GSP1036

Opis

W tym module nauczysz się, jak korzystać z Chrome Enterprise Premium oraz przekierowywania TCP w Identity-Aware Proxy (IAP) w celu włączania dostępu administracyjnego do instancji maszyn wirtualnych, które nie mają zewnętrznych adresów IP lub nie zezwalają na dostęp bezpośredni przez internet.

Czego się nauczysz

• Włączanie przekierowywania TCP w IAP w projekcie Google Cloud
• Testowanie połączenia z instancjami z systemami Linux i Windows
• Konfigurowanie wymaganych reguł zapory sieciowej dla BCE
• Przyznawanie uprawnień do używania przekierowywania TCP w IAP
• Przeprowadzanie tunelowania z wykorzystaniem połączeń przez SSH i RDP

Konfiguracja i wymagania

Zanim klikniesz przycisk Rozpocznij moduł

Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Gdy klikniesz Rozpocznij moduł, na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.

W tym praktycznym module możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.

Do ukończenia modułu potrzebne będą:

• Dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome).

• Odpowiednia ilość czasu na ukończenie modułu – pamiętaj, że gdy rozpoczniesz, nie możesz go wstrzymać.

Rozpoczynanie modułu i logowanie się w konsoli Google Cloud

1. Kliknij przycisk Rozpocznij moduł. Jeśli moduł jest odpłatny, otworzy się okno, w którym możesz wybrać formę płatności. Po lewej stronie znajduje się panel Szczegóły modułu z następującymi elementami:

   • przyciskiem Otwórz konsolę Google Cloud;
   • czasem, który Ci pozostał;
   • tymczasowymi danymi logowania, których musisz użyć w tym module;
   • innymi informacjami potrzebnymi do ukończenia modułu.

2. Kliknij Otwórz konsolę Google Cloud (lub kliknij prawym przyciskiem myszy i wybierz Otwórz link w oknie incognito, jeśli korzystasz z przeglądarki Chrome).

   Moduł uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.

   Wskazówka: otwórz karty obok siebie w osobnych oknach.

   Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta.

3. W razie potrzeby skopiuj nazwę użytkownika znajdującą się poniżej i wklej ją w oknie logowania.

   {{{user_0.username | "Username"}}}

   Nazwę użytkownika znajdziesz też w panelu Szczegóły modułu.

4. Kliknij Dalej.

5. Skopiuj podane niżej hasło i wklej je w oknie powitania.

   {{{user_0.password | "Password"}}}

   Hasło znajdziesz też w panelu Szczegóły modułu.

6. Kliknij Dalej.

   Ważne: musisz użyć danych logowania podanych w module. Nie używaj danych logowania na swoje konto Google Cloud. Uwaga: korzystanie z własnego konta Google Cloud w tym module może wiązać się z dodatkowymi opłatami.

7. Na kolejnych stronach wykonaj następujące czynności:

   • Zaakceptuj Warunki korzystania z usługi.
   • Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
   • Nie rejestruj się w bezpłatnych wersjach próbnych.

Poczekaj, aż na karcie otworzy się konsola Google Cloud.

Uwaga: aby uzyskać dostęp do produktów i usług Google Cloud, kliknij Menu nawigacyjne lub wpisz nazwę usługi albo produktu w polu Szukaj.

Aby móc łączyć się z instancjami z systemem Windows i je testować, musisz mieć zainstalowanego klienta RDP.

Zadanie 1. Włączanie przekierowywania TCP w IAP w projekcie Google Cloud

1. Otwórz Menu nawigacyjne i wybierz Interfejsy API i usługi > Biblioteka.

2. Wyszukaj IAP i kliknij Cloud Identity-Aware Proxy API.

3. Kliknij Włącz.

Zadanie 2. Tworzenie instancji z systemem Windows i Linux

W tym module utworzysz 3 instancje: – 2 do celów demonstracyjnych (Linux i Windows), – 1 do testowania połączeń (Windows).

Instancja z systemem Linux

1. W Menu nawigacyjnym wybierz Compute Engine > Instancje maszyn wirtualnych.

2. Kliknij Utwórz instancję.

3. Otwórz sekcję Konfiguracja maszyny:

   Wybierz te wartości:

   • Nazwa: linux-iap
   • Strefa:

4. Kliknij Sieci.

   W sekcji Interfejsy sieci kliknij w menu sieci opcję domyślna, aby edytować sieć. Potem zmień zewnętrzny adres IPv4 na Brak.

5. Kliknij Gotowe.

   

6. Następnie kliknij Utwórz. Ta maszyna wirtualna będzie oznaczona jako linux-iap.

Instancje z systemem Windows

1. Aby utworzyć demonstracyjną maszynę wirtualną z systemem Windows, kliknij Utwórz instancję.

2. Otwórz sekcję Konfiguracja maszyny:

   Wybierz te wartości:

   • Nazwa: windows-iap
   • Strefa:

3. Kliknij sekcję System operacyjny i miejsce na dane.

   Aby rozpocząć konfigurowanie dysku rozruchowego, kliknij Zmień i wybierz następujące wartości:

   • Obrazy publiczne > System operacyjny > Windows Server
   • Wersja > Windows Server 2016 Datacenter

   

   Kliknij Wybierz.

4. Kliknij Sieci.

   W sekcji Interfejsy sieci kliknij w menu sieci opcję domyślna, aby edytować sieć. Potem zmień zewnętrzny adres IPv4 na Brak. Kliknij Gotowe.

5. Następnie kliknij Utwórz. Ta maszyna wirtualna będzie oznaczona jako windows-iap.

6. Aby utworzyć maszynę wirtualną z systemem Windows do połączeń, kliknij Utwórz instancję.

7. Otwórz sekcję Konfiguracja maszyny:

   Wybierz te wartości:

   • Nazwa: windows-connectivity
   • Strefa:

8. Kliknij sekcję System operacyjny i miejsce na dane, a następnie kliknij Zmień.

   Aby wybrać system operacyjny, ustaw na karcie Obrazy niestandardowe te wartości:

   • Projekt źródłowy dla obrazów: Qwiklabs Resources
   • Obraz: iap-desktop-v001

   Kliknij Wybierz.

9. Kliknij Zabezpieczenia.

   W sekcji Zakresy dostępu wybierz Zezwól na pełny dostęp do wszystkich interfejsów Cloud APIs.

   Nie wyłączaj zewnętrznego adresu IP dla tej instancji.

10. Następnie kliknij Utwórz. Ta maszyna wirtualna będzie oznaczona jako windows-connectivity.

Zadanie 3. Testowanie połączenia z instancjami z systemami Linux i Windows

1. Po utworzeniu instancji przetestuj dostęp do linux-iap i windows-iap, aby sprawdzić, że nie możesz się dostać do maszyn wirtualnych bez zewnętrznego adresu IP.

2. W przypadku linux-iap kliknij przycisk SSH, aby otworzyć maszynę, i zobacz, czy wyświetli się wiadomość podobna do tej poniżej:

   

4. W przypadku windows-iap kliknij przycisk RDP i zobacz, czy wyświetli się wiadomość podobna do tej poniżej:

   

Zadanie 4. Konfigurowanie wymaganych reguł zapory sieciowej dla BCE

1. Otwórz Menu nawigacyjne i wybierz Sieć VPC > Zapora sieciowa, a potem kliknij Utwórz regułę zapory sieciowej.

2. Skonfiguruj te ustawienia:

3. Kliknij UTWÓRZ, aby utworzyć regułę zapory sieciowej.

Zadanie 5. Przyznawanie uprawnień do używania przekierowywania TCP w IAP

Skonfiguruj rolę iap.tunnelResourceAccessor dla każdej z maszyn wirtualnych, wykonując opisane niżej czynności.

1. Otwórz Menu nawigacyjne i wybierz Zabezpieczenia > Identity-Aware Proxy, przełącz się na kartę Zasoby SSH i TCP (możesz zignorować wyświetlony błąd ekranu zgody OAuth w sekcji HTTPS).
2. Wybierz instancje maszyn wirtualnych linux-iap i windows-iap.
3. Kliknij Dodaj podmiot zabezpieczeń, a potem wpisz konto usługi powiązane z maszyną wirtualną Windows do połączeń. Powinno to wyglądać tak: -compute@developer.gserviceaccount.com.
4. Jako rolę wybierz Cloud IAP > Użytkownik tunelu zabezpieczonego przez IAP.
5. Kliknij ZAPISZ.
6. W prawym górnym rogu strony kliknij ikonę „S”, aby otworzyć swój profil, i skopiuj adres e-mail konta do nauki.
7. Jeszcze raz kliknij Dodaj podmiot zabezpieczeń, aby dodać konto do nauki.
8. Wpisz adres konta do nauki. Tę wartość możesz skopiować z okienka szczegółów modułu.
9. Jako rolę wybierz Cloud IAP > Użytkownik tunelu zabezpieczonego przez IAP.
10. Kliknij ZAPISZ.

Zadanie 6. Użycie klienta IAP Desktop do połączenia się z instancjami z systemami Windows i Linux

Z instancjami można połączyć się za pomocą klienta IAP Desktop, używając graficznego interfejsu użytkownika z instancji z pulpitem Windows. Więcej informacji na temat IAP Desktop znajdziesz w repozytorium GitHub, z którego możesz pobrać to narzędzie.

Aby połączyć się z instancjami z tego modułu za pomocą IAP Desktop:

1. Pobierz plik RDP, aby połączyć się przez RDP z instancją windows-connectivity. Otwórz stronę Compute Engine > Instancje maszyn wirtualnych. Kliknij strzałkę w dół obok instancji windows-connectivity na stronie docelowej Compute Engine i pobierz plik.

2. Otwórz plik RDP, aby połączyć się z instancją za pomocą Remote Desktop Protocol. Gdy pojawi się taka prośba, wpisz dane logowania podane poniżej, aby połączyć się z instancją:

   • Nazwa użytkownika: student
   • Hasło: Learn123!

3. Gdy połączysz się z instancją windows-connectivity znajdź i otwórz aplikację IAP Desktop na pulpicie instancji.

4. Gdy aplikacja się otworzy, kliknij przycisk Zaloguj się przez Google. Wpisz nazwę użytkownika i hasło podane w konsoli modułu, aby uwierzytelnić się w IAP Desktop. Gdy pojawi się prośba o dalsze działanie, kliknij Dalej, a potem Zezwól.

5. Aby po uwierzytelnieniu połączyć się z instancjami Compute Engine w IAP Desktop, musisz dodać projekt. Wybierz projekt modułu powiązany z instancją modułu:

6. Kliknij dwukrotnie instancję windows-iap w aplikacji IAP Desktop, aby zalogować się w instancji.

7. Przy pierwszej próbie połączenia się z instancją za pomocą aplikacji IAP Desktop może zostać wyświetlony monit o podanie danych logowania do instancji. Przy pierwszym logowaniu wybierz „Wygeneruj nowe dane logowania”.

8. W wyskakującym okienku Generate logon credentials (Wygeneruj dane logowania) kliknij OK.

9. Gdy utworzysz dane logowania, otworzy się pulpit instancji windows-iap i zobaczysz widok użytkownika.

Zadanie 7. Przeprowadzanie tunelowania z wykorzystaniem połączeń przez SSH i RDP

1. Przetestujesz połączenie z instancją RDP za pomocą klienta RDP. Jest to potrzebne, ponieważ musisz połączyć się z instancją lokalnie za pomocą tunelu IAP.

2. Otwórz stronę Compute Engine > Instancje maszyn wirtualnych.

3. W przypadku instancji windows-connectivity kliknij strzałkę w dół i wybierz Ustaw hasło Windows. Skopiuj hasło i zapisz je.

4. Potem kliknij strzałkę w dół obok przycisku połączenia i pobierz plik RDP. Otwórz plik RDP za pomocą swojego klienta i wpisz hasło.

5. Gdy połączysz się z instancją windows-connectivity, otwórz pakiet SDK Google Cloud Shell:

   

6. W wierszu poleceń wpisz to polecenie, aby sprawdzić, czy możesz połączyć się z instancją linux-iap:

   gcloud compute ssh linux-iap

   Gdy pojawi się taka prośba, kliknij Y, aby przejść dalej i wybrać strefę.

   Pamiętaj, aby wybrać właściwą strefę dla instancji.

7. Potem zaakceptuj alert bezpieczeństwa Putty.

8. Zaktualizuj ustawienia Putty, aby zezwolić na lokalne połączenia przez tunel. W lewym górnym rogu okienka Putty kliknij Change Settings (Zmień ustawienia).

   

9. Zezwól portom lokalnym na akceptowanie połączeń z innych hostów, zaznaczając pole wyboru „Local ports accept connections from other hosts” (Porty lokalne akceptują połączenia z innych hostów).

   

10. Zamknij sesję Putty i kliknij Zastosuj. Utwórz zaszyfrowany tunel do portu RDP w instancji maszyny wirtualnej za pomocą tego polecenia:

    gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

    Gdy zobaczysz wiadomość o nasłuchiwaniu na porcie [XXX], skopiuj numer portu tunelu.

11. Wróć do konsoli Google Cloud i otwórz stronę Compute Engine > Instancje maszyn wirtualnych.

12. Ustaw i skopiuj hasło do instancji windows-iap.

    Wróć do sesji RDP.

13. Zostaw działające narzędzie gcloud i otwórz aplikację Microsoft Windows Remote Desktop Connection.

14. Wpisz punkt końcowy tunelu (to numer portu tunelu z poprzedniego kroku) w następujący sposób:

    • localhost:punkt_końcowy
    

15. Kliknij Połącz.

    Wpisz skopiowane wcześniej dane logowania. W ten sposób połączysz się z instancją przez RDP.

    Jeśli pojawi się taka prośba, kliknij Tak.

    

Gratulacje! Udało Ci się połączyć z obiema instancjami za pomocą IAP.

Gratulacje!

Teraz wiesz już, jak używać BeyondCorp Enterprise (BCE) i przekierowywania TCP w Identity-Aware Proxy (IAP) przez wdrożenie 2 maszyn wirtualnych (windows-iap i linux-iap) bez adresów IP i skonfigurowanie tunelu IAP, który zapewnił dostęp do obu instancji dzięki 3 maszynie wirtualnej: windows-connectivity.

Kolejne kroki / Więcej informacji

• Więcej informacji o BeyondCorp Enterprise (BCE) i modelu zabezpieczeń typu zero zaufania znajdziesz na tej stronie z dokumentacją Cloud.

Szkolenia i certyfikaty Google Cloud

…pomogą Ci wykorzystać wszystkie możliwości technologii Google Cloud. Nasze zajęcia obejmują umiejętności techniczne oraz sprawdzone metody, które ułatwią Ci szybką naukę i umożliwią jej kontynuację. Oferujemy szkolenia na poziomach od podstawowego po zaawansowany prowadzone w trybach wirtualnym, na żądanie i na żywo, dzięki czemu możesz dopasować program szkoleń do swojego napiętego harmonogramu. Certyfikaty umożliwią udokumentowanie i potwierdzenie Twoich umiejętności oraz doświadczenia w zakresie technologii Google Cloud.

Ostatnia aktualizacja instrukcji: 18 lipca 2025 r.

Ostatni test modułu: 18 lipca 2025 r.

Copyright 2026 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.