado na porta 22 da estação de trabalho.
LOCAL_PORT (opcional): a porta do localhost de onde o tráfego será enviado. Os números de porta válidos são de 1024 a 65535. Se você omitir a flag --local-host-port ou especificar uma porta de 0, uma porta não utilizada será selecionada automaticamente.
WORKSTATION_NAME: o nome da estação de trabalho.

Opcional: para transmitir flags e argumentos posicionais à implementação ssh subjacente, adicione-os ao comando após um traço duplo (--).

Use um túnel TCP para encaminhar tráfego TCP arbitrário para sua estação de trabalho

Para se conectar a uma estação de trabalho usando um aplicativo TCP diferente de ssh, use o comando gcloud workstations start-tcp-tunnel:

Execute o seguinte comando da CLI gcloud para criar um túnel TCP autenticado.

Para copiar o comando para o buffer de copiar e colar, clique em Copiar exemplo de código e cole o comando em uma janela de terminal local:
```
gcloud workstations start-tcp-tunnel \
    --project=PROJECT_ID \
    --region=REGION \
    --cluster=CLUSTER_NAME \
    --config=CONFIG_NAME \
    --local-host-port=localhost:LOCAL_PORT \
    WORKSTATION_NAME \
    WORKSTATION_PORT
```
Substitua os seguintes valores:
- PROJECT_ID: o ID do projeto Google Cloud que contém a estação de trabalho. Se omitido, o projeto atual será usado.
- REGION: a região em que o cluster da estação de trabalho está localizado. Por exemplo, us-central1.
- CLUSTER_NAME: o nome do cluster de estação de trabalho que contém a estação de trabalho.
- CONFIG_NAME: o nome da configuração da estação de trabalho que contém essas estações.
- LOCAL_PORT (opcional): a porta do localhost de onde o tráfego será enviado. Os números de porta válidos são de 1024 a 65535. Se você omitir a flag --local-host-port ou especificar uma porta de 0, uma porta não utilizada será selecionada automaticamente.
- WORKSTATION_NAME: o nome da estação de trabalho.
- WORKSTATION_PORT: a porta da estação de trabalho para onde o tráfego deve ser enviado. As imagens pré-configuradas do Cloud Workstations incluem um servidor SSH que é executado na porta 22 da estação de trabalho.
O comando da CLI gcloud executa um teste de conectividade com a estação de trabalho, abre um túnel e mostra um número de porta:
```
Listening on port [LOCAL_PORT].
```
Todo o tráfego enviado para localhost:LOCAL_PORT é encaminhado para a estação de trabalho. A porta é acessível apenas por aplicativos em execução no seu computador local.
Deixe a CLI gcloud em execução e abra outro terminal para executar o aplicativo que se conecta à sua estação de trabalho.

Por exemplo, se você estiver executando um servidor na estação de trabalho que atende à porta WORKSTATION_PORT e, na etapa anterior, tiver criado um túnel TCP que encaminha o tráfego entre a porta local LOCAL_PORT e a porta da estação de trabalho WORKSTATION_PORT, execute curl na máquina local para se conectar ao servidor na estação de trabalho:
```
curl localhost:LOCAL_PORT
Hello, world!
```
Quando terminar, volte ao terminal em que você iniciou o túnel TCP e interrompa a CLI gcloud pressionando Control+C.

Usar servidores SSH em portas diferentes

As imagens de contêiner personalizadas também podem usar servidores SSH em qualquer porta. Para oferecer suporte a conexões do túnel da CLI gcloud, configure servidores SSH personalizados para permitir a autenticação por senha e defina o usuário de destino com uma senha vazia. O Cloud Workstations usa o Cloud IAM para garantir que apenas tráfego autorizado seja enviado ao servidor SSH.

A seguir

Definir variáveis de ambiente de contêiner em sessões SSH para imagens de contêiner personalizadas
Ativar o encaminhamento X11 para imagens de contêiner personalizadas