En esta página, se describe cómo funcionan los Controles del servicio de VPC y los clústeres privados, y cómo configurarlos en Cloud Workstations.
Controles del servicio de VPC
Los Controles del servicio de VPC brindan seguridad adicional para tus estaciones de trabajo para mitigar el riesgo de robo de datos. Con los Controles del servicio de VPC, puedes agregar proyectos a perímetros de servicio que pueden ayudar a proteger los recursos y servicios de las solicitudes que se originan fuera del perímetro.
Estos son los requisitos para usar Cloud Workstations en un perímetro de servicio de VPC:
- Para ayudar a proteger las estaciones de trabajo de Cloud, debes restringir la API de Compute Engine en tu perímetro de servicio cada vez que restrinjas la API de Cloud Workstations.
Asegúrate de que la API de Google Cloud Storage, la API de Google Container Registry y la API de Artifact Registry sean accesibles a la VPC en tu perímetro de servicio. Esto es necesario para extraer imágenes en tu estación de trabajo. También te recomendamos que permitas que la API de Cloud Logging y Cloud Error Reporting sean accesibles para la VPC en tu perímetro de servicio, aunque esto no es obligatorio para usar Cloud Workstations.
- Asegúrate de que el clúster de tu estación de trabajo sea privado. La configuración de un clúster privado evita las conexiones a tus estaciones de trabajo desde fuera del perímetro de servicio de tu VPC. El servicio de Cloud Workstations evita la creación de clústeres públicos en un perímetro de servicio de VPC.
- Asegúrate de desactivar las direcciones IP públicas en la configuración de la estación de trabajo. De lo contrario, se generarán VMs con direcciones IP públicas en tu proyecto. Te recomendamos que uses la restricción de la política de la organización
constraints/compute.vmExternalIpAccess
para desactivar las direcciones IP públicas de todas las VMs en el perímetro de servicio de tu VPC. Para obtener más información, consulta Restringe direcciones IP externas a VMs específicas.
Para obtener más información sobre los perímetros de servicio, consulta Configuración y detalles del perímetro de servicio.
Arquitectura
Cuando configuras un clúster de estaciones de trabajo como privado, el plano de control del clúster de estaciones de trabajo solo tiene una dirección IP interna. Esto significa que los clientes de Internet pública no se pueden conectar a las estaciones de trabajo que pertenecen al clúster de estaciones de trabajo. Para usar un clúster privado, debes conectarlo manualmente a tu red de nube privada virtual (VPC) a través de un extremo de Private Service Connect.
Las configuraciones con clústeres privados requieren dos extremos de PSC:
De forma predeterminada, Cloud Workstations crea un extremo de PSC independiente para conectar el plano de control a las VMs de la estación de trabajo.
Debes crear un extremo de PSC adicional para los clústeres privados. Para conectarte desde tu máquina local a una estación de trabajo en un clúster privado, tu máquina local debe estar conectada a tu red de VPC. Usa Cloud VPN o Cloud Interconnect para conectar la red externa en la que ejecutas tu máquina a la red de VPC. Este extremo de PSC adicional se debe crear en la misma red a la que se conecta tu red externa con Cloud VPN o Cloud Interconnect.
En el siguiente diagrama, se ilustra una arquitectura de ejemplo de un clúster privado:
Antes de comenzar
Antes de comenzar, asegúrate de completar estos pasos de configuración obligatorios:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Workstations API.
-
Asegúrate de tener un rol de administrador de IAM de estaciones de trabajo de Cloud en el proyecto para que puedas crear configuraciones de estaciones de trabajo. Para verificar tus roles de IAM en la consola de Google Cloud, ve a la página IAM:
-
Cloud Workstations se alojan en VMs que se inician desde las imágenes públicas preconfiguradas de Container-Optimized OS (COS) de Compute Engine. Si se aplica la restricción de la política de la organización
constraints/compute.trustedimageProjects
, debes configurar restricciones de acceso a las imágenes para permitir que los usuarios creen discos de arranque a partir deprojects/cos-cloud
o de todas las imágenes públicas. -
Opcional: Habilita la API de Container File System para permitir un inicio más rápido de la estación de trabajo.
Habilita la API del sistema de archivos de contenedor
Para obtener más información, consulta Cómo reducir el tiempo de inicio de la estación de trabajo con la transmisión de imágenes.
Crea un clúster privado
Sigue estos pasos para crear un clúster privado:
En la consola de Google Cloud, ve a la página Cloud Workstations.
Navega a la página Administración de clústeres de la estación de trabajo.
Haz clic en Crear.
Ingresa el Nombre y selecciona una Región para tu clúster de estaciones de trabajo.
En la sección Herramientas de redes, selecciona Redes del proyecto.
Selecciona una Red y una Subred.
En Tipo de puerta de enlace, selecciona Puerta de enlace privada.
Opcional: Especifica uno o más proyectos adicionales que almacenen el extremo de Private Service Connect que habilita el acceso HTTP a tu clúster privado. De forma predeterminada, este extremo solo se puede crear en el proyecto del clúster de la estación de trabajo y el proyecto host de la red de VPC (si son diferentes). Si es necesario, estos proyectos también se pueden especificar después de la creación del clúster.
Haz clic en Crear. Mientras se crea el clúster, el estado aparece como Actualizando.
La creación de un clúster tarda varios minutos en completarse. Cuando finalice la creación del clúster, su estado podría aparecer como Degradado. Después de completar los pasos de la sección Crea un extremo de PSC, el estado del clúster cambiará a Listo en unos minutos.
Habilita la conectividad de clústeres privados
Los clientes no pueden conectarse a estaciones de trabajo en clústeres de estaciones de trabajo privadas desde Internet pública. Los clientes deben estar en una red que se conecte al clúster de estaciones de trabajo con Private Service Connect (PSC). Sigue los pasos que se indican en esta sección para conectarte a una estación de trabajo:
Crea un extremo de PSC que se oriente al adjunto de servicio de tu estación de trabajo.
Usa Cloud DNS para crear un registro DNS que asigne el nombre de host de tu clúster al extremo de PSC.
Crear un extremo de Private Service Connect
Sigue estos pasos para crear un extremo de PSC:
En la consola de Google Cloud, ve a Private Service Connect.
Haz clic en la pestaña Extremos conectados y, luego, en agregarConectar extremo.
En Destino, selecciona Servicio publicado.
En el campo Servicio de destino, ingresa el URI del adjunto de servicio que se creó para el clúster de la estación de trabajo. Para encontrar esta información, navega al clúster de la estación de trabajo en la consola y busca el campo URI de archivo adjunto de servicio en Configuración de red.
En el campo Extremo, ingresa un nombre de extremo.
Selecciona una red para el extremo y, luego, una subred. Esta red debe ser la que deseas usar para conectarte a tus estaciones de trabajo y debe ser la misma a la que se conecta tu red externa con Cloud VPN o Cloud Interconnect.
Selecciona una dirección IP para el extremo.
Si necesitas una dirección IP nueva, selecciona Crear dirección IP:
- Ingresa un nombre y una descripción para la dirección IP.
- Para una dirección IP estática, selecciona Asignar de forma automática. Para una dirección IP personalizada, selecciona Permitirme elegir y, luego, ingresa la dirección IP que deseas usar.
- En Propósito, selecciona No compartida.
- Haz clic en Reservar.
Selecciona un espacio de nombres de la lista desplegable o crea un espacio de nombres nuevo. La región se propaga en función de la subred seleccionada.
Haz clic en Agregar extremo.
Copia la dirección IP del extremo para poder usarla en la siguiente sección para crear una zona de DNS y un registro DNS privados.
Crea una zona de DNS privada
Sigue estos pasos para crear una zona de DNS privada para este clúster de estaciones de trabajo con el nombre de DNS configurado en tu clusterHostname
, que puedes encontrar navegando al clúster de estaciones de trabajo en la consola.
En la consola de Google Cloud, ve a la página Crear una zona del DNS.
En Tipo de zona, selecciona Privada.
Ingresa un nombre de zona, como
private-workstations-cluster-zone
.Ingresa un sufijo de nombre de DNS para la zona privada. Todos los registros de la zona comparten este sufijo. Establece este nombre en tu
clusterHostname
.Para encontrar tu
clusterHostname
, navega a la página Cloud Workstations > Administración de clústeres en la consola de Google Cloud y, luego, haz clic en el clúster de estaciones de trabajo para ver el nombre de host.Opcional: Agrega una descripción.
En Opciones, selecciona Predeterminada (privada).
Selecciona la red en la que creaste el extremo de PSC en la sección anterior, ya que la dirección IP solo es válida en esa red.
Haz clic en Crear.
Para obtener más información sobre las zonas de DNS privadas, consulta la documentación de Cloud DNS sobre cómo crear una zona privada y las prácticas recomendadas para las zonas privadas de Cloud DNS.
Crea un registro DNS
Para agregar un registro que asigne *.<clusterHostname>
a la dirección IP reservada cuando creaste el extremo de Private Service Connect, sigue estos pasos:
En la consola de Google Cloud, ve a la página Zonas de Cloud DNS.
Haz clic en el nombre de la zona administrada a la que deseas agregar el registro.
En la página Detalles de la zona, haz clic en Agregar estándar.
En la página Crear conjunto de registros, en el campo Nombre de DNS, ingresa
*.<clusterHostname>
.En el campo Dirección IP, ingresa la dirección IP que reservaste para tu extremo de Private Service Connect en la sección anterior.
Haz clic en Crear.
Tu red de VPC ahora debería estar conectada al clúster de estaciones de trabajo, y puedes conectarte a las estaciones de trabajo con esta red.
Habilita la resolución de DNS local
Para usar el editor predeterminado basado en el navegador en tu estación de trabajo, usa un navegador desde una máquina conectada a la red de VPC. Puedes usar Cloud VPN o Cloud Interconnect para conectarte desde la red externa en la que ejecutas el navegador a la red de VPC.
Para conectarte desde una red externa, debes configurar el DNS en la red externa. Al igual que en los pasos anteriores, puedes crear una zona DNS para clusterHostname
y agregar un registro que asigne *.<clusterHostname>
a la dirección IP reservada cuando creaste el extremo de Private Service Connect. Como alternativa, puedes configurar zonas de reenvío de DNS o políticas de servidor DNS para permitir búsquedas de nombres de DNS entre tus entornos local y de Google Cloud.
También es posible que debas agregar *cloudworkstations.dev
a la lista de entidades permitidas de tu infraestructura local.