Acerca de las conexiones SSH

Compute Engine usa la autenticación SSH basada en claves para establecer conexiones con instancias de máquinas virtuales (VMs) Linux y también admite la autenticación basada en certificados para VMs de inicio de sesión del SO (vista previa). También puedes habilitar SSH en las VMs Windows. De forma predeterminada, las contraseñas no se configuran para los usuarios locales en las máquinas virtuales Linux.

Antes de poder conectarte a una VM, debes realizar varias configuraciones. Si usas la consola de Google Cloud o la CLI de Google Cloud para conectarte a tus VMs, Compute Engine realiza estas configuraciones por ti. Compute Engine realiza diferentes configuraciones en función de la herramienta que uses para conectarte y de si gestionas el acceso a las VMs mediante metadatos o OS Login. OS Login solo está disponible para VMs de Linux.

Conexiones SSH gestionadas por metadatos

De forma predeterminada, Compute Engine usa metadatos personalizados de proyectos o instancias para configurar claves SSH y gestionar el acceso SSH. Todas las VMs de Windows usan metadatos para gestionar las claves SSH, mientras que las VMs de Linux pueden usar claves de metadatos o OS Login. Si usas Inicio de sesión del SO, las claves SSH de metadatos se inhabilitan.

Haz clic en cada pestaña para obtener más información sobre las configuraciones que realiza Compute Engine antes de conceder conexiones SSH cuando usas la Google Cloud consola, la CLI de gcloud o herramientas de terceros para conectarte a las VMs. Si te conectas a las VMs sin usar la consola o la CLI de gcloud, debes realizar algunas configuraciones por tu cuenta. Google Cloud

Consola

  1. Para conectarte a tu VM, usa el botón SSH de la consola Google Cloud .
  2. Compute Engine define un nombre de usuario y crea un par de claves SSH efímeras con la siguiente configuración:
    • Tu nombre de usuario es el mismo que el de tu cuenta de Google. Por ejemplo, si la dirección de correo asociada a tu cuenta de Google es cloudysanfrancisco@gmail.com, tu nombre de usuario será cloudysanfrancisco.
    • Tus claves SSH públicas y privadas se almacenan en la sesión de tu navegador.
    • Tu clave SSH tiene una validez de tres minutos. Tres minutos después de que Compute Engine cree la clave, ya no podrás usarla para conectarte a la VM.
  3. Compute Engine autentica tu clave SSH y concede la conexión.
  4. Compute Engine sube la clave pública SSH y el nombre de usuario a los metadatos.
  5. Compute Engine obtiene la clave SSH y el nombre de usuario de los metadatos, crea una cuenta de usuario con el nombre de usuario y, en las VMs Linux, almacena la clave pública en el archivo ~/.ssh/authorized_keys del usuario en la VM. En las VMs de Windows, Compute Engine no almacena la clave pública en la VM.
  6. Compute Engine concede la conexión.

gcloud

  1. Usa el comando gcloud compute ssh para conectarte a tu VM.
  2. Compute Engine define un nombre de usuario y crea un par de claves SSH persistentes con las siguientes configuraciones:
    • Tu nombre de usuario se define como el nombre de usuario de tu ordenador local.
    • Tu clave SSH pública se almacena en los metadatos del proyecto. Si Compute Engine no puede almacenar la clave SSH en los metadatos del proyecto (por ejemplo, porque block-project-ssh-keys está configurado como TRUE), Compute Engine la almacenará en los metadatos de la instancia.
    • Tu clave SSH privada se almacena en tu máquina local.
    • Tu clave SSH no tiene fecha de vencimiento. Se usa en todas las conexiones SSH que hagas en el futuro, a menos que configures una nueva clave.
  3. Compute Engine autentica tu clave SSH y concede la conexión.
  4. Compute Engine sube la clave pública SSH y el nombre de usuario a los metadatos.
  5. Compute Engine obtiene la clave SSH y el nombre de usuario de los metadatos, crea una cuenta de usuario con el nombre de usuario y, en las VMs Linux, almacena la clave pública en el archivo ~/.ssh/authorized_keys del usuario en la VM. En las VMs de Windows, Compute Engine no almacena la clave pública en la VM.
  6. Compute Engine concede la conexión.

Herramientas de terceros

  1. Crea un par de claves SSH y un nombre de usuario. Para obtener más información, consulta el artículo Crear claves SSH.
  2. Sube la clave pública y el nombre de usuario a los metadatos. Consulta Añadir claves SSH a máquinas virtuales que usan claves SSH basadas en metadatos para obtener más información.
  3. Te conectas a la VM.
  4. Compute Engine obtiene la clave SSH y el nombre de usuario de los metadatos, crea una cuenta de usuario con el nombre de usuario y, en las VMs Linux, almacena la clave pública en el archivo ~/.ssh/authorized_keys del usuario en la VM. En las VMs de Windows, Compute Engine no almacena la clave pública en la VM.
  5. Compute Engine concede la conexión.

Conexiones SSH gestionadas por OS Login

Cuando configuras los metadatos de OS Login, Compute Engine elimina los archivos authorized_keys de la VM y deja de aceptar conexiones de claves SSH almacenadas en los metadatos del proyecto o de la instancia. Inicio de sesión del SO admite conexiones de claves SSH asociadas a tu cuenta de Google y certificados SSH (vista previa) firmados por la autoridad de certificación de Inicio de sesión del SO. De forma opcional, puedes requerir OS Login para permitir solo las conexiones que usen certificados SSH, tal como se describe en el artículo Requerir certificados SSH con OS Login.

Conexiones de clave SSH

Haz clic en cada pestaña para obtener más información sobre las configuraciones que realiza Compute Engine antes de conceder conexiones SSH cuando usas claves SSH para conectarte a máquinas virtuales. Compute Engine realiza diferentes configuraciones en función de si usas la Google Cloud consola, la interfaz de línea de comandos de gcloud o herramientas de terceros para conectarte a las VMs. Si te conectas mediante herramientas de terceros, debes realizar algunas configuraciones por tu cuenta.

Consola

  1. Para conectarte a tu VM, usa el botón SSH de la consola Google Cloud .
  2. Compute Engine define un nombre de usuario y crea un par de claves SSH efímeras con la siguiente configuración:
    • Tu nombre de usuario es el que ha definido el administrador de Cloud Identity o Google Workspace de tu organización. Si tu organización no ha configurado un nombre de usuario para ti o tu proyecto no pertenece a ninguna organización, Compute Engine usará tu correo de cuenta de Google con el siguiente formato: 

      USERNAME_DOMAIN_SUFFIX
       Por ejemplo, si el correo asociado a tu cuenta de Google es cloudysanfrancisco@gmail.com, tu nombre de usuario generado será cloudysanfrancisco_gmail_com.

    • Tu clave SSH pública se almacena en la sesión de tu navegador y en tu cuenta de Google.
    • Tu clave SSH privada se almacena en la sesión de tu navegador.
    • Tu clave SSH tiene una validez de tres minutos. Tres minutos después de que Compute Engine cree la clave, ya no podrás usarla para conectarte a la VM.
  3. Compute Engine autentica tu clave SSH y concede la conexión.

gcloud

  1. Usa el comando gcloud compute ssh para conectarte a tu VM.
  2. Compute Engine define un nombre de usuario y crea un par de claves SSH persistentes con las siguientes configuraciones:
    • Tu nombre de usuario es el que ha definido el administrador de Cloud Identity o Google Workspace de tu organización. Si tu organización no ha configurado un nombre de usuario para ti, Compute Engine usará el correo de tu cuenta de Google con el siguiente formato:

      USERNAME_DOMAIN_SUFFIX
       Por ejemplo, si el correo asociado a tu cuenta de Google es cloudysanfrancisco@gmail.com, tu nombre de usuario generado será cloudysanfrancisco_gmail_com.

    • Tu clave SSH pública se almacena en tu cuenta de Google.
    • Tu clave SSH privada se almacena en tu máquina local en el archivo google_compute_engine.
    • Tu clave SSH no tiene fecha de vencimiento. Se usa en todas las conexiones SSH que hagas en el futuro, a menos que configures una nueva clave.
  3. Compute Engine autentica tu clave SSH y concede la conexión.

Herramientas de terceros

  1. Crea un par de claves SSH. Para obtener más información, consulta el artículo Crear claves SSH.
  2. Sube tu clave pública SSH a tu perfil de OS Login. Consulta más información en el artículo Añadir claves a máquinas virtuales que usan el inicio de sesión del SO.
    • Compute Engine almacena tu clave en tu cuenta de Google.
    • Compute Engine configura tu nombre de usuario con el formato predeterminado: 
          USERNAME_DOMAIN_SUFFIX
       Por ejemplo, si el correo asociado a tu cuenta de Google es cloudysanfrancisco@gmail.com, tu nombre de usuario generado será cloudysanfrancisco_gmail_com.
  3. También puedes definir un nombre de usuario con la API Directory del SDK de administrador de Google Workspace.
  4. Te conectas a la VM.
  5. Compute Engine autentica tu clave SSH y concede la conexión.

Conexiones de certificados SSH

Haz clic en cada pestaña para obtener más información sobre las configuraciones que realiza Compute Engine antes de conceder conexiones SSH cuando usas certificados SSH para conectarte a máquinas virtuales. Compute Engine realiza diferentes configuraciones en función de si usas la Google Cloud consola, la CLI de gcloud o herramientas de terceros para conectarte a las VMs. Si te conectas mediante herramientas de terceros, debes realizar algunas configuraciones.

Consola

  1. Para conectarte a tu VM, usa el botón SSH de la consolaGoogle Cloud .
  2. Compute Engine asigna un nombre de usuario y crea un par de claves SSH efímeras. Tu nombre de usuario es el que ha definido el administrador de Cloud Identity o Google Workspace de tu organización. Si tu organización no ha configurado un nombre de usuario para ti o tu proyecto no pertenece a ninguna organización, Compute Engine usará el correo de tu cuenta de Google con el siguiente formato: 

    USERNAME_DOMAIN_SUFFIX
     Por ejemplo, si el correo asociado a tu cuenta de Google es cloudysanfrancisco@gmail.com, tu nombre de usuario generado será cloudysanfrancisco_gmail_com.

  3. Compute Engine envía tu clave pública a la autoridad de certificación de inicio de sesión del SO y realiza la autorización de gestión de identidades y accesos para asegurarse de que tienes los permisos necesarios para conectarte a la VM.
  4. La autoridad de certificación de OS Login proporciona un certificado SSH firmado de corta duración.
  5. Compute Engine autentica tu certificado de corta duración y concede tu conexión.

gcloud

  1. Usa el comando gcloud beta compute ssh para conectarte a tu VM.
  2. Compute Engine asigna un nombre de usuario y crea un par de claves SSH efímeras. Tu nombre de usuario es el que ha definido el administrador de Cloud Identity o Google Workspace de tu organización. Si tu organización no ha configurado un nombre de usuario para ti o tu proyecto no pertenece a ninguna organización, Compute Engine usará el correo de tu cuenta de Google con el siguiente formato: 

    USERNAME_DOMAIN_SUFFIX
     Por ejemplo, si el correo asociado a tu cuenta de Google es cloudysanfrancisco@gmail.com, tu nombre de usuario generado será cloudysanfrancisco_gmail_com.

  3. Compute Engine envía tu clave pública a la autoridad de certificación de inicio de sesión del SO y realiza la autorización de gestión de identidades y accesos para asegurarse de que tienes los permisos necesarios para conectarte a la VM.
  4. La autoridad de certificación de OS Login proporciona un certificado SSH firmado de corta duración.
  5. Compute Engine autentica tu certificado de corta duración y concede tu conexión.

Herramientas de terceros

  1. Crea un par de claves SSH. Para obtener más información, consulta el artículo Crear claves SSH.
  2. Si no te has conectado antes a una VM que usa OS Login, aprovisiona una cuenta POSIX.
  3. Compute Engine configura tu nombre de usuario con el formato predeterminado: 
    USERNAME_DOMAIN_SUFFIX
     Por ejemplo, si el correo asociado a tu cuenta de Google es cloudysanfrancisco@gmail.com, tu nombre de usuario generado es cloudysanfrancisco_gmail_com.
  4. Tu administrador puede definir un nombre de usuario con la API Directory del SDK de administrador de Google Workspace. Si tu organización usa la federación de identidades de Workforce, debes ponerte en contacto con tu administrador para cambiar tu nombre de usuario.
  5. Envías tu clave pública a la autoridad de certificación de inicio de sesión con SO.
  6. La autoridad de certificación de OS Login proporciona un certificado SSH firmado de corta duración.
  7. Usas el certificado para conectarte a la VM.
  8. Compute Engine autentica tu certificado de corta duración y concede tu conexión.

Siguientes pasos