Configurare i Controlli di servizio VPC e i cluster privati

Questa pagina descrive come funzionano i Controlli di servizio VPC e i cluster privati e come configurarli in Cloud Workstations.

Controlli di servizio VPC

I Controlli di servizio VPC forniscono ulteriore sicurezza per le workstation per contribuire a mitigare il rischio di esfiltrazione di dati. Utilizzando i Controlli di servizio VPC, puoi aggiungere progetti ai perimetri di servizio che possono contribuire a proteggere risorse e servizi da richieste provenienti dall'esterno del perimetro.

Di seguito sono riportati i requisiti per l'utilizzo di Cloud Workstations in un perimetro di servizio VPC:

  • Per proteggere Cloud Workstations, devi limitare l'API Compute Engine nel perimetro di servizio ogni volta che limiti l'API Cloud Workstations.

  • Assicurati che l'API Google Cloud Storage e l'API Artifact Registry siano accessibili tramite VPC nel perimetro di servizio. Questo passaggio è necessario per scaricare le immagini sulla workstation. Ti consigliamo inoltre di consentire l'accesso VPC all'API Cloud Logging e all'API Cloud Error Reporting nel perimetro di servizio, anche se non è necessario per utilizzare Cloud Workstations.

  • Assicurati che il cluster di workstation sia privato. La configurazione di un cluster privato impedisce le connessioni alle workstation dall'esterno del perimetro di servizio VPC. Il servizio Cloud Workstations impedisce la creazione di cluster pubblici in un perimetro di servizio VPC.
  • Assicurati di disattivare gli indirizzi IP pubblici nella configurazione della workstation. In caso contrario, nel tuo progetto verranno create VM con indirizzi IP pubblici. Ti consigliamo vivamente di utilizzare il vincolo dei criteri dell'organizzazione constraints/compute.vmExternalIpAccess per disattivare gli indirizzi IP pubblici per tutte le VM nel perimetro di servizio VPC. Per maggiori dettagli, consulta Limitare gli indirizzi IP esterni a VM specifiche.

Per scoprire di più sui perimetri di servizio, consulta Dettagli e configurazione dei perimetri di servizio.

Architettura

Quando configuri un cluster di workstation come privato, il piano di controllo del cluster di workstation ha solo un indirizzo IP interno. Ciò significa che i client della rete internet pubblica non possono connettersi alle workstation appartenenti al cluster di workstation. Per utilizzare un cluster privato, devi connettere manualmente il cluster privato alla tua rete Virtual Private Cloud (VPC) tramite un endpoint Private Service Connect.

Le configurazioni con cluster privati richiedono due endpoint PSC:

  • Per impostazione predefinita, Cloud Workstations crea un endpoint PSC separato per connettere il control plane alle VM workstation.

  • Devi creare un endpoint PSC aggiuntivo per i cluster privati. Per connetterti dalla tua macchina locale a una workstation in un cluster privato, la tua macchina locale deve essere connessa alla tua rete VPC. Utilizza Cloud VPN o Cloud Interconnect per connettere la rete esterna in cui esegui la macchina alla rete VPC. Questo endpoint PSC aggiuntivo deve essere creato nella stessa rete a cui si connette la rete esterna con Cloud VPN o Cloud Interconnect.

Il seguente diagramma illustra un'architettura di esempio di un cluster privato:

Figura 1. Cluster privati

Prima di iniziare

Prima di iniziare, assicurati di completare i seguenti passaggi di configurazione obbligatori:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Enable the Cloud Workstations API.

    Enable the API

  7. Assicurati di disporre del ruolo IAM Amministratore Cloud Workstations sul progetto per poter creare configurazioni della workstation. Per controllare i tuoi ruoli IAM nella console Google Cloud , vai alla pagina IAM:

    Vai a IAM

  8. Cloud Workstations sono ospitate su VM avviate da immagini Container-Optimized OS (COS) pubbliche preconfigurate di Compute Engine. Se viene applicato il vincolo dei criteri dell'organizzazione constraints/compute.trustedimageProjects, devi impostare i vincoli di accesso alle immagini per consentire agli utenti di creare dischi di avvio da projects/cos-cloud o da tutte le immagini pubbliche.
  9. (Facoltativo) Abilita l'API Container File System per consentire un avvio più rapido della workstation.

    Attiva l'API Container File System

    Per saperne di più, consulta Ridurre il tempo di avvio della workstation con il flusso dell'immagine.

    10. Creare un cluster privato

    Per creare un cluster privato:

    1. Nella Google Cloud console, vai alla pagina Cloud Workstations.

      Vai a Cloud Workstations

    2. Vai alla pagina Gestione dei cluster della workstation.

    3. Fai clic su Crea.

    4. Inserisci il Nome e seleziona una Regione per il cluster di workstation.

    5. Nella sezione Networking, seleziona Reti in questo progetto.

    6. Seleziona una rete e una subnet.

    7. Per Tipo di gateway, seleziona Gateway privato.

    8. (Facoltativo) Specifica uno o più progetti aggiuntivi che ospitano l'endpoint Private Service Connect che consente l'accesso HTTP al cluster privato. Per impostazione predefinita, questo endpoint può essere creato solo nel progetto del cluster di workstation e nel progetto host della rete VPC (se diverso). Se necessario, questi progetti possono essere specificati anche dopo la creazione del cluster.

    9. Fai clic su Crea. Durante la creazione del cluster, lo stato viene visualizzato come Aggiornamento.

      La creazione di un cluster richiede diversi minuti. Al termine della creazione del cluster, il relativo stato potrebbe essere visualizzato come Degradato. Dopo aver completato i passaggi descritti nella sezione Crea un endpoint PSC, lo stato del cluster diventerà Pronto entro pochi minuti.

    Abilita la connettività del cluster privato

    I client non possono connettersi alle workstation nei cluster di workstation privati da internet pubblico. I client devono trovarsi su una rete che si connette al cluster di workstation utilizzando Private Service Connect (PSC). Segui i passaggi descritti in questa sezione per connetterti a una workstation:

    1. Crea un endpoint PSC che abbia come target il collegamento del servizio workstation.

    2. Crea una zona DNS privata.

    3. Utilizza Cloud DNS per creare un record DNS che mappa il nome host del cluster all'endpoint PSC.

    Crea un endpoint Private Service Connect

    Per creare un endpoint PSC:

    1. Nella console Google Cloud , vai a Private Service Connect.

      Vai a Private Service Connect

    2. Fai clic sulla scheda Endpoint connessi e poi su AggiungiConnetti endpoint.

    3. In Destinazione, seleziona Servizio pubblicato.

    4. Nel campo Servizio di destinazione, inserisci l'URI del collegamento al servizio creato per il cluster di workstation. Per trovarlo, vai al cluster della workstation nella console e cerca il campo URI del collegamento del servizio in Impostazioni di rete.

    5. Nel campo Endpoint, inserisci un nome per l'endpoint.

    6. Seleziona una Rete per l'endpoint, quindi seleziona una Subnet. Questa rete deve essere quella che vuoi utilizzare per connetterti alle tue workstation e deve essere la stessa a cui si connette la tua rete esterna con Cloud VPN o Cloud Interconnect.

    7. Seleziona un indirizzo IP per l'endpoint.

      Se hai bisogno di un nuovo indirizzo IP, seleziona Crea indirizzo IP:

      1. Inserisci un nome e una descrizione facoltativa per l'indirizzo IP.
      2. Per un indirizzo IP statico, seleziona Assegna automaticamente. Per un indirizzo IP personalizzato, seleziona Fammi scegliere e inserisci l'indirizzo IP che vuoi utilizzare.
      3. Per Finalità, seleziona Non condivisa.
      4. Fai clic su Prenota.

    8. Seleziona uno spazio dei nomi dall'elenco a discesa o creane uno nuovo. Il campo Regione viene compilato in base alla subnet selezionata.

    9. Fai clic su Aggiungi endpoint.

    10. Copia l'indirizzo IP dell'endpoint in modo da poterlo utilizzare nella sezione successiva per creare una zona DNS privata e un record DNS.

    Crea una zona DNS privata

    Segui questi passaggi per creare una zona DNS privata per questo cluster di workstation con il nome DNS impostato su clusterHostname, che puoi trovare andando al cluster di workstation nella console.

    1. Nella console Google Cloud , vai alla pagina Crea una zona DNS.

      Vai a Crea una zona DNS

    2. Per Tipo di zona, seleziona Privata.

    3. Inserisci un Nome zona, ad esempio private-workstations-cluster-zone.

    4. Inserisci un suffisso del nome DNS per la zona privata. Tutti i record nella zona condividono questo suffisso. Imposta questo nome su clusterHostname.

      Per trovare il tuo clusterHostname, vai alla pagina Cloud Workstations  > Gestione dei cluster nella console Google Cloud , quindi fai clic sul cluster di workstation per visualizzare il nome host.

    5. (Facoltativo) Aggiungi una descrizione.

    6. Nella sezione Opzioni, seleziona Predefinito (privato).

    7. Seleziona la rete su cui hai creato l'endpoint PSC nella sezione precedente, perché l'indirizzo IP è valido solo su quella rete.

    8. Fai clic su Crea.

    Per ulteriori informazioni sulle zone DNS private, consulta la documentazione di Cloud DNS su come creare una zona privata e sulle best practice per le zone private Cloud DNS.

    Crea un record DNS

    Per aggiungere un record che mappa *.<clusterHostname> all'indirizzo IP riservato quando hai creato l'endpoint Private Service Connect, segui questi passaggi:

    1. Nella console Google Cloud , vai alla pagina Zone Cloud DNS.

      Vai alle zone Cloud DNS

    2. Fai clic sul nome della zona gestita a cui vuoi aggiungere il record.

    3. Nella pagina Dettagli zona, fai clic su Aggiungi standard.

    4. Nella pagina Crea set di record, inserisci *.<clusterHostname> nel campo Nome DNS.

    5. Nel campo Indirizzo IP, inserisci l'indirizzo IP che hai prenotato per l'endpoint Private Service Connect nella sezione precedente.

    6. Fai clic su Crea.

    7. La tua rete VPC ora dovrebbe essere connessa al cluster di workstation e puoi connetterti alle workstation utilizzando questa rete.

    Attiva la risoluzione DNS on-premise

    Per utilizzare l'editor predefinito basato sul browser sulla workstation, utilizza un browser da una macchina connessa alla rete VPC. Puoi utilizzare Cloud VPN o Cloud Interconnect per connetterti dalla rete esterna in cui esegui il browser alla rete VPC.

    Per connetterti da una rete esterna, devi configurare il DNS nella rete esterna. Analogamente ai passaggi precedenti, puoi creare una zona DNS per clusterHostname e aggiungere un record che mappa *.<clusterHostname> all'indirizzo IP riservato quando hai creato l'endpoint Private Service Connect. In alternativa, puoi configurare zone di inoltro DNS o criteri del server DNS per consentire le ricerche di nomi DNS tra gli ambienti on-premise e Google Cloud .

    Potresti anche dover aggiungere *cloudworkstations.dev alla lista consentita della tua infrastruttura on-premise.

    Passaggi successivi