Acerca de las conexiones SSH

Compute Engine utiliza autenticación SSH basada en claves para establecer conexiones con todas las instancias de máquinas virtuales (VM) de Linux. Opcionalmente, puede habilitar SSH para máquinas virtuales Windows. De forma predeterminada, las contraseñas no están configuradas para usuarios locales en máquinas virtuales Linux.

Antes de poder conectarse a una máquina virtual, se deben realizar varias configuraciones. Si usas la consola de Google Cloud o la CLI de Google Cloud para conectarte a tus VM, Compute Engine realiza estas configuraciones en tu nombre.Compute Engine realiza diferentes configuraciones según la herramienta que uses para conectarte y si administras el acceso a las VM a través de metadatos o el inicio de sesión del sistema operativo . El inicio de sesión en el sistema operativo solo está disponible para máquinas virtuales Linux.

Conexiones SSH administradas por metadatos

Por defecto,Compute Engine utiliza metadatos de instancia o proyectos personalizados para configurar claves SSH y administrar el acceso SSH.Todas las máquinas virtuales de Windows usan metadatos para administrar claves SSH, mientras que las máquinas virtuales de Linux pueden usar claves de metadatos o inicio de sesión en el sistema operativo. Si utiliza el inicio de sesión en el sistema operativo, las claves SSH de metadatos están deshabilitadas.

Haz clic en cada pestaña para obtener más información sobre las configuraciones que realiza Compute Engine antes de otorgar conexiones SSH cuando usas la consola de Google Cloud, la CLI de gcloud o herramientas de terceros para conectarte a las máquinas virtuales. Si te conectas a máquinas virtuales sin usar la consola de Google Cloud o la CLI de gcloud, debes realizar algunas configuraciones tú mismo.

Consola

  1. Utilice el botón SSH en la consola de Google Cloud para conectarse a su VM .
  2. Compute Engine establece un nombre de usuario y crea un par de claves SSH efímeras con la siguiente configuración:
    • Su nombre de usuario está configurado como nombre de usuario en su cuenta de Google. Por ejemplo, si la dirección de correo electrónico asociada con su cuenta de Google es cloudysanfrancisco@gmail.com , entonces su nombre de usuario es cloudysanfrancisco .
    • Sus claves SSH públicas y privadas se almacenan en la sesión de su navegador.
    • Su clave SSH tiene una caducidad de tres minutos. Tres minutos después de que Compute Engine crea la clave, ya no puedes usar la clave SSH para conectarte a la VM.
  3. Compute Engine carga la clave SSH pública y el nombre de usuario en los metadatos.
  4. Compute Engine recupera la clave SSH y el nombre de usuario de los metadatos, crea una cuenta de usuario con el nombre de usuario y, en las máquinas virtuales Linux, almacena la clave pública en el archivo ~/.ssh/authorized_keys de su usuario en la máquina virtual. En las máquinas virtuales Windows, Compute Engine no almacena la clave pública en la máquina virtual.
  5. Compute Engine otorga tu conexión.

nube de gcloud

  1. Usas el comando gcloud compute ssh para conectarte a tu VM .
  2. Compute Engine establece un nombre de usuario y crea un par de claves SSH persistentes con las siguientes configuraciones:
    • Su nombre de usuario está configurado como nombre de usuario en su máquina local.
    • Su clave SSH pública se almacena en los metadatos del proyecto. Si Compute Engine no puede almacenar la clave SSH en los metadatos del proyecto, por ejemplo, porque block-project-ssh-keys está configurado en TRUE , Compute Engine almacena la clave SSH en los metadatos de la instancia.
    • Su clave SSH privada se almacena en su máquina local.
    • Su clave SSH no tiene fecha de caducidad. Se utiliza para todas las conexiones SSH futuras que realice, a menos que configure una nueva clave.
  3. Compute Engine carga la clave SSH pública y el nombre de usuario en los metadatos.
  4. Compute Engine recupera la clave SSH y el nombre de usuario de los metadatos, crea una cuenta de usuario con el nombre de usuario y, en las máquinas virtuales Linux, almacena la clave pública en el archivo ~/.ssh/authorized_keys de su usuario en la máquina virtual. En las máquinas virtuales Windows, Compute Engine no almacena la clave pública en la máquina virtual.
  5. Compute Engine otorga tu conexión.

Herramientas de terceros

  1. Usted crea un par de claves SSH y un nombre de usuario. Consulte Crear claves SSH para obtener más detalles.
  2. Subes la clave pública y el nombre de usuario a los metadatos. Consulte Agregar claves SSH a máquinas virtuales que usan claves SSH basadas en metadatos para obtener más detalles.
  3. Te conectas a la VM.
  4. Compute Engine recupera la clave SSH y el nombre de usuario de los metadatos, crea una cuenta de usuario con el nombre de usuario y, en las máquinas virtuales Linux, almacena la clave pública en el archivo ~/.ssh/authorized_keys de su usuario en la máquina virtual. En las máquinas virtuales Windows, Compute Engine no almacena la clave pública en la máquina virtual.
  5. Compute Engine otorga tu conexión.

Conexiones SSH administradas por inicio de sesión en el sistema operativo

Cuando configuras los metadatos de inicio de sesión del sistema operativo, Compute Engine elimina los archivos de authorized_keys de la VM y ya no acepta conexiones de claves SSH que están almacenadas en los metadatos del proyecto o de la instancia.

Haz clic en cada pestaña para obtener más información sobre las configuraciones que realiza Compute Engine antes de otorgar conexiones SSH cuando usas la consola de Google Cloud, la CLI de gcloud o herramientas de terceros para conectarte a las máquinas virtuales. Si te conectas a máquinas virtuales sin usar la consola de Google Cloud o la CLI de gcloud, debes realizar algunas configuraciones tú mismo.

Consola

  1. Utilice el botón SSH en la consola de Google Cloud para conectarse a su VM .
  2. Compute Engine establece un nombre de usuario y crea un par de claves SSH efímeras con la siguiente configuración:
    • Su nombre de usuario es el nombre de usuario establecido por el administrador de Cloud Identity o Google Workspace de su organización. Si tu organización no ha configurado un nombre de usuario para ti o tu proyecto no pertenece a una organización, Compute Engine utiliza el correo electrónico de tu cuenta de Google, en el siguiente formato:

      USERNAME_DOMAIN_SUFFIX
       Por ejemplo, si el correo electrónico asociado con su cuenta de Google es cloudysanfrancisco@gmail.com , entonces su nombre de usuario generado es cloudysanfrancisco_gmail_com .

    • Su clave SSH pública se almacena en la sesión de su navegador y en su cuenta de Google.
    • Su clave SSH privada se almacena en la sesión de su navegador.
    • Su clave SSH tiene una caducidad de tres minutos. Tres minutos después de que Compute Engine crea la clave, ya no puedes usar la clave SSH para conectarte a la VM.
  3. Compute Engine resuelve el nombre de usuario proporcionado en su cuenta de inicio de sesión del sistema operativo en la máquina virtual mediante módulos de servicio NSS.
  4. Compute Engine realiza la autorización de IAM mediante AuthorizedKeysCommand para garantizar que tengas los permisos necesarios para conectarte.
  5. AuthorizedKeysCommand recupera la clave SSH de su cuenta de usuario para proporcionársela a OpenSSH en la VM.
  6. Compute Engine otorga tu conexión.

nube de gcloud

  1. Usas el comando gcloud compute ssh para conectarte a tu VM .
  2. Compute Engine establece un nombre de usuario y crea un par de claves SSH persistentes con las siguientes configuraciones:
    • Su nombre de usuario es el nombre de usuario establecido por el administrador de Cloud Identity o Google Workspace de su organización. Si su organización no ha configurado un nombre de usuario para usted, Compute Engine utiliza el correo electrónico de su cuenta de Google, en el siguiente formato:

      USERNAME_DOMAIN_SUFFIX
       Por ejemplo, si el correo electrónico asociado con su cuenta de Google es cloudysanfrancisco@gmail.com , entonces su nombre de usuario generado es cloudysanfrancisco_gmail_com .

    • Su clave SSH pública se almacena en su cuenta de Google.
    • Su clave SSH privada se almacena en su máquina local en el archivo google_compute_engine .
    • Su clave SSH no tiene fecha de caducidad. Se utiliza para todas las conexiones SSH futuras que realice, a menos que configure una nueva clave.
  3. Compute Engine resuelve el nombre de usuario proporcionado en su cuenta de inicio de sesión del sistema operativo en la máquina virtual mediante módulos de servicio NSS.
  4. Compute Engine realiza la autorización de IAM mediante AuthorizedKeysCommand para garantizar que tengas los permisos necesarios para conectarte.
  5. AuthorizedKeysCommand recupera la clave SSH de su cuenta de usuario para proporcionársela a OpenSSH en la VM.
  6. Compute Engine otorga tu conexión.

Herramientas de terceros

  1. Creas un par de claves SSH. Consulte Crear claves SSH para obtener más detalles.
  2. Usted carga su clave SSH pública en su perfil de inicio de sesión del sistema operativo. Consulte Agregar claves a máquinas virtuales que utilizan el inicio de sesión en el sistema operativo para obtener más detalles.
    • Compute Engine almacena su clave en su cuenta de Google.
    • Compute Engine configura su nombre de usuario en el formato predeterminado: 
          USERNAME_DOMAIN_SUFFIX
       Por ejemplo, si el correo electrónico asociado con su cuenta de Google es cloudysanfrancisco@gmail.com , entonces su nombre de usuario generado es cloudysanfrancisco_gmail_com .
  3. Opcionalmente, puedes establecer un nombre de usuario con la API del directorio del SDK de administración de Google Workspace .
  4. Te conectas a la VM.
  5. Compute Engine resuelve el nombre de usuario proporcionado en su cuenta de inicio de sesión del sistema operativo en la máquina virtual mediante módulos de servicio NSS.
  6. Compute Engine realiza la autorización de IAM mediante AuthorizedKeysCommand para garantizar que tengas los permisos necesarios para conectarte.
  7. AuthorizedKeysCommand recupera la clave SSH de su cuenta de usuario para proporcionársela a OpenSSH en la VM.
  8. Compute Engine otorga tu conexión.

¿Qué sigue?