Wczytuję…
Nie znaleziono wyników.
Zyskaj dostęp do ponad 700 modułów i kursów

Sieci VPC – kontrola dostępu

Moduł 1 godz. universal_currency_alt Punkty: 5 show_chart Średnio zaawansowane
info Ten moduł może zawierać narzędzia AI, które ułatwią Ci naukę.
Zyskaj dostęp do ponad 700 modułów i kursów

GSP213

Logo modułów do samodzielnego ukończenia poświęconych Google Cloud

Opis

W rzeczywistych zastosowaniach musisz chronić dane wrażliwe i zapewniać nieprzerwaną dostępność swoich aplikacji internetowych przez cały czas. Dowiedz się, jak utworzyć bardziej bezpieczne i skalowalne oraz łatwiejsze w zarządzaniu wdrożenie serwera WWW w środowisku Google Cloud przy pomocy sieci VPC Google Cloud.

W tym module utworzysz 2 serwery WWW nginx w domyślnej sieci VPC, a także nauczysz się kontrolować zewnętrzny dostęp HTTP do tych serwerów, używając oznaczonych tagami reguł zapory sieciowej. Dowiesz się również, czym są zasady uprawnień i konta usługi.

  • 2 serwery WWW zapewniają nadmiarowość – w przypadku awarii jednego serwera drugi z nich dalej obsługuje ruch sieciowy, co zapobiega przestojom.
  • Oznaczone tagami reguły zapory sieciowej dają szczegółową kontrolę nad tym, jaki typ ruchu może docierać do wybranych serwerów WWW.
  • Przypisując kontu usługi uprawnienia do wykonywania zadań, przestrzegasz zasady jak najmniejszych uprawnień, co zapewnia bezpieczeństwo zasobów w chmurze.

Cele

Z tego modułu nauczysz się, jak:

  • utworzyć serwer WWW nginx w sieci VPC,
  • utworzyć oznaczone tagami reguły zapory sieciowej,
  • utworzyć konto usługi z rolami uprawnień,
  • poznać uprawnienia związane z rolami administratora sieci i administratora zabezpieczeń.

Konfiguracja i wymagania

Zanim klikniesz przycisk Rozpocznij moduł

Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Gdy klikniesz Rozpocznij moduł, na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.

W tym praktycznym module możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.

Do ukończenia modułu potrzebne będą:

  • Dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome).
Uwaga: uruchom ten moduł w oknie incognito (zalecane) lub przeglądania prywatnego. Dzięki temu unikniesz konfliktu między swoim kontem osobistym a kontem do nauki, co mogłoby spowodować naliczanie dodatkowych opłat na koncie osobistym.
  • Odpowiednia ilość czasu na ukończenie modułu – pamiętaj, że gdy rozpoczniesz, nie możesz go wstrzymać.
Uwaga: w tym module używaj tylko konta do nauki. Jeśli użyjesz innego konta Google Cloud, mogą na nim zostać naliczone opłaty.

Rozpoczynanie modułu i logowanie się w konsoli Google Cloud

  1. Kliknij przycisk Rozpocznij moduł. Jeśli moduł jest odpłatny, otworzy się okno, w którym możesz wybrać formę płatności. Po lewej stronie znajduje się panel Szczegóły modułu z następującymi elementami:

    • przyciskiem Otwórz konsolę Google Cloud;
    • czasem, który Ci pozostał;
    • tymczasowymi danymi logowania, których musisz użyć w tym module;
    • innymi informacjami potrzebnymi do ukończenia modułu.

  2. Kliknij Otwórz konsolę Google Cloud (lub kliknij prawym przyciskiem myszy i wybierz Otwórz link w oknie incognito, jeśli korzystasz z przeglądarki Chrome).

    Moduł uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.

    Wskazówka: otwórz karty obok siebie w osobnych oknach.

    Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta.

  3. W razie potrzeby skopiuj nazwę użytkownika znajdującą się poniżej i wklej ją w oknie logowania.

    {{{user_0.username | "Username"}}}

    Nazwę użytkownika znajdziesz też w panelu Szczegóły modułu.

  4. Kliknij Dalej.

  5. Skopiuj podane niżej hasło i wklej je w oknie powitania.

    {{{user_0.password | "Password"}}}

    Hasło znajdziesz też w panelu Szczegóły modułu.

  6. Kliknij Dalej.

    Ważne: musisz użyć danych logowania podanych w module. Nie używaj danych logowania na swoje konto Google Cloud. Uwaga: korzystanie z własnego konta Google Cloud w tym module może wiązać się z dodatkowymi opłatami.

  7. Na kolejnych stronach wykonaj następujące czynności:

    • Zaakceptuj Warunki korzystania z usługi.
    • Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
    • Nie rejestruj się w bezpłatnych wersjach próbnych.

Poczekaj, aż na karcie otworzy się konsola Google Cloud.

Uwaga: aby uzyskać dostęp do produktów i usług Google Cloud, kliknij Menu nawigacyjne lub wpisz nazwę usługi albo produktu w polu Szukaj. Ikona menu nawigacyjnego i pole wyszukiwania

Aktywowanie Cloud Shell

Cloud Shell to maszyna wirtualna oferująca wiele narzędzi dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud. Dzięki wierszowi poleceń Cloud Shell zyskujesz dostęp do swoich zasobów Google Cloud.

  1. Kliknij Aktywuj Cloud Shell Ikona aktywowania Cloud Shell na górze konsoli Google Cloud.

  2. Kliknij te okna:

    • Przejdź przez okno z informacjami o Cloud Shell.
    • Zezwól Cloud Shell na używanie Twoich danych logowania w celu wywoływania interfejsu Google Cloud API.

Po połączeniu użytkownik od razu jest uwierzytelniony. Uruchomi się Twój projekt o identyfikatorze Project_ID . Dane wyjściowe zawierają wiersz z zadeklarowanym identyfikatorem Project_ID dla tej sesji:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud to narzędzie wiersza poleceń Google Cloud. Jest ono już zainstalowane w Cloud Shell i obsługuje funkcję autouzupełniania po naciśnięciu tabulatora.

  1. (Opcjonalnie) Aby wyświetlić listę aktywnych kont, użyj tego polecenia:
gcloud auth list
  1. Kliknij Autoryzuj.

Dane wyjściowe:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (Opcjonalnie) Aby wyświetlić identyfikator projektu, użyj tego polecenia:
gcloud config list project

Dane wyjściowe:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Uwaga: pełną dokumentację gcloud w Google Cloud znajdziesz w opisie gcloud CLI.

Zadanie 1. Tworzenie serwerów WWW

W tej sekcji utworzysz 2 serwery WWW (niebieskizielony) w domyślnej sieci VPC. Następnie zainstalujesz na nich nginx i zmodyfikujesz stronę powitalną tak, żeby je odróżniała.

Tworzenie serwera niebieskiego

Utwórz serwer niebieski z tagiem sieci.

  1. W konsoli Cloud otwórz Menu nawigacyjne (Ikona menu nawigacyjnego) i kliknij Compute Engine > Instancje maszyn wirtualnych.

  2. Aby utworzyć nową instancję, kliknij Utwórz instancję.

  3. Otwórz sekcję Konfiguracja maszyny:

    Wybierz te wartości:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Nazwa niebieski
    Region
    Strefa

    Więcej informacji o dostępnych regionach i strefach znajdziesz w odpowiednim poradniku dotyczącym Cloud Compute Engine, w sekcji Dostępne regiony i strefy (w języku angielskim).

  4. Kliknij Sieci.

    • Aby uzyskać informacje na temat tagów sieci, wpisz web-server.
    Uwaga: sieci używają tagów, aby wskazać, które instancje maszyn wirtualnych podlegają określonym regułom zapory sieciowej i trasom sieci. W dalszej części tego modułu utworzysz regułę zapory sieciowej umożliwiającą dostęp HTTP do instancji maszyn wirtualnych z tagiem web-server. Możesz również zaznaczyć pole wyboru Zezwalaj na ruch HTTP, co spowoduje oznaczenie instancji tagiem http-server i utworzenie oznaczonej tagiem reguły zapory sieciowej dla tcp:80.

  5. Kliknij Utwórz.

Testowanie ukończonego zadania

Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.

Utworzenie serwera niebieskiego

Tworzenie serwera zielonego

Utwórz serwer zielony bez tagu sieci.

  1. Nie wychodząc z konsoli, na stronie Instancje maszyn wirtualnych kliknij Utwórz instancję.

  2. Otwórz sekcję Konfiguracja maszyny:

    Wybierz te wartości:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Nazwa zielony
    Region
    Strefa

  3. Kliknij Utwórz.

Testowanie ukończonego zadania

Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.

Utworzenie serwera zielonego

Zainstalowanie nginx i dostosowanie strony powitalnej

Zainstaluj nginx w obu instancjach maszyny wirtualnej i zmodyfikuj stronę powitalną, aby rozróżnić serwery.

  1. Nie wychodząc z okna Instancje maszyn wirtualnych, kliknij przy serwerze niebieskim SSH, aby uruchomić terminal i nawiązać połączenie.
Uwaga: jeśli połączenie z maszyną wirtualną nie powiedzie się z powodu błędu Nie udało się uwierzytelnić SSH, kliknij Spróbuj ponownie, aby ponownie nawiązać połączenie.
  1. W terminalu SSH dla serwera niebieskiego uruchom następujące polecenie, aby zainstalować nginx:
sudo apt-get install nginx-light -y
  1. W edytorze nano otwórz stronę powitalną:
sudo nano /var/www/html/index.nginx-debian.html
  1. Zastąp wiersz <h1>Welcome to nginx!</h1> wierszem <h1>Welcome to the blue server!</h1>.
  2. Naciśnij CTRL+O, ENTER, CTRL+X.
  3. Potwierdź zmianę:
cat /var/www/html/index.nginx-debian.html

Dane wyjściowe powinny zawierać ten kod:

<h1>Welcome to the blue server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>
  1. Zamknij terminal SSH dla serwera niebieskiego:
exit

Powtórz te same czynności dla serwera zielonego:

  1. Dla serwera zielonego: kliknij SSH, aby uruchomić terminal i nawiązać połączenie.
  2. Zainstaluj nginx:
sudo apt-get install nginx-light -y
  1. W edytorze nano otwórz stronę powitalną:
sudo nano /var/www/html/index.nginx-debian.html
  1. Zastąp wiersz <h1>Welcome to nginx!</h1> wierszem <h1>Welcome to the green server!</h1>.
  2. Naciśnij CTRL+O, ENTER, CTRL+X.
  3. Potwierdź zmianę:
cat /var/www/html/index.nginx-debian.html

Dane wyjściowe powinny zawierać ten kod:

<h1>Welcome to the green server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>
  1. Zamknij terminal SSH dla serwera zielonego:
exit

Testowanie ukończonego zadania

Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.

Zainstalowanie Nginx i dostosowanie strony powitalnej

Zadanie 2. Tworzenie reguły zapory sieciowej

Utwórz oznaczoną tagiem regułę zapory sieciowej i przetestuj połączenia HTTP.

Tworzenie oznaczonej tagiem reguły zapory sieciowej

Utwórz regułę zapory sieciowej dotyczącą instancji maszyn wirtualnych z tagiem sieci web-server.

  1. W konsoli Cloud otwórz Menu nawigacyjne (Ikona menu nawigacyjnego) i kliknij Sieć VPC > Zapora sieciowa.
  2. Zwróć uwagę na regułę zapory sieciowej default-allow-internal.
Uwaga: reguła zapory sieciowej default-allow-internal zezwala na ruch we wszystkich protokołach/portach w sieci domyślnej. Musisz utworzyć regułę zapory sieciowej zezwalającą na ruch z zewnątrz tej sieci wyłącznie do serwera niebieskiego, używając tagu sieci web-server.

  1. Kliknij Utwórz regułę zapory sieciowej.

  2. Ustaw te wartości, a wszystkie inne pozostaw domyślne:

    Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję)
    Nazwa allow-http-web-server
    Sieć default
    Cele Określone tagi docelowe
    Tagi docelowe web-server
    Filtr źródeł Zakresy adresów IPv4
    Zakresy źródłowych adresów IPv4 0.0.0.0/0
    Protokoły i porty Określone protokoły i porty, a następnie zaznacz tcp, wpisz: 80 oraz zaznacz Inne protokoły i wpisz: icmp.
Uwaga: sprawdź, czy Zakresy źródłowych adresów IP zawierają /0 – pozwala to określić wszystkie sieci.
  1. Kliknij Utwórz.

Testowanie ukończonego zadania

Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.

Utworzenie oznaczonej tagiem reguły zapory sieciowej

Tworzenie testowej maszyny wirtualnej

Utwórz instancję testowej maszyny wirtualnej test-vm za pomocą wiersza poleceń Cloud Shell.

  1. Otwórz nowy terminal Cloud Shell.

  2. Uruchom następujące polecenie, aby utworzyć instancję test-vm w strefie :

gcloud compute instances create test-vm --machine-type=e2-micro --subnet=default --zone={{{project_0.default_zone|ZONE}}}

Dane wyjściowe powinny wyglądać tak:

NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS test-vm {{{project_0.default_zone|ZONE}}} e2-micro 10.142.0.4 35.237.134.68 RUNNING Uwaga: instancje maszyn wirtualnych można łatwo tworzyć w konsoli lub wierszu poleceń gcloud.

Testowanie ukończonego zadania

Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.

Utworzenie testowej maszyny wirtualnej

Testowanie połączeń HTTP

Z instancji test-vm połącz się za pomocą polecenia curl z wewnętrznymi i zewnętrznymi adresami IP serwera niebieskiegozielonego.

  1. W konsoli wybierz Menu nawigacyjne (Ikona menu nawigacyjnego) > Compute Engine > Instancje maszyn wirtualnych.
  2. Zapisz wewnętrzne i zewnętrzne adresy IP serwerów niebieskiegozielonego.
  3. Przy testowej maszynie wirtualnej test-vm kliknij SSH, aby uruchomić terminal i nawiązać połączenie.
  4. Aby przetestować połączenie HTTP z wewnętrznym adresem IP serwera niebieskiego, uruchom następujące polecenie, podając wewnętrzny adres IP serwera niebieskiego:
curl <tu wpisz wewnętrzny adres IP serwera niebieskiego>

Powinien pojawić się nagłówek Welcome to the blue server!.

  1. Aby przetestować połączenie HTTP z wewnętrznym adresem IP serwera zielonego, uruchom następujące polecenie, podając wewnętrzny adres IP serwera zielonego:
curl -c 3 <tu wpisz wewnętrzny adres IP serwera zielonego>

Powinien pojawić się nagłówek Welcome to the green server!.

Uwaga: możesz uzyskać dostęp HTTP do obydwu serwerów, używając ich wewnętrznych adresów IP. Połączenie w porcie tcp:80 jest dozwolone przez regułę zapory sieciowej default-allow-internal, ponieważ test-vm znajduje się w tej samej sieci VPC, co domyślna sieć serwera WWW.
  1. Aby przetestować połączenie HTTP z zewnętrznym adresem IP serwera niebieskiego, uruchom następujące polecenie, podając zewnętrzny adres IP serwera niebieskiego:
curl <tu wpisz zewnętrzny adres IP serwera niebieskiego>

Powinien pojawić się nagłówek Welcome to the blue server!.

  1. Aby przetestować połączenie HTTP z zewnętrznym adresem IP serwera zielonego, uruchom następujące polecenie, podając zewnętrzny adres IP serwera zielonego:
curl -c 3 <tu wpisz zewnętrzny adres IP serwera zielonego> Uwaga: to nie działa. Wykonanie żądania zostaje zawieszone.
  1. Naciśnij CTRL+C, aby zatrzymać żądanie HTTP.
Uwaga: jak można było oczekiwać, możesz uzyskać dostęp HTTP tylko do zewnętrznego adresu IP serwera niebieskiego, ponieważ reguła allow-http-web-server dotyczy wyłącznie instancji maszyn wirtualnych z tagiem web-server.

Możesz sprawdzić to samo zachowanie z poziomu przeglądarki, otwierając nową kartę i przechodząc do adresu http://[zewnętrzny adres IP serwera].

Zadanie 3. Poznawanie ról administratora sieci i administratora zabezpieczeń

Cloud IAM umożliwia autoryzację osób do podejmowania działań dotyczących określonych zasobów. Zapewnia to pełną kontrolę i widoczność pozwalającą na centralne zarządzanie zasobami w chmurze. Wymienione niżej role używane są w połączeniu z sieciami pojedynczego projektu w celu niezależnej kontroli dostępu administracyjnego do poszczególnych sieci VPC:

  • Administrator sieci ma uprawnienia do tworzenia, modyfikowania i usuwania zasobów sieciowych oprócz reguł zapory sieciowej i certyfikatów SSL.
  • Administrator zabezpieczeń ma uprawnienia do tworzenia, modyfikowania i usuwania reguł zapory sieciowej oraz certyfikatów SSL.

Poznaj te role, stosując je do konta usługi będącego specjalnym kontem Google i należącym do Twojej instancji maszyny wirtualnej (a nie do indywidualnego użytkownika końcowego). Zamiast utworzyć nowe konto użytkownika, pozwolisz instancji test-vm na używanie konta usługi, aby zademonstrować uprawnienia ról administratora sieciadministratora zabezpieczeń.

Sprawdzanie bieżących uprawnień

Obecnie instancja test-vm używa domyślnego konta usługi Compute Engine, które jest włączone dla wszystkich instancji utworzonych z wiersza poleceń Cloud Shell i z konsoli Cloud.

Spróbuj wyświetlić lub usunąć dostępne reguły zapory sieciowej z testowej maszyny test-vm.

  1. Wróć do terminala SSH instancji test-vm.
  2. Spróbuj wyświetlić dostępne reguły zapory sieciowej:
gcloud compute firewall-rules list

Dane wyjściowe powinny wyglądać tak:

ERROR: (gcloud.compute.firewall-rules.list) Some requests did not succeed: - Insufficient Permission Uwaga: to nie działa.
  1. Spróbuj usunąć regułę zapory sieciowej allow-http-web-server (która zezwala na ruch HTTP do serwera WWW):
gcloud compute firewall-rules delete allow-http-web-server
  1. Jeśli pojawi się pytanie o to, czy chcesz kontynuować, wpisz Y (Tak).

Dane wyjściowe powinny wyglądać tak:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Insufficient Permission Uwaga: to nie działa. Uwaga: domyślne konto usługi Compute Engine nie ma odpowiednich uprawnień, które umożliwiałyby wyświetlenie lub usunięcie reguł zapory sieciowej. To samo dotyczy innych użytkowników niemających tych ról.

Tworzenie konta usługi

Utwórz konto usługi i zastosuj rolę administratora sieci.

  1. W konsoli otwórz Menu nawigacyjne (Ikona menu nawigacyjnego) > Administracja > Konta usługi.

  2. Zwróć uwagę na domyślne konto usługi Compute Engine.

  3. Kliknij Utwórz konto usługi.

  4. W polu Nazwa konta usługi wpisz Network-admin i kliknij UTWÓRZ I KONTYNUUJ.

  5. W menu Wybierz rolę wybierz Compute Engine > Administrator sieci Compute i kliknij DALEJ, a następnie GOTOWE.

  6. Po utworzeniu konta usługi Network-admin kliknij 3 kropki w prawym rogu i z menu wybierz Zarządzaj kluczami, a następnie kliknijDodaj klucz i z menu wybierz Utwórz nowy klucz. Kliknij Utwórz, aby pobrać dane wyjściowe JSON.

  7. Kliknij Zamknij.

    Plik klucza JSON zostanie pobrany na komputer lokalny. Znajdź ten plik. W następnym kroku prześlesz go do maszyny wirtualnej.

  8. Zmień nazwę pliku klucza JSON na komputerze lokalnym na credentials.json.

Testowanie ukończonego zadania

Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.

Utworzenie konta usługi Network-admin

Autoryzowanie maszyny wirtualnej i sprawdzanie uprawnień

Nadaj testowej maszynie wirtualnej test-vm uprawnienia do używania konta usługi Network-admin.

  1. Wróć do terminala SSH instancji test-vm.
  2. Aby przesłać plik credentials.json przez terminal SSH maszyny wirtualnej, w prawym górnym rogu kliknij ikonę Prześlij plik.
  3. Wybierz plik credentials.json i prześlij go.
  4. W oknie Przesłanie pliku kliknij Zamknij. Uwaga: jeśli pojawi się okno Nie udało się nawiązać połączenia przez serwer Cloud Identity-Aware Proxy, kliknij Ponów i prześlij plik jeszcze raz.
  5. Autoryzuj maszynę wirtualną, używając przesłanych właśnie danych uwierzytelniających:
gcloud auth activate-service-account --key-file credentials.json Uwaga: w obrazie, którego używasz, został już zainstalowany pakiet Cloud SDK – nie musisz więc tego pakietu inicjować. Jeśli przechodzisz ten moduł w innym środowisku, koniecznie wykonaj procedury instalowania pakietu Cloud SDK.
  1. Spróbuj wyświetlić dostępne reguły zapory sieciowej:
gcloud compute firewall-rules list

Dane wyjściowe powinny wyglądać tak:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

To powinno zadziałać.

  1. Spróbuj usunąć regułę zapory sieciowej allow-http-web-server (która zezwala na ruch HTTP do serwera WWW):
gcloud compute firewall-rules delete allow-http-web-server
  1. Jeśli pojawi się pytanie o to, czy chcesz kontynuować, wpisz Y (Tak).

Dane wyjściowe powinny wyglądać tak:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Required 'compute.firewall.delete' permission for 'projects/[PROJECT_ID]/global/firewall/allow-http-web-server' Uwaga: to nie działa. Uwaga: zgodnie z oczekiwaniami rola administratora sieci ma uprawnienia umożliwiające wyświetlanie, ale nie modyfikację/usuwanie reguł zapory sieciowej.

Aktualizowanie konta usługi i sprawdzanie uprawnień

Zaktualizuj konto usługi Network-admin, nadając mu rolę administratora zabezpieczeń.

  1. W konsoli wybierz Menu nawigacyjne (Ikona menu nawigacyjnego) > Administracja > Uprawnienia.

  2. Znajdź konto Network-admin. Aby ułatwić sobie to zadanie, zwróć uwagę na kolumnę Nazwa.

  3. Kliknij ikonę ołówka dla konta Network-admin.

  4. Zmień ustawienie Rola na Compute Engine > Administrator zabezpieczeń Compute.

  5. Kliknij Zapisz.

  6. Wróć do terminala SSH instancji test-vm.

  7. Spróbuj wyświetlić dostępne reguły zapory sieciowej:

gcloud compute firewall-rules list

Dane wyjściowe powinny wyglądać tak:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

To powinno zadziałać.

  1. Spróbuj usunąć regułę zapory sieciowej allow-http-web-server (która zezwala na ruch HTTP do serwera WWW):
gcloud compute firewall-rules delete allow-http-web-server
  1. Jeśli pojawi się pytanie o to, czy chcesz kontynuować, wpisz Y (Tak).

Dane wyjściowe powinny wyglądać tak:

Deleted [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-00e186e4b1cec086/global/firewall/allow-http-web-server].

To powinno zadziałać.

Uwaga: jak można było oczekiwać, rola administratora zabezpieczeń ma uprawnienia umożliwiające wyświetlanie i usuwanie reguł zapory sieciowej.

Sprawdzanie, czy reguła zapory sieciowej została usunięta

Sprawdź, czy na pewno doszło do utraty dostępu HTTP do zewnętrznego adresu IP serwera niebieskiego spowodowanej usunięciem reguły zapory sieciowej allow-http-web-server (która zezwalała na ruch HTTP do serwera WWW).

  1. Wróć do terminala SSH instancji test-vm.
  2. Aby przetestować połączenie HTTP z zewnętrznym adresem IP serwera niebieskiego, uruchom następujące polecenie, podając zewnętrzny adres IP serwera niebieskiego:
ie curl -c 3 <tu wpisz zewnętrzny adres IP serwera niebieskiego> Uwaga: to nie działa.
  1. Naciśnij CTRL+C, aby zatrzymać żądanie HTTP.
Uwaga: aby uniknąć niepożądanych zmian reguł zapory sieciowej, nadawaj rolę administratora zabezpieczeń tylko właściwym użytkownikom lub kontom usługi.

Gratulacje!

W tym module udało Ci się utworzyć 2 serwery WWW, a także nauczyć się, jak kontrolować zewnętrzny dostęp HTTP przy użyciu oznaczonych tagami reguł zapory sieciowej. Utworzyłeś(-aś) też konto usługi – najpierw z rolą administratora sieci, a następnie z rolą administratora zabezpieczeń – aby poznać różne uprawnienia tych ról.

Kolejne kroki / Więcej informacji

Rozpocznij ten moduł, żeby poznać konta usług i role:

Informacje na temat podstawowych zagadnień dotyczących usługi Google Cloud Identity and Access Management znajdziesz w jej opisie (w języku angielskim).

Szkolenia i certyfikaty Google Cloud

…pomogą Ci wykorzystać wszystkie możliwości technologii Google Cloud. Nasze zajęcia obejmują umiejętności techniczne oraz sprawdzone metody, które ułatwią Ci szybką naukę i umożliwią jej kontynuację. Oferujemy szkolenia na poziomach od podstawowego po zaawansowany prowadzone w trybach wirtualnym, na żądanie i na żywo, dzięki czemu możesz dopasować program szkoleń do swojego napiętego harmonogramu. Certyfikaty umożliwią udokumentowanie i potwierdzenie Twoich umiejętności oraz doświadczenia w zakresie technologii Google Cloud.

Ostatnia aktualizacja instrukcji: 9 czerwca 2025 r.

Ostatni test modułu: 9 czerwca 2025 r.

Copyright 2025 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.

Zanim zaczniesz

  1. Moduły tworzą projekt Google Cloud i zasoby na określony czas.
  2. Moduły mają ograniczenie czasowe i nie mają funkcji wstrzymywania. Jeśli zakończysz moduł, musisz go zacząć od początku.
  3. Aby rozpocząć, w lewym górnym rogu ekranu kliknij Rozpocznij moduł.

Użyj przeglądania prywatnego

  1. Skopiuj podaną nazwę użytkownika i hasło do modułu.
  2. Kliknij Otwórz konsolę w trybie prywatnym.

Zaloguj się w konsoli

  1. Zaloguj się z użyciem danych logowania do modułu. Użycie innych danych logowania może spowodować błędy lub naliczanie opłat.
  2. Zaakceptuj warunki i pomiń stronę zasobów przywracania.
  3. Nie klikaj Zakończ moduł, chyba że właśnie został przez Ciebie zakończony lub chcesz go uruchomić ponownie, ponieważ spowoduje to usunięcie wyników i projektu.

Ta treść jest obecnie niedostępna

Kiedy dostępność się zmieni, wyślemy Ci e-maila z powiadomieniem

Świetnie

Kiedy dostępność się zmieni, skontaktujemy się z Tobą e-mailem

Jeden moduł, a potem drugi

Potwierdź, aby zakończyć wszystkie istniejące moduły i rozpocząć ten

Aby uruchomić moduł, użyj przeglądania prywatnego

Uruchom ten moduł w oknie incognito lub przeglądania prywatnego. Dzięki temu unikniesz konfliktu między swoim kontem osobistym a kontem do nauki, co mogłoby spowodować naliczanie dodatkowych opłat na koncie osobistym.