GSP1036

Visão geral

Neste laboratório, você vai aprender a usar o Chrome Enterprise Premium e o encaminhamento TCP do Identity-Aware Proxy (IAP) para permitir o acesso administrativo a instâncias de VM que não têm endereços IP externos ou não permitem acesso direto pela Internet.

O que você vai aprender

• Ativar o encaminhamento TCP do IAP no seu projeto do Google Cloud
• Testar a conectividade com suas instâncias Linux e Windows
• Configurar as regras de firewall necessárias para BCE
• Conceder permissões para usar o encaminhamento de TCP do IAP
• Demonstrar tunelamento usando conexões SSH e RDP

Configuração e requisitos

Antes de clicar no botão Começar o Laboratório

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é ativado quando você clica em Iniciar laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, e não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

• Tempo para concluir o laboratório: não se esqueça que, depois de começar, não será possível pausar o laboratório.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar por ele, uma caixa de diálogo vai aparecer para você selecionar a forma de pagamento. No painel Detalhes do Laboratório, à esquerda, você vai encontrar o seguinte:

   • O botão Abrir Console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer Login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Username"}}}

   Você também encontra o nome de usuário no painel Detalhes do Laboratório.

4. Clique em Próxima.

5. Copie a Senha abaixo e cole na caixa de diálogo de Olá.

   {{{user_0.password | "Password"}}}

   Você também encontra a senha no painel Detalhes do Laboratório.

6. Clique em Próxima.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: para acessar os produtos e serviços do Google Cloud, clique no Menu de navegação ou digite o nome do serviço ou produto no campo Pesquisar.

Você vai precisar de um cliente RDP pré-instalado para poder conectar e testar instâncias do Windows.

Tarefa 1: ativar o encaminhamento TCP do IAP no seu projeto do Google Cloud

1. Abra o menu de navegação e selecione APIs e serviços > Biblioteca.

2. Pesquise IAP e selecione API Cloud Identity-Aware Proxy.

3. Selecione Ativar.

Tarefa 2: criar instâncias do Linux e do Windows

Crie três instâncias para este laboratório: - Duas para fins de demonstração (Linux e Windows) - Uma para testar a conectividade (Windows)

Instância do Linux

1. Abra o Menu de navegação e selecione Compute Engine > Instâncias de VM.

2. Clique em Criar instância.

3. Na Configuração da máquina:

   Selecione os seguintes valores:

   • Nome: linux-iap
   • Zona:

4. Clique em Rede.

   Em Interfaces de rede, clique no menu suspenso de rede padrão para editar. Em seguida, altere o endereço IPV4 externo para Nenhum.

5. Clique em Concluído.

   

6. Em seguida, clique em Criar. Esta VM será chamada de linux-iap

Instâncias do Windows

1. Para criar a VM de demonstração do Windows, clique em Criar instância.

2. Na Configuração da máquina:

   Selecione os seguintes valores:

   • Nome: windows-iap
   • Zona:

3. Clique na seção SO e armazenamento.

   Selecione Alterar para começar a configurar o disco de inicialização e selecione os seguintes valores:

   • Imagens públicas > Sistema operacional > Windows Server
   • Versão > Centro de dados do Windows Server 2016

   

   Clique em Selecionar.

4. Clique em Rede.

   Em Interfaces de rede, clique no menu suspenso de rede padrão para editar. Em seguida, altere o endereço IPV4 externo para Nenhum. Clique em Concluído.

5. Em seguida, clique em Criar. Esta VM será chamada de windows-iap

6. Para criar a VM de conectividade do Windows, clique em Criar instância.

7. Na Configuração da máquina:

   Selecione os seguintes valores:

   • Nome: windows-connectivity
   • Zona:

8. Clique na seção SO e armazenamento e em Mudar.

   Para o SO, defina o seguinte na guia Imagens personalizadas:

   • Projeto fonte das imagens: Recursos do Qwiklabs
   • Imagem: iap-desktop-v001

   Clique em Selecionar.

9. Clique em Segurança.

   Na seção Escopos de acesso, selecione Permitir acesso completo a todas as APIs do Cloud.

   Não desative o IP externo para esta instância

10. Em seguida, clique em Criar. Esta VM será chamada de windows-connectivity

Tarefa 3: testar a conectividade com suas instâncias Linux e Windows

1. Depois que as instâncias forem criadas, você testará o acesso a linux-iap e windows-iap para garantir que não será capaz de acessar as VMs sem o IP externo.

2. Para linux-iap, clique no botão SSH para entrar na máquina e certifique-se de receber uma mensagem semelhante à seguinte.

   

4. Para windows-iap: clique no botão RDP e confira se recebeu uma mensagem como esta:

   

Tarefa 4: configurar as regras de firewall necessárias para BCE

1. Abra o menu de navegação e selecione rede VPC > Firewall e clique em Criar regra de firewall

2. Defina as configurações a seguir:

3. Clique em CRIAR para criar a regra de firewall.

Tarefa 5: conceder permissões para usar o encaminhamento de TCP do IAP

Use as etapas a seguir para configurar o papel iap.tunnelResourceAccessor por VM.

1. Abra o menu de navegação e selecione Segurança > Identity-Aware Proxy, mude para a guia Recursos SSH e TCP (ignore com segurança o erro de tela de consentimento do Oauth na seção HTTPS).
2. Selecione as instâncias de linux-iap e windows-iap.
3. Clique em Adicionar principal, e insira a conta de serviço associada à sua VM de conectividade do Windows. Deve estar no formato -compute@developer.gserviceaccount.com.
4. Selecione Cloud IAP > Usuário de túnel protegido por IAP para o papel.
5. Clique em SALVAR.
6. Na parte de cima à direita da página clique no ícone “S” para abrir seu perfil e copiar o e-mail da conta do estudante.
7. Clique em Adicionar principal novamente para adicionar sua conta de estudante.
8. Entre na conta do estudante. Você pode copiar esse valor do painel de detalhes do laboratório.
9. Selecione Cloud IAP > Usuário de túnel protegido por IAP para o papel.
10. Clique em SALVAR.

Tarefa 6: usar o IAP Desktop para se conectar às instâncias do Windows e do Linux

É possível usar o IAP Desktop para conectar-se a instâncias usando uma interface gráfica do usuário de uma instância com Windows Desktop. Você pode ler mais sobre o IAP Desktop no repositório GitHub que hospeda o download da ferramenta.

Para usar o IAP Desktop para se conectar às instâncias deste laboratório:

1. RDP para a instância windows-connectivity baixando o arquivo RDP. Acesse a página Compute Engine > Instâncias de VM. Selecione a seta para baixo ao lado da instância windows-connectivity na página inicial do Compute Engine e faça download do arquivo.

2. Abra o arquivo RDP para se conectar à instância usando o protocolo de área de trabalho remota. Você usará as credenciais abaixo para se conectar à instância assim que solicitado:

   • Nome do usuário: aluno
   • Senha: Learn123!

3. Uma vez conectado à instância windows-connectivity, localize e abra o aplicativo IAP Desktop na área de trabalho da instância.

4. Assim que o aplicativo abrir, clique no botão fazer login com o Google para fazer login. Use o nome de usuário e a senha fornecidos no console do laboratório para autenticar no IAP Desktop. Quando aparecer uma janela confirmando a ação, clique em Continuar e em Permitir.

5. Você precisará adicionar o projeto para se conectar às instâncias do Compute Engine no IAP Desktop após a autenticação. Selecione o projeto de laboratório associado à sua instância de laboratório:

6. Clique duas vezes na instância windows-iap no aplicativo IAP Desktop para fazer login nela.

7. Talvez você precise fornecer suas credenciais para a instância na primeira vez que se conectar a ela usando o IAP Desktop. Selecione "Gerar novas credenciais" na primeira vez que fizer login na instância.

8. Clique em OK no pop-up Gerar credenciais de logon.

9. Após a criação das credenciais, você verá a área de trabalho da instância windows-iap e também a experiência do usuário final.

Tarefa 7: demonstrar tunelamento usando conexões SSH e RDP

1. Você vai testar a conectividade com a instância RDP usando um cliente RDP. Isso ocorre porque você precisa se conectar à instância localmente usando um túnel IAP.

2. Acesse a página Compute Engine > Instâncias de VM.

3. Para a instância windows-connectivity, clique na seta para baixo e selecione Definir senha do Windows. Copie a senha e salve-a.

4. Em seguida, clique na seta para baixo ao lado de conectar para fazer o download e clique em fazer o download do arquivo RDP. Abra o arquivo RDP com seu cliente e digite sua senha.

5. Depois de se conectar à instância do windows-connectivity, Abra o shell do SDK Google Cloud:

   

6. Agora, na linha de comando, digite o seguinte comando para ver se você consegue se conectar à instância linux-iap instance:

   gcloud compute ssh linux-iap

   Se precisar, clique em Y para continuar e selecionar a zona.

   Quando solicitado, confira se você selecionou a zona correta para a instância.

7. Em seguida, aceite o alerta de segurança do Putty.

8. Atualize as configurações do Putty para permitir conexões de túnel localmente. Clique no canto superior esquerdo da janela do Putty > Alterar configurações.

   

9. Permita que as portas locais aceitem conexões de outros hosts marcando a caixa de seleção "As portas locais aceitam conexões de outros hosts".

   

10. Feche a sessão do Putty e clique em Aplicar. Use o seguinte comando para criar um túnel criptografado para a porta RDP da instância de VM:

    gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

    Depois de ver a mensagem sobre “Escutando na porta [XXX]”. Copie o número da porta do túnel.

11. Retorne ao console do Google Cloud e acesse a página Compute Engine > Instâncias de VM.

12. Defina e copie a senha da instância windows-iap.

    Retorne à sessão RDP agora.

13. Deixe o em execução e abra o aplicativo Conexão de Área de Trabalho Remota do Microsoft Windows.

14. Insira o ponto final do túnel, em que o ponto final é o número da porta do túnel da etapa anterior, assim:

    • localhost:endpoint
    

15. Clique em Conectar.

    Em seguida, insira as credenciais anteriores que você copiou anteriormente. Você será submetido a RDP com sucesso em sua instância agora!

    Se solicitado, clique em Sim.

    

Parabéns! Você conseguiu se conectar às duas instâncias usando o IAP.

Parabéns!

Você aprendeu como usar o BeyondCorp Enterprise (BCE) e o encaminhamento TCP do Identity-Aware Proxy (IAP) implantando 2 VMs, windows-iap e linux-iap, sem endereços IP e configurando um túnel IAP que deu acesso a ambas as instâncias usando uma terceira VM, windows-connectivity.

Próximas etapas / Saiba mais

• Leia mais sobre o BeyondCorp Enterprise (BCE) e o modelo de confiança zero neste site da documentação do Cloud.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 18 de julho de 2025

Laboratório testado em 18 de julho de 2025

Copyright 2026 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.