GSP1036

Descripción general

En este lab, aprenderás a usar Chrome Enterprise Premium y el reenvío de TCP de Identity-Aware Proxy (IAP) para habilitar el acceso de administrador a las instancias de VM que no tienen direcciones IP externas o no permiten el acceso directo a través de Internet.

Qué aprenderás

• Habilitar el reenvío de TCP de IAP en tu proyecto de Google Cloud
• Probar la conectividad con tus instancias de Linux y Windows
• Configurar las reglas de firewall necesarias para BCE
• Otorgar permisos para usar el reenvío de TCP de IAP
• Demostrar la tunelización con conexiones SSH y RDP

Configuración y requisitos

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs cuentan con un temporizador que no se puede pausar. El temporizador, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar. Se recomienda el navegador Chrome.

• Tiempo para completar el lab (recuerda que, una vez que comienzas un lab, no puedes pausarlo).

Cómo iniciar tu lab y acceder a la consola de Google Cloud

1. Haz clic en el botón Comenzar lab. Si debes pagar por el lab, se abrirá un diálogo para que selecciones la forma de pago. A la izquierda, se encuentra el panel Detalles del lab, que tiene estos elementos:

   • El botón para abrir la consola de Google Cloud
   • El tiempo restante
   • Las credenciales temporales que debes usar para el lab
   • Otra información para completar el lab, si es necesaria

2. Haz clic en Abrir la consola de Google Cloud (o haz clic con el botón derecho y selecciona Abrir el vínculo en una ventana de incógnito si ejecutas el navegador Chrome).

   El lab inicia recursos y abre otra pestaña en la que se muestra la página de acceso.

   Sugerencia: Ordena las pestañas en ventanas separadas, una junto a la otra.

   Nota: Si ves el diálogo Elegir una cuenta, haz clic en Usar otra cuenta.

3. De ser necesario, copia el nombre de usuario a continuación y pégalo en el diálogo Acceder.

   {{{user_0.username | "Username"}}}

   También puedes encontrar el nombre de usuario en el panel Detalles del lab.

4. Haz clic en Siguiente.

5. Copia la contraseña que aparece a continuación y pégala en el diálogo Te damos la bienvenida.

   {{{user_0.password | "Password"}}}

   También puedes encontrar la contraseña en el panel Detalles del lab.

6. Haz clic en Siguiente.

   Importante: Debes usar las credenciales que te proporciona el lab. No uses las credenciales de tu cuenta de Google Cloud. Nota: Usar tu propia cuenta de Google Cloud para este lab podría generar cargos adicionales.

7. Haz clic para avanzar por las páginas siguientes:

   • Acepta los Términos y Condiciones.
   • No agregues opciones de recuperación o autenticación de dos factores (esta es una cuenta temporal).
   • No te registres para obtener pruebas gratuitas.

Después de un momento, se abrirá la consola de Google Cloud en esta pestaña.

Nota: Para acceder a los productos y servicios de Google Cloud, haz clic en el menú de navegación o escribe el nombre del servicio o producto en el campo Buscar.

Necesitarás un cliente de RDP previamente instalado para que puedas conectar y probar instancias de Windows.

Tarea 1: Habilita el reenvío de TCP de IAP en tu proyecto de Google Cloud

1. Abre el menú de navegación y selecciona APIs y servicios > Biblioteca.

2. Busca IAP y selecciona la Cloud Identity-Aware Proxy API.

3. Haz clic en Habilitar.

Tarea 2: Crea instancias de Linux y Windows

Crea tres instancias para este lab: - Dos para demostración (Linux y Windows) - Una para probar la conectividad (Windows)

Instancia de Linux

1. Abre el menú de navegación y selecciona Compute Engine > Instancias de VM.

2. Haz clic en Crear instancia.

3. Haz lo siguiente en Configuración de la máquina:

   Selecciona los siguientes valores:

   • Nombre: linux-iap
   • Zona:

4. Haz clic en Herramientas de redes.

   En Interfaces de red, haz clic en el menú desplegable de la red predeterminada para editarla. Luego, cambia la dirección IPv4 externa a Ninguna.

5. Haz clic en Listo.

   

6. Luego, haz clic en Crear. Esta VM se denominará linux-iap.

Instancias de Windows

1. Para crear la VM de demostración de Windows, haz clic en Crear instancia.

2. Haz lo siguiente en Configuración de la máquina:

   Selecciona los siguientes valores:

   • Nombre: windows-iap
   • Zona:

3. Haz clic en la sección SO y almacenamiento.

   Haz clic en Cambiar para comenzar a configurar el disco de arranque y selecciona los siguientes valores:

   • Imágenes públicas > Sistema operativo > Windows Server
   • Versión > Windows Server 2016 Datacenter

   

   Haz clic en Seleccionar.

4. Haz clic en Herramientas de redes.

   En Interfaces de red, haz clic en el menú desplegable de la red predeterminada para editarla. Luego, cambia la dirección IPv4 externa a Ninguna. Haz clic en Listo.

5. Luego, haz clic en Crear. Esta VM se denominará windows-iap.

6. Para crear la VM de conectividad de Windows, haz clic en Crear instancia.

7. Haz lo siguiente en Configuración de la máquina:

   Selecciona los siguientes valores:

   • Nombre: windows-connectivity
   • Zona:

8. Haz clic en la sección SO y almacenamiento y, luego, en Cambiar.

   Para el SO, establece lo siguiente en la pestaña Imágenes personalizadas:

   • Proyecto de origen para las imágenes: Qwiklabs Resources
   • Imagen: iap-desktop-v001

   Haz clic en Seleccionar.

9. Haz clic en Seguridad.

   En la sección Permisos de acceso, selecciona Permitir el acceso total a todas las APIs de Cloud.

   No inhabilites la IP externa para esta instancia.

10. Luego, haz clic en Crear. Esta VM se denominará windows-connectivity.

Tarea 3: Prueba la conectividad con tus instancias de Linux y Windows

1. Después de crear las instancias, probarás el acceso a linux-iap y windows-iap para asegurarte de que no puedes acceder a las VMs sin la IP externa.

2. Para linux-iap, haz clic en el botón SSH para acceder a la máquina y asegúrate de recibir un mensaje similar al siguiente:

   

4. Para windows-iap, haz clic en el botón RDP y asegúrate de recibir un mensaje similar al siguiente:

   

Tarea 4: Configura las reglas de firewall necesarias para BCE

1. Abre el menú de navegación, selecciona Red de VPC > Firewall y haz clic en Crear una regla de firewall.

2. Establece la siguiente configuración:

3. Haz clic en CREAR para crear la regla de firewall.

Tarea 5: Otorga permisos para usar el reenvío de TCP de IAP

Sigue estos pasos para configurar el rol de iap.tunnelResourceAccessor por la VM.

1. Abre el menú de navegación y selecciona Seguridad > Identity-Aware Proxy, cambia a la pestaña Recursos de SSH y TCP (puedes ignorar el error de la pantalla de consentimiento de OAuth en la sección HTTPS).
2. Selecciona las instancias de VM de linux-iap y windows-iap.
3. Haz clic en Agregar permisos de la cuenta principal, luego, ingresa a la cuenta de servicio asociada con tu VM de conectividad de Windows. Debe tener el formato -compute@developer.gserviceaccount.com.
4. Selecciona Cloud IAP > Usuario de túnel protegido con IAP para el rol.
5. Haz clic en GUARDAR.
6. Desde la parte superior derecha de la página, haz clic en el ícono de “S” para abrir tu perfil y copiar el correo electrónico de la cuenta de estudiante.
7. Vuelve a hacer clic en Agregar permisos de la cuenta principal para agregar la cuenta de estudiante.
8. Accede a la cuenta de estudiante. Puedes copiar este valor desde el panel de detalles del lab.
9. Selecciona Cloud IAP > Usuario de túnel protegido con IAP para el rol.
10. Haz clic en GUARDAR.

Tarea 6: Usa IAP Desktop para conectarte a las instancias de Windows y Linux

Es posible usar IAP Desktop para conectarse a instancias con una interfaz gráfica de usuario desde una instancia con el escritorio de Windows. Puedes obtener más información sobre IAP Desktop en el repositorio de GitHub que aloja la descarga de la herramienta.

Para usar IAP Desktop para conectarse a las instancias de este lab, sigue estos pasos:

1. Usa RDP para acceder a la instancia de windows-connectivity, para ello, descarga el archivo de RDP. Ve a la página Compute Engine > Instancias de VM. Selecciona la flecha hacia abajo junto a la instancia de windows-connectivity en la página de destino de Compute Engine y descarga el archivo.

2. Abre el archivo de RDP para conectarte a la instancia a través del protocolo de escritorio remoto. Usarás las siguientes credenciales para conectarte a la instancia cuando se soliciten:

   • Nombre de usuario: student
   • Contraseña: Learn123!

3. Una vez que te hayas conectado a la instancia de windows-connectivity, ubica y abre la aplicación de IAP Desktop en el escritorio de la instancia.

4. Cuando se abra la aplicación, haz clic en el botón Acceder con Google para ingresar a la cuenta. Usa el nombre de usuario y la contraseña proporcionados en la consola del lab para autenticarte con IAP Desktop. Cuando se te solicite que continúes, haz clic en Continuar y, luego, en Permitir.

5. Deberás agregar el proyecto para conectarte a instancias de Compute Engine en IAP Desktop después de la autenticación. Selecciona el proyecto de lab asociado con tu instancia del lab:

6. Haz doble clic en la instancia windows-iap en la aplicación IAP Desktop para acceder a la instancia.

7. Es posible que se te pida proporcionar credenciales para la instancia la primera vez que intentes conectarte a través de IAP Desktop. Selecciona “Generar nuevas credenciales” la primera vez que accedas a la instancia.

8. Haz clic en Aceptar en la ventana emergente Generate logon credentials.

9. Después de crear las credenciales, se te dirigirá al escritorio de la instancia windows-iap y podrás ver la experiencia del usuario final.

Tarea 7: Demuestra la tunelización con conexiones SSH y RDP

1. Probarás la conectividad de la instancia de RDP con un cliente de RDP. Esto se debe a que tienes que conectarte a la instancia a través de un túnel de IAP localmente.

2. Ve a la página Compute Engine > Instancias de VM.

3. Para la instancia windows-connectivity, haz clic en la flecha hacia abajo y selecciona Configurar contraseña de Windows. Copia la contraseña y guárdala.

4. Luego, haz clic en la flecha hacia abajo junto a Establecer conexión y haz clic en Descargar el archivo de RDP. Abre el archivo de RDP con tu cliente y, luego, ingresa tu contraseña.

5. Después de conectarte a la instancia windows-connectivity, abre el SDK de Google Cloud Shell:

   

6. Ahora, desde la línea de comandos, ingresa el siguiente comando para comprobar si puedes conectarte a la instancia linux-iap:

   gcloud compute ssh linux-iap

   Haz clic en Y cuando se te solicite para continuar y seleccionar la zona.

   Asegúrate de seleccionar la zona correcta para la instancia cuando se te solicite.

7. Luego, acepta la alerta de seguridad de PuTTY.

8. Actualiza la configuración de PuTTY para permitir conexiones de túnel localmente. Haz clic en la esquina superior izquierda de la ventana de PuTTY > Change Settings.

   

9. Permite que los puertos locales acepten conexiones de otros hosts, para ello, marca la casilla de verificación de "Local ports accept connections from other hosts".

   

10. Cierra la sesión de PuTTY y haz clic en Aplicar. Usa el siguiente comando para crear un túnel encriptado hacia el puerto de RDP de la instancia de VM:

    gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

    Una vez que veas el mensaje “Listening on port [XXX]”, copia el número de puerto del túnel.

11. Vuelve a la consola de Google Cloud y ve a Compute Engine > Instancias de VM.

12. Configura y copia la contraseña de la instancia windows-iap.

    Ahora, vuelve a la sesión de RDP.

13. Deja gcloud en ejecución y abre la app de Conexión de escritorio remoto de Microsoft Windows.

14. Ingresa el extremo del túnel, es decir, el número de puerto del túnel del paso anterior, de la siguiente manera:

    • localhost:endpoint
    

15. Haz clic en Conectar.

    Luego, ingresa las credenciales que copiaste antes. Ya te conectaste correctamente a tu instancia a través de RDP.

    Cuando se te solicite, haz clic en Sí.

    

¡Felicitaciones! Pudiste conectarte correctamente a ambas instancias con IAP.

¡Felicitaciones!

Aprendiste a usar BeyondCorp Enterprise (BCE) y el reenvío de TCP de Identity-Aware Proxy (IAP) a través de la implementación de 2 VMs, windows-iap y linux-iap, sin direcciones IP y configuraste un túnel de IAP que te otorgó acceso a ambas instancias con una tercera VM, windows-connectivity.

Próximos pasos y más información

• Obtén más información sobre BeyondCorp Enterprise (BCE) y el modelo de seguridad de confianza cero en el siguiente sitio de documentación de Cloud.

Capacitación y certificación de Google Cloud

Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.

Última actualización del manual: 18 de julio de 2025

Prueba más reciente del lab: 18 de julio de 2025

Copyright 2026 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.