Wird geladen…
Keine Ergebnisse gefunden.

Ihre Kompetenzen in der Google Cloud Console anwenden

Anleitung und Anforderungen für Lab-Einrichtung
Schützen Sie Ihr Konto und Ihren Fortschritt. Verwenden Sie immer den privaten Modus und Lab-Anmeldedaten, um dieses Lab auszuführen.

Virtuelle Maschinen mit Chrome Enterprise Premium schützen

Lab 30 Minuten universal_currency_alt 5 Guthabenpunkte show_chart Mittelstufe
info Dieses Lab kann KI-Tools enthalten, die den Lernprozess unterstützen.
Dieser Inhalt ist noch nicht für Mobilgeräte optimiert.
Die Lernumgebung funktioniert am besten, wenn Sie auf einem Computer über einen per E‑Mail gesendeten Link darauf zugreifen.

GSP1036

Logo: Google Cloud-Labs zum selbstbestimmten Lernen

Übersicht

In diesem Lab lernen Sie, wie Sie Chrome Enterprise Premium und die TCP-Weiterleitung für Identity-Aware Proxy (IAP) nutzen, um den Administratorzugriff auf VM-Instanzen zuzulassen, die keine externe IP-Adressen haben bzw. keinen direkten Zugriff über das Internet erlauben.

Lerninhalte

  • TCP-Weiterleitung für IAP in einem Google Cloud-Projekt aktivieren
  • Konnektivität mit Linux- und Windows-Instanzen testen
  • Erforderliche Firewallregeln für BCE konfigurieren
  • Berechtigungen zur Verwendung der TCP-Weiterleitung für IAP erteilen
  • Tunneling mithilfe von SSH- und RDP-Verbindungen ausüben

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange Google Cloud-Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

  • Einen Standardbrowser (empfohlen wird Chrome)
Hinweis: Nutzen Sie den privaten oder Inkognitomodus (empfohlen), um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.
  • Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.
Hinweis: Verwenden Sie für dieses Lab nur das Teilnehmerkonto. Wenn Sie ein anderes Google Cloud-Konto verwenden, fallen dafür möglicherweise Kosten an.

Lab starten und bei der Google Cloud Console anmelden

  1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Dialogfeld geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich „Details zum Lab“ mit diesen Informationen:

    • Schaltfläche „Google Cloud Console öffnen“
    • Restzeit
    • Temporäre Anmeldedaten für das Lab
    • Ggf. weitere Informationen für dieses Lab

  2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

    Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite „Anmelden“ geöffnet.

    Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

    Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

  3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

    {{{user_0.username | "Username"}}}

    Sie finden den Nutzernamen auch im Bereich „Details zum Lab“.

  4. Klicken Sie auf Weiter.

  5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

    {{{user_0.password | "Password"}}}

    Sie finden das Passwort auch im Bereich „Details zum Lab“.

  6. Klicken Sie auf Weiter.

    Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

  7. Klicken Sie sich durch die nachfolgenden Seiten:

    • Akzeptieren Sie die Nutzungsbedingungen.
    • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
    • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie auf Google Cloud-Produkte und ‑Dienste zugreifen möchten, klicken Sie auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein. Symbol für das Navigationsmenü und Suchfeld

Es muss ein RDP-Client vorinstalliert sein, damit Sie eine Verbindung zu Windows-Instanzen herstellen und sie testen können.

Aufgabe 1: TCP-Weiterleitung für IAP in einem Google Cloud-Projekt aktivieren

  1. Öffnen Sie das Navigationsmenü und wählen Sie APIs und Dienste > Bibliothek aus.

  2. Suchen Sie nach IAP und wählen Sie die Cloud Identity-Aware Proxy API aus.

  3. Klicken Sie auf Aktivieren.

Cloud Identity-Aware Proxy API

Aufgabe 2: Linux- und Windows-Instanzen erstellen

Erstellen Sie für dieses Lab drei Instanzen: - Zwei zu Demonstrationszwecken (Linux und Windows) - Eine zum Testen der Verbindung (Windows)

Linux-Instanz

  1. Klicken Sie im Navigationsmenü auf Compute Engine > VM-Instanzen.

  2. Klicken Sie auf Instanz erstellen.

  3. Wählen Sie in der Maschinenkonfiguration

    die folgenden Werte aus:

    • Name: linux-iap
    • Zone:

  4. Klicken Sie auf Netzwerke.

    Klicken Sie zum Bearbeiten der Netzwerkschnittstellen im Drop‑down-Menü für das Netzwerk auf default. Ändern Sie dann die externe IPv4‑Adresse zu Keine.

  5. Klicken Sie auf Fertig.

    Netzwerkschnittstelle ausgefüllt

  6. Klicken Sie auf Erstellen. Diese VM wird als linux-iap bezeichnet.

Windows-Instanzen

  1. Klicken Sie zum Erstellen der Windows-Demo-VM auf Instanz erstellen.

  2. Wählen Sie in der Maschinenkonfiguration

    die folgenden Werte aus:

    • Name: windows-iap
    • Zone:

  3. Klicken Sie auf den Bereich Betriebssystem und Speicher.

    Klicken Sie auf Ändern, um mit der Konfiguration des Bootlaufwerks zu beginnen, und wählen Sie die folgenden Werte aus:

    • Öffentliche Images > Betriebssystem > Windows Server
    • Version > Windows Server 2016 Datacenter

    Auswählen der Windows-Version

    Klicken Sie auf Auswählen.

  4. Klicken Sie auf Netzwerke.

    Klicken Sie zum Bearbeiten der Netzwerkschnittstellen im Drop‑down-Menü für das Netzwerk auf default. Ändern Sie dann die externe IPv4‑Adresse zu Keine. Klicken Sie auf Fertig.

  5. Klicken Sie auf Erstellen. Diese VM wird als windows-iap bezeichnet.

  6. Klicken Sie zum Erstellen der Windows-Connectivity-VM auf Instanz erstellen.

  7. Wählen Sie in der Maschinenkonfiguration

    die folgenden Werte aus:

    • Name: windows-connectivity
    • Zone:

  8. Klicken Sie auf den Bereich Betriebssystem und Speicher und dann auf Ändern.

    Legen Sie für das Betriebssystem auf dem Tab Benutzerdefinierte Images die folgenden Werte fest:

    • Quellprojekt für Images: Qwiklabs Resources
    • Image: iap-desktop-v001

    Klicken Sie auf Auswählen.

  9. Klicken Sie auf Sicherheit.

    Wählen Sie im Bereich Zugriffsbereiche die Option Uneingeschränkten Zugriff auf alle Cloud APIs zulassen aus.

    Deaktivieren Sie für diese Instanz keinesfalls die externen IP-Adressen.

  10. Klicken Sie auf Erstellen. Diese VM wird als windows-connectivity bezeichnet.

Prüfen, ob alle 3 Instanzen erstellt wurden.

Aufgabe 3: Konnektivität mit Linux- und Windows-Instanzen testen

  1. Nachdem die Instanzen erstellt wurden, können Sie den Zugriff auf linux-iap und windows-iap testen, um sicherzustellen, dass der Zugriff auf die VMs nicht ohne die externe IP-Adresse möglich ist.

  2. Klicken Sie für linux-iap auf die SSH-Schaltfläche, um auf die VM zuzugreifen. Es sollte eine Meldung wie die Folgende angezeigt werden:

    Linux-Verbindung fehlgeschlagen

Hinweis: Die Schaltfläche SSH wird auf der Seite mit der VM-Liste möglicherweise weiterhin als klickbar angezeigt, obwohl die externe IPv4-Adresse auf „Keine“ festgelegt ist. Sie können bestätigen, dass die Instanz keine externe IP-Adresse hat, indem Sie auf den Instanznamen klicken und dann den Mauszeiger auf die Schaltfläche „SSH“ auf der Detailseite bewegen. Es wird die Meldung Diese Instanz hat keine externe IP-Adresse. angezeigt.

  1. Klicken Sie für windows-iap auf die RDP-Schaltfläche. Es sollte eine Meldung wie die Folgende angezeigt werden:

    Windows-Verbindung fehlgeschlagen

Mithilfe der folgenden Schritte können Sie IAP konfigurieren und dann damit eine Verbindung zu den Instanzen herstellen, die keine externen IP-Adressen haben.

Aufgabe 4: Erforderliche Firewallregeln für BCE konfigurieren

  1. Öffnen Sie das Navigationsmenü, wählen Sie VPC-Netzwerk > Firewall aus und klicken Sie auf Firewallregel erstellen.

  2. Legen Sie folgende Einstellungen fest:

Feld Einstellung
Name allow-ingress-from-iap
Traffic-Richtung Eingehender Traffic
Ziel Alle Instanzen im Netzwerk
Quellfilter IPv4-Bereiche
Quell-IPv4-Bereiche 35.235.240.0/20
Protokolle und Ports Wählen Sie „TCP“ aus und geben Sie „22, 3389“ ein, damit SSH und RDP zulässig sind.
  1. Klicken Sie auf ERSTELLEN, um die Firewallregel zu erstellen.
Prüfen, ob die Firewallregeln richtig erstellt wurden.

Aufgabe 5: Berechtigungen zur Verwendung der TCP-Weiterleitung für IAP erteilen

Führen Sie die folgenden Schritte aus, um die IAP-Rolle iap.tunnelResourceAccessor für die einzelnen VMs zu konfigurieren.

  1. Öffnen Sie das Navigationsmenü und wählen Sie Sicherheit > Identity-Aware Proxy aus. Wechseln Sie dann zum Tab SSH- und TCP-Ressourcen. Dabei können Sie den OAuth-Zustimmungsbildschirms-Fehler im HTTPS-Abschnitt ignorieren.
  2. Wählen Sie die VM-Instanzen linux-iap und windows-iap aus.
  3. Klicken Sie auf Hauptkonto hinzufügen und geben Sie das Dienstkonto ein, das mit der Windows-Connectivity-VM verknüpft ist. Es sollte das Format -compute@developer.gserviceaccount.com haben.
  4. Wählen Sie für die Rolle Cloud IAP > Nutzer IAP-gesicherter Tunnel aus.
  5. Klicken Sie auf SPEICHERN.
  6. Klicken Sie auf der Seite oben rechts auf das „S“-Symbol, um Ihr Profil zu öffnen und die E-Mail-Adresse des Teilnehmerkontos zu kopieren.
  7. Klicken Sie noch einmal auf Hauptkonto hinzufügen, um das Teilnehmerkonto hinzuzufügen.
  8. Geben Sie das Teilnehmerkonto ein. Sie können diesen Wert aus dem Lab-Detailbereich kopieren.
  9. Wählen Sie für die Rolle Cloud IAP > Nutzer IAP-gesicherter Tunnel aus.
  10. Klicken Sie auf SPEICHERN.
Die Rolle „Nutzer IAP-gesicherter Tunnel“ berechtigt die Windows-Connectivity-Instanz dazu, mithilfe von IAP eine Verbindung zu Ressourcen herzustellen. Durch das Hinzufügen des Teilnehmerkontos können Sie sich vergewissern, dass der Schritt richtig ausgeführt wurde.

Hauptkonten hinzufügen

Prüfen, ob die IAP-Rolle für das Dienstkonto festgelegt wurde.

Aufgabe 6: Mit IAP Desktop Verbindung zu den Windows- und Linux-Instanzen herstellen

Sie können IAP Desktop nutzen, um mithilfe einer grafischen Benutzeroberfläche von einer Windows-Desktop-Instanz eine Verbindung zu anderen Instanzen herzustellen. Weitere Informationen zu IAP Desktop finden Sie im GitHub-Repository, in dem der Download für das Tool gehostet wird.

So stellen Sie mit IAP Desktop eine Verbindung zu den Instanzen in diesem Lab her:

  1. Stellen Sie eine RDP-Verbindung zur Windows-Connectivity-Instanz her, indem Sie die RDP-Datei herunterladen. Rufen Sie die Seite Compute Engine > VM-Instanzen auf. Auf der Compute Engine-Landingpage finden Sie neben der Windows-Connectivity-Instanz einen Abwärtspfeil. Damit können Sie die Datei herunterladen.

  2. Öffnen Sie die RDP-Datei, um mithilfe von Remote Desktop Protocol eine Verbindung zur Instanz herzustellen. Wenn Sie dazu aufgefordert werden, verwenden Sie die Anmeldedaten unten, um eine Verbindung zur Instanz herzustellen:

    • Nutzername: student
    • Passwort: Learn123!

  3. Sobald die Verbindung zur Windows-Connectivity-Instanz hergestellt wurde, suchen Sie auf dem Desktop der Instanz die IAP Desktop-Anwendung und öffnen sie.

  4. Wenn die Anwendung geöffnet wurde, klicken Sie auf die Schaltfläche „Über Google anmelden“, um sich anzumelden. Nehmen Sie den Nutzernamen und das Passwort aus der Lab-Konsole, um sich bei IAP Desktop zu authentifizieren. Wenn Sie aufgefordert werden fortzufahren, klicken Sie auf Weiter und dann auf Zulassen.

oauth_permissions.png

  1. Sie müssen ein bestimmtes Projekt hinzufügen, um nach der Authentifizierung eine Verbindung zu Compute Engine-Instanzen innerhalb von IAP Desktop herstellen zu können. Wählen Sie das Lab-Projekt aus, das mit Ihrer Lab-Instanz verknüpft ist:

add_project.png

  1. Doppelklicken Sie in der IAP Desktop-Anwendung auf die windows-iap-Instanz, um sich bei ihr anzumelden.

  2. Sie werden möglicherweise aufgefordert, Anmeldedaten für die Instanz anzugeben, wenn Sie das erste Mal versuchen, sich über IAP Desktop bei ihr anzumelden. Wählen Sie „Neue Anmeldedaten erstellen“ aus, wenn Sie sich das erste Mal bei der Instanz einloggen.

credentials.png

  1. Klicken Sie im Pop‑up Anmeldedaten generieren auf OK.

  2. Nachdem die Anmeldedaten erstellt wurden, gelangen Sie zum Desktop der windows-iap-Instanz und können sehen, was die Nutzer sehen.

windows_iap.png

Aufgabe 7: Tunneling mithilfe von SSH- und RDP-Verbindungen ausüben

  1. Sie testen die Verbindung zur RDP-Instanz mithilfe eines RDP-Clients. Grund dafür ist, dass Sie die Verbindung zur Instanz lokal über einen IAP-Tunnel herstellen müssen.

  2. Rufen Sie die Seite Compute Engine > VM-Instanzen auf.

  3. Klicken Sie für die Windows-Connectivity-Instanz auf den Abwärtspfeil und wählen Sie Windows-Passwort festlegen aus. Kopieren Sie das Passwort und speichern Sie es.

  4. Klicken Sie auf den Abwärtspfeil, um eine Verbindung herzustellen, und klicken Sie dann auf „RDP-Datei herunterladen“. Öffnen Sie die RDP-Datei in Ihrem Client und geben Sie das Passwort ein.

  5. Wenn Sie eine Verbindung zur Windows-Connectivity-Instanz hergestellt haben, öffnen Sie das Google Cloud Shell SDK:

    Google Cloud SDK Shell-Desktopsymbol

  6. Geben Sie dann über die Befehlszeile den folgenden Befehl ein, um zu sehen, ob Sie eine Verbindung zur linux-iap-Instanz herstellen können:

    gcloud compute ssh linux-iap

    Klicken Sie auf J, wenn Sie dazu aufgefordert werden, um fortzufahren und die Zone auszuwählen.

    Wählen Sie die richtige Zone für die Instanz aus, wenn Sie dazu aufgefordert werden.

  7. Klicken Sie dann in der PuTTY-Sicherheitswarnung auf Accept.

Es sollte eine Nachricht angezeigt werden, dass keine externe IP-Adresse gefunden wurde und dass IAP-Tunneling verwendet wird.

Ausgabe, die zeigt, dass keine externe IP-Adresse gefunden wurde

  1. Aktualisieren Sie die PuTTY-Einstellungen, um lokal Tunnel-Verbindungen zuzulassen. Klicken Sie auf die obere linke Ecke des PuTTY-Fensters > „Change Settings“ (Einstellungen ändern).

    PuTTY-Einstellungen

  2. Erlauben Sie lokalen Ports, Verbindungen von anderen Hosts zuzulassen, indem Sie das Kästchen neben „Local ports accept connections from other hosts“ anklicken.

    Tunnel-Einstellungen

  3. Schließen Sie die PuTTY-Sitzung und klicken Sie auf Übernehmen. Erstellen Sie mit dem folgenden Befehl einen verschlüsselten Tunnel zum RDP-Port der VM-Instanz:

    gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

    Wenn eine Nachricht wie „Listening on port [XXX].“ angezeigt wird, kopieren Sie die Tunnel-Portnummer.

  4. Kehren Sie zur Google Cloud Console zurück und wechseln Sie zur Seite Compute Engine > VM-Instanzen.

  5. Legen Sie das Passwort für die windows-iap-Instanz fest und kopieren Sie es.

    Kehren Sie jetzt zur RDP-Sitzung zurück.

  6. Lassen Sie gcloud weiterlaufen und öffnen Sie die Microsoft Windows-Anwendung Remotedesktopverbindung.

  7. Geben Sie so den Tunnel-Endpunkt ein, bei dem der Endpunkt die Tunnelportnummer aus dem vorherigen Schritt ist:

    • localhost:endpoint
    6

  8. Klicken Sie auf Verbinden.

    Geben Sie dann die Anmeldedaten ein, die Sie vorher kopiert haben. Sie haben jetzt erfolgreich eine RDP-Verbindung zur Instanz hergestellt.

    Wenn Sie dazu aufgefordert werden, klicken Sie auf Ja.

    Windows 10‑RDP-Instanz-Seite

Sie konnten mithilfe von IAP sogar ohne externe IP-Adresse auf die Instanz zugreifen. Prüfen, ob VM über Dienstkonto zugänglich ist, für das IAP aktiviert wurde

Glückwunsch! Sie haben mit IAP erfolgreich eine Verbindung zu beiden Instanzen hergestellt.

Das wars! Sie haben das Lab erfolgreich abgeschlossen.

Sie haben gelernt, wie Sie BeyondCorp Enterprise (BCE) und die TCP-Weiterleitung für Identity-Aware Proxy (IAP) nutzen. Sie haben damit die zwei VMs windows-iap und linux-iap ohne IP-Adressen bereitgestellt und einen IAP-Tunnel konfiguriert, der Ihnen mithilfe der dritten VM windows-connectivity den Zugriff auf beide Instanzen ermöglicht hat.

Weitere Informationen

  • Weitere Informationen zu BeyondCorp Enterprise (BCE) und dem Zero-Trust-Sicherheitsmodell finden Sie auf der folgenden Cloud-Dokumentationswebsite.

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 18. Juli 2025 aktualisiert

Lab zuletzt am 18. Juli 2025 getestet

© 2026 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.

Vorbereitung

  1. Labs erstellen ein Google Cloud-Projekt und Ressourcen für einen bestimmten Zeitraum
  2. Labs haben ein Zeitlimit und keine Pausenfunktion. Wenn Sie das Lab beenden, müssen Sie von vorne beginnen.
  3. Klicken Sie links oben auf dem Bildschirm auf Lab starten, um zu beginnen

Privates Surfen verwenden

  1. Kopieren Sie den bereitgestellten Nutzernamen und das Passwort für das Lab
  2. Klicken Sie im privaten Modus auf Konsole öffnen

In der Konsole anmelden

  1. Melden Sie sich mit Ihren Lab-Anmeldedaten an. Wenn Sie andere Anmeldedaten verwenden, kann dies zu Fehlern führen oder es fallen Kosten an.
  2. Akzeptieren Sie die Nutzungsbedingungen und überspringen Sie die Seite zur Wiederherstellung der Ressourcen
  3. Klicken Sie erst auf Lab beenden, wenn Sie das Lab abgeschlossen haben oder es neu starten möchten. Andernfalls werden Ihre bisherige Arbeit und das Projekt gelöscht.

Diese Inhalte sind derzeit nicht verfügbar

Bei Verfügbarkeit des Labs benachrichtigen wir Sie per E-Mail

Sehr gut!

Bei Verfügbarkeit kontaktieren wir Sie per E-Mail

Es ist immer nur ein Lab möglich

Bestätigen Sie, dass Sie alle vorhandenen Labs beenden und dieses Lab starten möchten

Privates Surfen für das Lab verwenden

Am besten führen Sie dieses Lab in einem Inkognito- oder privaten Browserfenster aus. So vermeiden Sie Konflikte zwischen Ihrem privaten Konto und dem Teilnehmerkonto, die zusätzliche Kosten für Ihr privates Konto verursachen könnten.