En esta página, se describe cómo funcionan los Controles del servicio de VPC y los clústeres privados, y cómo configurarlos en Cloud Workstations.
Controles del servicio de VPC
Los Controles del servicio de VPC proporcionan seguridad adicional para tus estaciones de trabajo a fin de mitigar el riesgo de robo de datos. Con los Controles del servicio de VPC, puedes agregar proyectos a perímetros de servicio que pueden ayudar a proteger los recursos y servicios de las solicitudes que se originan fuera del perímetro.
Estos son los requisitos para usar Cloud Workstations en un perímetro de servicio de VPC:
- Para proteger Cloud Workstations, debes restringir la API de Compute Engine en tu perímetro de servicio cada vez que restrinjas la API de Cloud Workstations.
Asegúrate de que la API de Google Cloud Storage y la API de Artifact Registry sean accesibles a la VPC en tu perímetro de servicio. Esto es necesario para extraer imágenes en tu estación de trabajo. También te recomendamos que permitas que la API de Cloud Logging y la API de Cloud Error Reporting sean accesibles desde la VPC en tu perímetro de servicio, aunque esto no es obligatorio para usar Cloud Workstations.
- Asegúrate de que tu clúster de estaciones de trabajo sea privado. Configurar un clúster privado evita las conexiones a tus estaciones de trabajo desde fuera del perímetro de servicio de tu VPC. El servicio de Cloud Workstations impide la creación de clústeres públicos en un perímetro de servicio de VPC.
- Asegúrate de desactivar las direcciones IP públicas en la configuración de tu estación de trabajo. Si no lo haces, las VMs de tu proyecto tendrán direcciones IP públicas. Te recomendamos que uses la restricción de la política de la organización
constraints/compute.vmExternalIpAccess
para desactivar las direcciones IP públicas de todas las VMs en el perímetro del servicio de VPC. Para obtener más información, consulta Restringe direcciones IP externas a VMs específicas.
Para obtener más información sobre los perímetros de servicio, consulta Configuración y detalles del perímetro de servicio.
Arquitectura
Cuando configuras un clúster de estaciones de trabajo como privado, el plano de control del clúster de estaciones de trabajo solo tiene una dirección IP interna. Esto significa que los clientes de Internet pública no pueden conectarse a las estaciones de trabajo que pertenecen al clúster de estaciones de trabajo. Para usar un clúster privado, debes conectarlo manualmente a tu red de nube privada virtual (VPC) a través de un extremo de Private Service Connect.
Las configuraciones con clústeres privados requieren dos extremos de PSC:
De forma predeterminada, Cloud Workstations crea un extremo de PSC independiente para conectar el plano de control a las VMs de la estación de trabajo.
Debes crear un extremo de PSC adicional para los clústeres privados. Para conectarte desde tu máquina local a una estación de trabajo en un clúster privado, tu máquina local debe estar conectada a tu red de VPC. Usa Cloud VPN o Cloud Interconnect para conectar la red externa en la que ejecutas tu máquina a la red de VPC. Este extremo de PSC adicional debe crearse en la misma red a la que se conecta tu red externa con Cloud VPN o Cloud Interconnect.
En el siguiente diagrama, se ilustra un ejemplo de arquitectura de un clúster privado:
Antes de comenzar
Antes de comenzar, asegúrate de completar estos pasos de configuración obligatorios:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Workstations API.
-
Asegúrate de tener el rol de administrador de Cloud Workstations de IAM en el proyecto para poder crear configuraciones de estaciones de trabajo. Para verificar tus roles de IAM en la consola de Google Cloud , ve a la página de IAM:
-
Cloud Workstations se alojan en VMs que se inician desde imágenes públicas preconfiguradas de Container-Optimized OS (COS) de Compute Engine. Si se aplica la restricción de la política de la organización
constraints/compute.trustedimageProjects
, debes establecer restricciones de acceso a imágenes para permitir que los usuarios creen discos de arranque a partir deprojects/cos-cloud
o todas las imágenes públicas. -
Opcional: Habilita la API de Container File System para permitir un inicio más rápido de la estación de trabajo.
Habilita la API del sistema de archivos de contenedor
Para obtener más información, consulta Reduce el tiempo de inicio de la estación de trabajo con la transmisión de imágenes.
En la consola de Google Cloud , ve a la página Cloud Workstations.
Navega a la página Administración de clústeres de la estación de trabajo.
Haz clic en Crear.
Ingresa el Nombre y selecciona una Región para tu clúster de estaciones de trabajo.
En la sección Herramientas de redes, selecciona Redes en este proyecto.
Selecciona una Red y una Subred.
En Tipo de puerta de enlace, selecciona Puerta de enlace privada.
Opcional: Especifica uno o más proyectos adicionales que alojan el extremo de Private Service Connect que habilita el acceso HTTP a tu clúster privado. De forma predeterminada, este extremo solo se puede crear en el proyecto del clúster de la estación de trabajo y en el proyecto host de la red de VPC (si son diferentes). Si es necesario, estos proyectos también se pueden especificar después de la creación del clúster.
Haz clic en Crear. Mientras se crea el clúster, el estado aparece como Actualizando.
La creación de un clúster tarda varios minutos en completarse. Cuando finalice la creación del clúster, es posible que su estado aparezca como Degraded. Después de completar los pasos de la sección Crea un extremo de PSC, el estado del clúster cambiará a Listo en unos minutos.
Crea un extremo de PSC que apunte a tu adjunto de servicio de estación de trabajo.
Usa Cloud DNS para crear un registro DNS que asigne el nombre de host de tu clúster al extremo de PSC.
En la Google Cloud consola, ve a Private Service Connect.
Haz clic en la pestaña Extremos conectados y, luego, en agregarConectar extremo.
En Destino, selecciona Servicio publicado.
En el campo Servicio de destino, ingresa el URI del adjunto de servicio creado para el clúster de la estación de trabajo. Para encontrarlo, navega a tu clúster de estaciones de trabajo en la consola y busca el campo URI de adjunto de servicio en Configuración de red.
En el campo Endpoint, ingresa un nombre de extremo.
Selecciona una red para el extremo y, luego, selecciona una subred. Esta red debe ser la que deseas usar para conectarte a tus estaciones de trabajo y debe ser la misma a la que se conecta tu red externa con Cloud VPN o Cloud Interconnect.
Selecciona una dirección IP para el extremo.
Si necesitas una dirección IP nueva, selecciona Crear dirección IP:
- Ingresa un nombre y una descripción para la dirección IP.
- En Dirección IP estática, selecciona Asignar de forma automática. Para una dirección IP personalizada, selecciona Permitirme elegir y, luego, ingresa la dirección IP que deseas usar.
- En Propósito, selecciona No compartido.
- Haz clic en Reservar.
Selecciona un espacio de nombres de la lista desplegable o crea un espacio de nombres nuevo. La región se propaga en función de la subred seleccionada.
Haz clic en Agregar extremo.
Copia la dirección IP del extremo para que puedas usarla en la siguiente sección para crear una zona de DNS privada y un registro DNS.
En la Google Cloud consola, ve a la página Crear una zona de DNS.
En Tipo de zona, selecciona Privada.
Ingresa un nombre de zona, como
private-workstations-cluster-zone
.Ingresa un sufijo de nombre de DNS para la zona privada. Todos los registros de la zona comparten este sufijo. Establece este nombre en tu
clusterHostname
.Para encontrar tu
clusterHostname
, navega a la página Administración de clústeres > Cloud Workstations en la consola de Google Cloud y, luego, haz clic en tu clúster de estaciones de trabajo para ver el nombre de host.Opcional: Agrega una descripción.
En Opciones, selecciona Predeterminada (privada).
Selecciona la red en la que creaste el extremo de PSC en la sección anterior, ya que la dirección IP solo es válida en esa red.
Haz clic en Crear.
En la consola de Google Cloud , ve a la página Zonas de Cloud DNS.
Haz clic en el nombre de la zona administrada a la que deseas agregar el registro.
En la página Detalles de la zona, haz clic en Agregar estándar.
En la página Crear conjunto de registros, en el campo Nombre de DNS, ingresa
*.<clusterHostname>
.En el campo Dirección IP, ingresa la dirección IP que reservaste para tu extremo de Private Service Connect en la sección anterior.
Haz clic en Crear.
Tu red de VPC ahora debería estar conectada al clúster de estaciones de trabajo, y puedes conectarte a las estaciones de trabajo con esta red.
Crea un clúster privado
Sigue estos pasos para crear un clúster privado:
Habilita la conectividad del clúster privado
Los clientes no pueden conectarse a las estaciones de trabajo en clústeres de estaciones de trabajo privadas desde Internet pública. Los clientes deben estar en una red que se conecte al clúster de estaciones de trabajo con Private Service Connect (PSC). Sigue los pasos de esta sección para conectarte a una estación de trabajo:
Crear un extremo de Private Service Connect
Sigue estos pasos para crear un extremo de PSC:
Crea una zona de DNS privado
Sigue estos pasos para crear una zona de DNS privada para este clúster de estaciones de trabajo con el nombre de DNS establecido en tu clusterHostname
, que puedes encontrar navegando a tu clúster de estaciones de trabajo en la consola.
Para obtener más información sobre las zonas DNS privadas, consulta la documentación de Cloud DNS sobre cómo crear una zona privada y las prácticas recomendadas para las zonas privadas de Cloud DNS.
Crea un registro DNS
Para agregar un registro que asigne *.<clusterHostname>
a la dirección IP reservada cuando creaste el extremo de Private Service Connect, sigue estos pasos:
Habilita la resolución de DNS en el entorno local
Para usar el editor predeterminado basado en el navegador en tu estación de trabajo, usa un navegador desde una máquina conectada a la red de VPC. Puedes usar Cloud VPN o Cloud Interconnect para conectarte desde la red externa en la que ejecutas tu navegador a la red de VPC.
Para conectarte desde una red externa, debes configurar el DNS en la red externa. De manera similar a los pasos anteriores, puedes crear una zona DNS para clusterHostname
y agregar un registro que asigne *.<clusterHostname>
a la dirección IP reservada cuando creaste el extremo de Private Service Connect. Como alternativa, puedes configurar zonas de reenvío de DNS o políticas de servidor DNS para permitir búsquedas de nombres de DNS entre tus entornos locales y de Google Cloud .
También es posible que debas agregar *cloudworkstations.dev
a la lista de entidades permitidas de tu infraestructura local.