GSP213

Panoramica

Nel mondo reale è necessario proteggere i dati sensibili e garantire la disponibilità continua delle tue applicazioni web in ogni momento. Scopri come utilizzare la rete VPC di Google Cloud per creare un deployment del server web più sicuro, scalabile e gestibile all'interno del tuo ambiente Google Cloud.

In questo lab creerai due server web nginx sulla rete VPC predefinita e controllerai l'accesso HTTP esterno a questi server utilizzando regole del firewall associate a tag. Successivamente, esplorerai i service account e i ruoli IAM.

• Due server web ti garantiscono ridondanza: se un server web dà errore, l'altro può continuare a gestire il traffico web, evitando tempi di inattività.
• Le regole firewall associate a tag forniscono un controllo granulare sul traffico che può raggiungere server web specifici.
• Assegnando a un service account l'autorizzazione per eseguire attività, adotti il principio del privilegio minimo, mantenendo al sicuro le tue risorse Cloud.

Obiettivi

In questo lab imparerai a:

• Creare un server web nginx su una rete VPC
• Creare regole firewall associate a tag
• Creare un account di servizio con ruoli IAM
• Esplorare le autorizzazioni per i ruoli Network Admin e Security Admin

Configurazione e requisiti

Prima di fare clic sul pulsante Avvia lab

Leggi le seguenti istruzioni. I lab sono a tempo e non possono essere messi in pausa. Il timer si avvia quando fai clic su Inizia il lab e ti mostra per quanto tempo avrai a disposizione le risorse Google Cloud.

Con questo lab pratico avrai la possibilità di completare le attività in un ambiente cloud reale e non di simulazione o demo. Riceverai delle nuove credenziali temporanee che potrai utilizzare per accedere a Google Cloud per la durata del lab.

Per completare il lab, avrai bisogno di:

• Accesso a un browser internet standard (Chrome è il browser consigliato).

Nota: per eseguire questo lab, utilizza una finestra del browser in modalità di navigazione in incognito (consigliata) o privata. Ciò evita conflitti tra il tuo account personale e l'account studente, che potrebbero causare addebiti aggiuntivi sul tuo account personale.

• È ora di completare il lab: ricorda che, una volta iniziato, non puoi metterlo in pausa.

Nota: utilizza solo l'account studente per questo lab. Se utilizzi un altro account Google Cloud, potrebbero essere addebitati costi su quell'account.

Come avviare il lab e accedere alla console Google Cloud

1. Fai clic sul pulsante Avvia lab. Se devi effettuare il pagamento per il lab, si aprirà una finestra di dialogo per permetterti di selezionare il metodo di pagamento. A sinistra, trovi il riquadro Dettagli lab con le seguenti informazioni:

   • Il pulsante Apri la console Google Cloud
   • Tempo rimanente
   • Credenziali temporanee da utilizzare per il lab
   • Altre informazioni per seguire questo lab, se necessario

2. Fai clic su Apri console Google Cloud (o fai clic con il tasto destro del mouse e seleziona Apri link in finestra di navigazione in incognito se utilizzi il browser Chrome).

   Il lab avvia le risorse e apre un'altra scheda con la pagina di accesso.

   Suggerimento: disponi le schede in finestre separate posizionate fianco a fianco.

   Nota: se visualizzi la finestra di dialogo Scegli un account, fai clic su Usa un altro account.

3. Se necessario, copia il Nome utente di seguito e incollalo nella finestra di dialogo di accesso.

   {{{user_0.username | "Username"}}}

   Puoi trovare il Nome utente anche nel riquadro Dettagli lab.

4. Fai clic su Avanti.

5. Copia la Password di seguito e incollala nella finestra di dialogo di benvenuto.

   {{{user_0.password | "Password"}}}

   Puoi trovare la Password anche nel riquadro Dettagli lab.

6. Fai clic su Avanti.

   Importante: devi utilizzare le credenziali fornite dal lab. Non utilizzare le credenziali del tuo account Google Cloud. Nota: utilizzare il tuo account Google Cloud per questo lab potrebbe comportare addebiti aggiuntivi.

7. Fai clic nelle pagine successive:

   • Accetta i termini e le condizioni.
   • Non inserire opzioni di recupero o l'autenticazione a due fattori, perché si tratta di un account temporaneo.
   • Non registrarti per le prove gratuite.

Dopo qualche istante, la console Google Cloud si apre in questa scheda.

Nota: per accedere ai prodotti e ai servizi Google Cloud, fai clic sul menu di navigazione o digita il nome del servizio o del prodotto nel campo Cerca.

Attiva Cloud Shell

Cloud Shell è una macchina virtuale in cui sono caricati strumenti per sviluppatori. Offre una home directory permanente da 5 GB e viene eseguita su Google Cloud. Cloud Shell fornisce l'accesso da riga di comando alle risorse Google Cloud.

1. Fai clic su Attiva Cloud Shell nella parte superiore della console Google Cloud.

2. Fai clic nelle seguenti finestre:

   • Continua nella finestra delle informazioni di Cloud Shell.
   • Autorizza Cloud Shell a utilizzare le tue credenziali per effettuare chiamate API Google Cloud.

Quando la connessione è attiva, l'autenticazione è già avvenuta e il progetto è impostato sul tuo Project_ID, . L'output contiene una riga che dichiara il Project_ID per questa sessione:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud è lo strumento a riga di comando di Google Cloud. È preinstallato su Cloud Shell e supporta il completamento tramite tasto Tab.

3. (Facoltativo) Puoi visualizzare il nome dell'account attivo con questo comando:

gcloud auth list

4. Fai clic su Autorizza.

Output:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Facoltativo) Puoi elencare l'ID progetto con questo comando:

gcloud config list project

Output:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Nota: per la documentazione completa di gcloud, in Google Cloud, fai riferimento alla guida Panoramica dell'interfaccia a riga di comando gcloud.

Attività 1: crea i server web

In questa sezione, creerai due server web (blu e verde) nella rete VPC predefinita, quindi installerai nginx nei server web e modificherai la pagina di benvenuto in modo da distinguere i server.

Crea il server blu

Crea il server blu con un tag di rete.

1. Nella console Cloud, vai a Menu di navigazione () > Compute Engine > Istanze VM.

2. Per creare una nuova istanza, fai clic su Crea istanza.

3. Nella Configurazione macchina.

   Seleziona i valori seguenti:

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Nome	blu
   Regione
   Zona

   Per ulteriori informazioni sulle regioni e sulle zone disponibili, consulta la sezione Regioni e zone disponibili della guida Regioni e zone di Google Cloud Compute Engine.

4. Fai clic su Networking.

   • Per Tag di rete, digita web-server.
   Nota: le reti utilizzano i tag di rete per identificare le istanze VM soggette a determinate regole firewall e route di rete. Più avanti in questo lab creerai una regola firewall per consentire l'accesso tramite HTTP alle istanze VM contrassegnate con il tag web-server. In alternativa, potresti selezionare la casella di controllo Consenti traffico HTTP. Questa operazione comporta l'assegnazione a questa istanza del tag http-server e la creazione automatica di una regola firewall associata al tag per tcp:80.

5. Fai clic su Crea.

Verifica l'attività completata

Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.

Crea il server blu.

Crea il server verde

Crea il server verde senza contrassegnarlo con un tag di rete.

1. Sempre nella console, nella pagina Istanze VM fai clic su Crea istanza.

2. Nella Configurazione macchina.

   Seleziona i valori seguenti:

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Nome	verde
   Regione
   Zona

3. Fai clic su Crea.

Verifica l'attività completata

Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.

Crea il server verde.

Installa nginx e personalizza la pagina di benvenuto

Installa nginx su entrambe le istanze di VM e modifica la pagina di benvenuto in modo da differenziare i server.

1. Sempre nella finestra di dialogo Istanze VM, per il server blu fai clic su SSH per avviare un terminale e stabilire una connessione.

Nota: se la connessione alla VM non riesce con l'errore Autenticazione SSH non riuscita, fai clic su Riprova per ristabilire la connessione.

2. Nel terminale SSH per blu, esegui il seguente comando per installare nginx:

sudo apt-get install nginx-light -y

3. Apri la pagina di benvenuto nell'editor nano:

sudo nano /var/www/html/index.nginx-debian.html

4. Sostituisci la riga <h1>Welcome to nginx!</h1> con <h1>Welcome to the blue server!</h1>.
5. Premi Ctrl+o, Invio, Ctrl+x.
6. Verifica la modifica:

cat /var/www/html/index.nginx-debian.html

L'output dovrebbe contenere quanto segue.

<h1>Welcome to the blue server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>

7. Chiudi il terminale SSH per il server blu:

exit

Ripeti gli stessi passaggi per il server verde:

8. Fai clic su SSH in corrispondenza del server verde per avviare un terminale e stabilire una connessione.
9. Installa nginx:

sudo apt-get install nginx-light -y

10. Apri la pagina di benvenuto nell'editor nano:

sudo nano /var/www/html/index.nginx-debian.html

11. Sostituisci la riga <h1>Welcome to nginx!</h1> con <h1>Welcome to the green server!</h1>.
12. Premi Ctrl+o, Invio, Ctrl+x.
13. Verifica la modifica:

cat /var/www/html/index.nginx-debian.html

L'output dovrebbe contenere quanto segue.

<h1>Welcome to the green server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>

14. Chiudi il terminale SSH per verde:

exit

Verifica l'attività completata

Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.

Installa Nginx e personalizza la pagina di benvenuto.

Attività 2: crea la regola firewall

Crea una regola firewall associata a un tag e verifica la connettività HTTP.

Crea una del regola firewall associata a un tag

Crea una regola firewall che dovrà essere applicata alle istanze di VM contrassegnate con il tag di rete web-server.

1. Nella console Cloud, vai a Menu di navigazione () > Rete VPC > Firewall.
2. Osserva la regola firewall default-allow-internal.

Nota: la regola firewall default-allow-internal consente il traffico su tutti i protocolli e le porte all'interno della rete predefinita. Devi creare una regola firewall per consentire al traffico proveniente dall'esterno di questa rete di raggiungere solo il server blu, utilizzando il tag di rete web-server.

3. Fai clic su Crea regola firewall.

4. Specifica i valori seguenti e lascia le impostazioni predefinite per gli altri valori.

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Nome	allow-http-web-server
   Rete	predefinita
   Destinazioni	Tag di destinazione specificati
   Tag di destinazione	web-server
   Filtro di origine	Intervalli IPv4
   Intervalli IPv4 di origine	0.0.0.0/0
   Protocolli e porte	Specifica protocolli e porte, quindi seleziona tcp e digita 80; seleziona Altri protocolli e digita icmp.

Nota: assicurati di includere la porzione /0 nel campo Intervalli IP di origine per specificare tutte le reti.

5. Fai clic su Crea.

Verifica l'attività completata

Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.

Crea una regola firewall associata a un tag.

Crea una macchina virtuale di test

Crea un'istanza test-vm utilizzando la riga di comando di Cloud Shell.

1. Apri un nuovo terminale Cloud Shell.

2. Esegui il comando seguente per creare un'istanza test-vm nella zona :

gcloud compute instances create test-vm --machine-type=e2-micro --subnet=default --zone={{{project_0.default_zone|ZONE}}}

L'output dovrebbe essere simile al seguente:

NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS test-vm {{{project_0.default_zone|ZONE}}} e2-micro 10.142.0.4 35.237.134.68 RUNNING Nota: le istanze VM possono essere create facilmente dalla console o dalla riga di comando gcloud.

Verifica l'attività completata

Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.

Crea una macchina virtuale di test.

Verifica la connettività HTTP

Da test-vm, esegui il comando curl per gli indirizzi IP interni ed esterni dei server blu e verde.

1. Nella console, vai a Menu di navigazione () > Compute Engine > Istanze VM.
2. Prendi nota degli indirizzi IP interni ed esterni di blu e verde.
3. In test-vm, fai clic su SSH per avviare un terminale e stabilire una connessione.
4. Per verificare la connettività HTTP all'indirizzo IP interno di blu, esegui il comando seguente, sostituendo il segnaposto con l'indirizzo IP interno di blu:

curl <Enter blue's internal IP here>

Dovresti visualizzare l'intestazione Welcome to the blue server!

5. Per verificare la connettività HTTP all'indirizzo IP interno del server verde, esegui il comando seguente, sostituendo il segnaposto con l'indirizzo IP interno del server verde:

curl -c 3 <Enter green's internal IP here>

Dovresti visualizzare l'intestazione Welcome to the green server!

Nota: ora puoi accedere tramite HTTP a entrambi i server utilizzando i rispettivi indirizzi IP interni. La connessione su tcp:80 è consentita dalla regola firewall default-allow-internal, poiché test-vm si trova sulla stessa rete VPC della rete predefinita dei server web.

6. Per verificare la connettività HTTP all'indirizzo IP esterno del server blu, esegui il comando seguente, sostituendo il segnaposto con l'indirizzo IP esterno del server blu:

curl <Enter blue's external IP here>

Dovresti visualizzare l'intestazione Welcome to the blue server!

7. Per verificare la connettività HTTP all'indirizzo IP esterno del server verde, esegui il comando seguente, sostituendo il segnaposto con l'indirizzo IP esterno del server verde:

curl -c 3 <Enter green's external IP here> Nota: questa operazione non dovrebbe andare a buon fine. La richiesta si blocca.

8. Premi Ctrl+c per arrestare la richiesta HTTP.

Nota: come previsto, puoi accedere tramite HTTP solo all'indirizzo IP esterno del server blu, perché allow-http-web-server si applica solo alle istanze di VM contrassegnate con il tag web-server.

Puoi verificare lo stesso comportamento dal browser aprendo una nuova scheda e passando a http://[Indirizzo IP esterno del server].

Attività 3: esplora i ruoli Network Admin e Security Admin

Cloud IAM ti consente di definire chi può intervenire su risorse specifiche, garantendo un controllo e una visibilità totali per la gestione centralizzata delle risorse cloud. I ruoli seguenti vengono utilizzati insieme alle funzionalità di networking per progetti singoli per controllare in modo indipendente l'accesso amministrativo a ciascuna rete VPC:

• Network Admin: dispone delle autorizzazioni per creare, modificare ed eliminare le risorse di networking, ad eccezione delle regole firewall e dei certificati SSL.
• Security Admin: dispone delle autorizzazioni per creare, modificare ed eliminare regole firewall e certificati SSL.

Sperimenta con questi ruoli applicandoli a un account di servizio, ossia un Account Google speciale che appartiene all'istanza di una VM anziché a un singolo utente finale. Invece di creare un nuovo utente, autorizzerai test-vm a utilizzare l'account di servizio per illustrare le autorizzazioni associate ai ruoli Network Admin e Security Admin.

Verifica le autorizzazioni correnti

Attualmente, test-vm utilizza l'account di servizio predefinito di Compute Engine, che viene attivato su tutte le istanze create dalla riga di comando di Cloud Shell e dalla console Cloud.

Prova a elencare o eliminare le regole firewall disponibili da test-vm.

1. Torna al terminale SSH dell'istanza test-vm.
2. Prova a elencare le regole firewall disponibili:

gcloud compute firewall-rules list

L'output dovrebbe essere simile al seguente:

ERROR: (gcloud.compute.firewall-rules.list) Some requests did not succeed: - Insufficient Permission Nota: questa operazione non dovrebbe andare a buon fine.

3. Prova a eliminare la regola firewall allow-http-web-server:

gcloud compute firewall-rules delete allow-http-web-server

4. Se ti viene richiesto, inserisci Y per continuare.

L'output dovrebbe essere simile al seguente:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Insufficient Permission Nota: questa operazione non dovrebbe andare a buon fine. Nota: l'account di servizio predefinito di Compute Engine non dispone delle autorizzazioni necessarie per consentirti di elencare o eliminare le regole firewall. Lo stesso vale per altri utenti a cui non sono stati assegnati i ruoli appropriati.

Crea un account di servizio

Crea un account di servizio e applica il ruolo Network Admin.

1. Nella console, vai al Menu di navigazione () > IAM e amministratore > Account di servizio.

2. Osserva l'Account di servizio predefinito di Compute Engine.

3. Fai clic su Crea account di servizio.

4. Imposta Nome account di servizio su Network-admin, quindi fai clic su CREA E CONTINUA.

5. Per Seleziona un ruolo, seleziona Compute Engine > Compute Network Admin e fai clic su CONTINUA, quindi su FINE.

6. Dopo aver creato il service account Network-admin, fai clic sui tre puntini nell'angolo superiore destro e seleziona Gestisci chiavi dal menu a discesa, quindi fai clic su Aggiungi chiave e seleziona Crea nuova chiave dal menu a discesa. Fai clic su Crea per scaricare il file JSON di output.

7. Fai clic su Chiudi.

   Un file di chiave JSON viene scaricato sul computer locale. Individua questo file: lo caricherai nella VM in un passaggio successivo.

8. Rinomina il file di chiave JSON sul tuo computer in credentials.json.

Verifica l'attività completata

Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, riceverai un punteggio di valutazione.

Crea il service account Network-admin.

Autorizza test-vm e verifica le autorizzazioni

Autorizza test-vm a utilizzare il service account Network-admin.

1. Torna al terminale SSH dell'istanza test-vm.
2. Per caricare credentials.json tramite il terminale SSH per VM, fai clic sull'icona Carica file nell'angolo in alto a destra.
3. Seleziona credentials.json e caricalo.
4. Fai clic su Chiudi nella finestra Trasferimento file. Nota: se richiesto, fai clic su Riprova nella finestra di dialogo Connessione tramite Cloud Identity-Aware Proxy non riuscita e ricarica il file.
5. Autorizza la VM con le credenziali che hai appena caricato:

gcloud auth activate-service-account --key-file credentials.json Nota: Cloud SDK è già preinstallato nell'immagine che stai utilizzando, pertanto non è necessario inizializzarlo. Se stai completando questo lab in un ambiente diverso, accertati di aver seguito le procedure relative all'installazione di Cloud SDK.

6. Prova a elencare le regole firewall disponibili:

gcloud compute firewall-rules list

L'output dovrebbe essere simile al seguente:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Questa operazione dovrebbe andare a buon fine.

7. Prova a eliminare la regola firewall allow-http-web-server:

gcloud compute firewall-rules delete allow-http-web-server

8. Se ti viene richiesto, inserisci Y per continuare.

L'output dovrebbe essere simile al seguente:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Required 'compute.firewall.delete' permission for 'projects/[PROJECT_ID]/global/firewall/allow-http-web-server' Nota: questa operazione non dovrebbe andare a buon fine. Nota: come previsto, il ruolo Network Admin dispone delle autorizzazioni necessarie per elencare, ma non per modificare o eliminare le regole firewall.

Aggiorna il service account e verifica le autorizzazioni

Aggiorna l'account di servizio Network-admin applicando il ruolo Security Admin.

1. Nella console, vai al Menu di navigazione () > IAM e amministratore > IAM.

2. Individua l'account Network-admin controllando la colonna Nome.

3. Fai clic sull'icona a forma di matita in corrispondenza dell'account Network-admin.

4. Modifica il Ruolo in Compute Engine > Compute Security Admin.

5. Fai clic su Salva.

6. Torna al terminale SSH dell'istanza test-vm.

7. Prova a elencare le regole firewall disponibili:

gcloud compute firewall-rules list

L'output dovrebbe essere simile al seguente:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Questa operazione dovrebbe andare a buon fine.

8. Prova a eliminare la regola firewall allow-http-web-server:

gcloud compute firewall-rules delete allow-http-web-server

9. Se ti viene richiesto, inserisci Y per continuare.

L'output dovrebbe essere simile al seguente:

Deleted [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-00e186e4b1cec086/global/firewall/allow-http-web-server].

Questa operazione dovrebbe andare a buon fine.

Nota: come previsto, il ruolo Security Admin dispone delle autorizzazioni necessarie per elencare ed eliminare le regole firewall.

Verifica l'eliminazione della regola firewall

Verifica di non poter più accedere tramite HTTP all'indirizzo IP esterno del server blu, in quanto hai eliminato la regola firewall allow-http-web-server.

1. Torna al terminale SSH dell'istanza test-vm.
2. Per verificare la connettività HTTP all'indirizzo IP esterno del server blu, esegui il comando seguente, sostituendo il segnaposto con l'indirizzo IP esterno del server blu:

curl -c 3 <Enter blue's external IP here> Nota: questa operazione non dovrebbe andare a buon fine.

3. Premi Ctrl+c per arrestare la richiesta HTTP.

Nota: assegna il ruolo Security Admin all'utente o all'account di servizio corretto, per evitare modifiche indesiderate alle regole firewall.

Complimenti!

In questo lab hai creato due server web nginx e hai stabilito dei controlli sull'accesso esterno via HTTP utilizzando una regola firewall associata a un tag. Successivamente hai creato un service account, prima con il ruolo Network Admin, poi con il ruolo Security Admin per sperimentare le diverse autorizzazioni di questi ruoli.

Prossimi passi/Scopri di più

Scopri di più sui service account e sui ruoli in questo lab:

• Service account e ruoli: concetti fondamentali

Per informazioni sui concetti fondamentali di Google Cloud Identity and Access Management, consulta la panoramica di Google Cloud Identity and Access Management

Formazione e certificazione Google Cloud

… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.

Ultimo aggiornamento del manuale: 9 giugno 2025

Ultimo test del lab: 9 giugno 2025

Copyright 2025 Google LLC. Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.