VPC Service Controls und private Cluster konfigurieren

Auf dieser Seite wird beschrieben, wie VPC Service Controls und private Cluster funktionieren und in Cloud Workstations eingerichtet werden.

VPC Service Controls

VPC Service Controls bietet zusätzliche Sicherheit für Ihre Workstations und verringert das Risiko der Daten-Exfiltration. Mit VPC Service Controls können Sie Projekte zu Dienstperimetern hinzufügen, um Ressourcen und Dienste vor Anfragen zu schützen, die von außerhalb des Perimeters stammen.

Dies sind die Anforderungen für die Verwendung von Cloud Workstations in einem VPC-Dienstperimeter:

• Zum Schutz von Cloud Workstations müssen Sie die Compute Engine API in Ihrem Dienstperimeter einschränken, wenn Sie die Cloud Workstations API einschränken.

• Achten Sie darauf, dass die Google Cloud Storage API, die Google Container Registry API und die Artifact Registry API in Ihrem Dienstperimeter über VPC zugänglich sind. Dies ist erforderlich, um Images auf Ihre Workstation zu übertragen. Außerdem empfehlen wir, der Cloud Logging API und der Cloud Error Reporting API in Ihrem Dienstperimeter Zugriff auf VPC zu gewähren. Dies ist jedoch nicht erforderlich, um Cloud Workstations zu verwenden.

• Achten Sie darauf, dass Ihr Workstationcluster privat ist. Durch das Konfigurieren eines privaten Clusters werden Verbindungen zu Ihren Workstations von außerhalb Ihres VPC-Dienstperimeters verhindert. Der Cloud Workstations-Dienst verhindert das Erstellen öffentlicher Cluster in einem VPC-Dienstperimeter.
• Deaktivieren Sie öffentliche IP-Adressen in der Workstationkonfiguration. Andernfalls werden VMs mit öffentlichen IP-Adressen in Ihrem Projekt erstellt. Wir empfehlen dringend, die Einschränkung der Organisationsrichtlinie constraints/compute.vmExternalIpAccess zu verwenden, um öffentliche IP-Adressen für alle VMs in Ihrem VPC-Dienstperimeter zu deaktivieren. Weitere Informationen finden Sie unter Externe IP-Adressen auf bestimmte VMs beschränken.

Weitere Informationen zu Dienstperimetern finden Sie unter Informationen zu Dienstperimetern und deren Konfiguration.

Architektur

Wenn Sie einen Workstationcluster als privat konfigurieren, hat die Steuerungsebene des Workstationclusters nur eine interne IP-Adresse. Das bedeutet, dass Clients aus dem öffentlichen Internet keine Verbindung zu den Workstations herstellen können, die zum Workstationcluster gehören. Wenn Sie einen privaten Cluster verwenden möchten, müssen Sie ihn manuell über einen Private Service Connect-Endpunkt mit Ihrem VPC-Netzwerk (Virtual Private Cloud) verbinden.

Für Konfigurationen mit privaten Clustern sind zwei PSC-Endpunkte erforderlich:

• Standardmäßig erstellt Cloud Workstations einen separaten PSC-Endpunkt, um die Steuerungsebene mit den Workstation-VMs zu verbinden.

• Sie müssen einen zusätzlichen PSC-Endpunkt für private Cluster erstellen. Wenn Sie eine Verbindung von Ihrem lokalen Computer zu einer Workstation in einem privaten Cluster herstellen möchten, muss der lokale Computer mit Ihrem VPC-Netzwerk verbunden sein. Verwenden Sie Cloud VPN oder Cloud Interconnect, um das externe Netzwerk, in dem Sie Ihre Maschine ausführen, mit dem VPC-Netzwerk zu verbinden. Dieser zusätzliche PSC-Endpunkt muss in dem Netzwerk erstellt werden, mit dem Ihr externes Netzwerk eine Verbindung zu Cloud VPN oder Cloud Interconnect herstellt.

Das folgende Diagramm zeigt eine Beispielarchitektur eines privaten Clusters:

Hinweise

Bevor Sie beginnen, müssen Sie die folgenden Einrichtungsschritte ausführen:

1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

5. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

6. Cloud Workstations API aktivieren.

   Aktivieren Sie die API

7. Sie benötigen die IAM-Rolle „Cloud Workstations Admin“ für das Projekt, damit Sie Workstationkonfigurationen erstellen können. Rufen Sie die Seite IAM auf, um Ihre IAM-Rollen in der Google Cloud Console zu prüfen:

   Zu IAM

8. Wenn die Einschränkung der Organisationsrichtlinie constraints/compute.trustedimageProjects erzwungen wird, müssen Sie das Projekt, aus dem das Image stammt, auf die Zulassungsliste setzen.
   • Ohne verschachtelte Virtualisierung müssen Sie Ihrem Projekt die Berechtigung erteilen, Compute Engine-VM-Images aus dem Projekt cos-cloud zu verwenden.
   • Bei der verschachtelten Virtualisierung müssen Sie Ihrem Projekt die Berechtigung erteilen, Compute Engine-VM-Images aus dem Projekt ubuntu-os-gke-cloud zu verwenden.

   Weitere Informationen finden Sie unter Einschränkungen für den Image-Zugriff festlegen.

9. Optional: Aktivieren Sie die Container File System API, um einen schnelleren Start der Workstation zu ermöglichen.

   Container File System API aktivieren

   Weitere Informationen finden Sie unter Startzeit von Workstations mit Imagestreaming reduzieren.

Privaten Cluster erstellen

So erstellen Sie einen privaten Cluster:

1. Rufen Sie in der Google Cloud Console die Seite Cloud Workstations auf.

   Zu Cloud Workstations

2. Rufen Sie die Seite Clusterverwaltung der Workstation auf.

3. Klicken Sie auf Erstellen.

4. Geben Sie unter Name einen Namen ein und wählen Sie eine Region für den Workstationcluster aus.

5. Wählen Sie im Abschnitt „Netzwerk“ die Option Netzwerke in diesem Projekt aus.

6. Wählen Sie ein Netzwerk und ein Teilnetzwerk aus.

7. Wählen Sie für Gateway-Typ die Option Privates Gateway aus.

8. Optional: Geben Sie ein oder mehrere zusätzliche Projekte an, die den Private Service Connect-Endpunkt hosten, der den HTTP-Zugriff auf Ihren privaten Cluster ermöglicht. Standardmäßig kann dieser Endpunkt nur im Workstation-Clusterprojekt und im VPC-Netzwerk-Hostprojekt (falls unterschiedlich) erstellt werden. Bei Bedarf können diese Projekte auch nach der Clustererstellung angegeben werden.

9. Klicken Sie auf Erstellen.

Private Clusterverbindung aktivieren

Clients können über das öffentliche Internet keine Verbindung zu Workstations in privaten Workstationclustern herstellen. Clients müssen sich in einem Netzwerk befinden, das über Private Service Connect (PSC) eine Verbindung zum Workstationcluster herstellt. Führen Sie die Schritte in diesem Abschnitt aus, um eine Verbindung zu einer Workstation herzustellen:

1. Erstellen Sie einen PSC-Endpunkt, der auf den Anhang Ihres Workstationdienstes ausgerichtet ist.

2. Erstellen Sie eine private DNS-Zone.

3. Erstellen Sie mit Cloud DNS einen DNS-Eintrag, der den Hostnamen Ihres Clusters dem PSC-Endpunkt zuordnet.

Private Service Connect-Endpunkt erstellen

So erstellen Sie einen PSC-Endpunkt:

1. Rufen Sie in der Google Cloud Console Private Service Connect auf.

   Zu Private Service Connect

2. Klicken Sie auf den Tab Verbundene Endpunkte und dann auf HinzufügenEndpunkt verbinden.

3. Wählen Sie für Ziel die Option Veröffentlichter Dienst aus.

4. Geben Sie im Feld Zieldienst den URI des Dienstanhangs ein, der für den Workstationcluster erstellt wurde. Rufen Sie dazu in der Console Ihren Workstationcluster auf und suchen Sie unter Netzwerkeinstellungen nach dem Feld URI des Dienstanhangs.

5. Geben Sie im Feld Endpunkt einen Endpunktnamen ein.

6. Wählen Sie ein Netzwerk für den Endpunkt und dann ein Subnetzwerk aus. Dieses Netzwerk sollte das Netzwerk sein, über das Sie eine Verbindung zu Ihren Workstations herstellen möchten. Es muss dasselbe Netzwerk sein, mit dem Ihr externes Netzwerk über Cloud VPN oder Cloud Interconnect verbunden ist.

7. Wählen Sie eine IP-Adresse für den Endpunkt aus.

   Wenn Sie eine neue IP-Adresse benötigen, wählen Sie IP-Adresse erstellen aus:

   1. Geben Sie einen Namen und optional eine Beschreibung für die IP-Adresse ein.
   2. Wählen Sie für Statische IP-Adresse die Option Automatisch zuweisen aus. Wählen Sie unter Benutzerdefinierte IP-Adresse die Option Ich möchte auswählen aus und geben Sie die gewünschte IP-Adresse ein.
   3. Wählen Sie unter Zweck die Option Nicht freigegeben aus.
   4. Klicken Sie auf Reservieren.

8. Wählen Sie einen Namespace aus der Drop-down-Liste aus oder erstellen Sie einen neuen Namespace. Die Region wird basierend auf dem ausgewählten Subnetzwerk ausgefüllt.

9. Klicken Sie auf Endpunkt hinzufügen.

10. Kopieren Sie die IP-Adresse des Endpunkts, damit Sie sie im nächsten Abschnitt unter Private DNS-Zone und DNS-Eintrag erstellen verwenden können.

Private DNS-Zone erstellen

Führen Sie die folgenden Schritte aus, um eine private DNS-Zone für diesen Workstationcluster zu erstellen, wobei der DNS-Name auf Ihren clusterHostname festgelegt ist. Diesen finden Sie in der Console zu Ihrem Workstationcluster.

1. Rufen Sie in der Google Cloud Console die Seite DNS-Zone erstellen auf.

   Zur Seite „DNS-Zone erstellen“

2. Wählen Sie als Zonentyp die Option Privat aus.

3. Geben Sie unter Zonenname einen Namen wie private-workstations-cluster-zone ein.

4. Geben Sie unter DNS-Name ein Suffix für die private Zone ein. Alle Einträge in der Zone haben dieses Suffix. Legen Sie als Namen Ihren clusterHostname fest.

   Rufen Sie zum Ermitteln Ihres clusterHostname die Seite Cloud Workstations  > Clusterverwaltung in der Google Cloud Console auf. Klicken Sie dann auf Ihren Workstationcluster, um den Hostnamen aufzurufen.

5. Optional: Fügen Sie eine Beschreibung hinzu.

6. Wählen Sie unter Optionen die Option Standard (privat) aus.

7. Wählen Sie das Netzwerk aus, in dem Sie den PSC-Endpunkt im vorherigen Abschnitt erstellt haben, da die IP-Adresse nur in diesem Netzwerk gültig ist.

8. Klicken Sie auf Erstellen.

Weitere Informationen zu privaten DNS-Zonen finden Sie in der Cloud DNS-Dokumentation zum Erstellen einer privaten Zone und in den Best Practices für private Cloud DNS-Zonen.

DNS-Eintrag erstellen

So fügen Sie einen Eintrag hinzu, der *.<clusterHostname> der beim Erstellen des Private Service Connect-Endpunkts reservierten IP-Adresse zuordnet:

1. Rufen Sie in der Google Cloud Console die Seite Cloud DNS-Zonen auf.

   Cloud DNS-Zonen aufrufen

2. Klicken Sie auf den Namen der verwalteten Zone, der Sie den Eintrag hinzufügen möchten.

3. Klicken Sie auf der Seite Zonendetails auf Standard hinzufügen.

4. Geben Sie auf der Seite Create record set (Eintragsgruppe erstellen) im Feld DNS-Name den Wert *.<clusterHostname> ein.

5. Geben Sie im Feld IP-Adresse die IP-Adresse ein, die Sie im vorherigen Abschnitt für Ihren Private Service Connect-Endpunkt reserviert haben.

6. Klicken Sie auf Erstellen.

7. Ihr VPC-Netzwerk sollte jetzt mit dem Workstationcluster verbunden sein und Sie können über dieses Netzwerk eine Verbindung zu Workstations herstellen.

Lokale DNS-Auflösung aktivieren

Wenn Sie den standardmäßigen browserbasierten Editor auf Ihrer Workstation verwenden möchten, verwenden Sie einen Browser von einem Computer, der mit dem VPC-Netzwerk verbunden ist. Mit Cloud VPN oder Cloud Interconnect können Sie eine Verbindung von dem externen Netzwerk, in dem Sie Ihren Browser ausführen, zum VPC-Netzwerk herstellen.

Wenn Sie eine Verbindung von einem externen Netzwerk aus herstellen möchten, müssen Sie das DNS im externen Netzwerk konfigurieren. Ähnlich wie in den vorherigen Schritten können Sie eine DNS-Zone für clusterHostname erstellen und einen Eintrag hinzufügen, der *.<clusterHostname> der beim Erstellen des Private Service Connect-Endpunkts reservierten IP-Adresse zuordnet. Alternativ können Sie DNS-Weiterleitungszonen oder DNS-Serverrichtlinien einrichten, um den Lookup von DNS-Namen zwischen Ihrer lokalen und Google Cloud-Umgebung zu ermöglichen.

Möglicherweise müssen Sie auch *cloudworkstations.dev zur Zulassungsliste Ihrer lokalen Infrastruktur hinzufügen.

Nächste Schritte

• Zugriff auf freigegebene VPC einrichten
• Häufige VPC-Probleme beheben