GSP213

Genel Bakış

Gerçek dünyada, hassas verileri korumanız ve web uygulamalarınızın her zaman kullanılabilir olmasını sağlamanız gerekir. Google Cloud ortamınızda daha güvenli, ölçeklenebilir ve yönetilebilir bir web sunucusu dağıtımı oluşturmak için Google Cloud VPC ağını nasıl kullanacağınızı öğrenin.

Bu laboratuvarda, varsayılan VPC ağında iki nginx web sunucusu oluşturacak ve etiketli güvenlik duvarı kurallarını kullanarak bu web sunucularına harici HTTP erişimini kontrol edeceksiniz. Ardından, IAM rollerini ve hizmet hesaplarını keşfedeceksiniz.

• İki web sunucusu, yedekleme sağlar. Bir web sunucusu arızalanırsa diğeri web trafiğini sunmaya devam ederek kapalı kalma süresini önler.
• Etiketli güvenlik duvarı kuralları, belirli web sunucularına hangi trafiğin ulaşmasına izin verileceği konusunda ayrıntılı kontrol sağlar.
• Görevleri gerçekleştirmek için bir hizmet hesabına izin atayarak en az ayrıcalık ilkesini uygular ve Cloud kaynaklarınızı güvende tutarsınız.

Hedefler

Bu laboratuvarda, aşağıdaki görevleri nasıl gerçekleştireceğinizi öğreneceksiniz:

• VPC ağında nginx web sunucusu oluşturma
• Etiketli güvenlik duvarı kuralları oluşturma
• IAM rolleri içeren bir hizmet hesabı oluşturma
• Ağ Yöneticisi ve Güvenlik Yöneticisi rollerinin izinlerini keşfetme

Kurulum ve şartlar

Laboratuvarı Başlat düğmesini tıklamadan önce

Buradaki talimatları okuyun. Laboratuvarlar süreli olduğundan duraklatılamaz. Start Lab'i (Laboratuvarı başlat) tıkladığınızda başlayan zamanlayıcı, Google Cloud kaynaklarının ne süreyle kullanımınıza açık durumda kalacağını gösterir.

Bu uygulamalı laboratuvarı kullanarak, laboratuvar etkinliklerini simülasyon veya demo ortamı yerine gerçek bir bulut ortamında gerçekleştirebilirsiniz. Bunu yapabilmeniz için size yeni, geçici kimlik bilgileri verilir. Bu kimlik bilgilerini laboratuvar süresince Google Cloud'da oturum açmak ve Google Cloud'a erişmek için kullanabilirsiniz.

Bu laboratuvarı tamamlamak için gerekenler:

• Standart bir internet tarayıcısına erişim (Chrome Tarayıcı önerilir)

Not: Bu laboratuvarı çalıştırmak için tarayıcıyı gizli modda (önerilen) veya gizli tarama penceresinde açın. Aksi takdirde, kişisel hesabınızla öğrenci hesabınız arasında oluşabilecek çakışmalar nedeniyle kişisel hesabınızdan ek ücret alınabilir.

• Laboratuvarı tamamlamak için yeterli süre (Laboratuvarlar başlatıldıktan sonra duraklatılamaz.)

Not: Bu laboratuvar için yalnızca öğrenci hesabını kullanın. Farklı bir Google Cloud hesabı kullanırsanız bu hesaptan ödeme alınabilir.

Laboratuvarınızı başlatma ve Google Cloud Console'da oturum açma

1. Laboratuvarı Başlat düğmesini tıklayın. Laboratuvar için ödeme yapmanız gerekiyorsa ödeme yöntemini seçebileceğiniz bir iletişim kutusu açılır. Soldaki "Laboratuvar ayrıntıları" panelinde şunlar yer alır:

   • "Google Cloud konsolunu aç" düğmesi
   • Kalan süre
   • Bu laboratuvarda kullanmanız gereken geçici kimlik bilgileri
   • Bu laboratuvarda ilerlemek için gerekebilecek diğer bilgiler

2. Google Cloud Console'u aç'ı tıklayın (veya Chrome Tarayıcı'yı kullanıyorsanız sağ tıklayıp Bağlantıyı gizli pencerede aç'ı seçin).

   Laboratuvar, kaynakları çalıştırır ve sonra "Oturum aç" sayfasını gösteren başka bir sekme açar.

   İpucu: Sekmeleri ayrı pencerelerde, yan yana açın.

   Not: Hesap seçin iletişim kutusunu görürseniz Başka bir hesap kullan'ı tıklayın.

3. Gerekirse aşağıdaki kullanıcı adını kopyalayıp Oturum açın iletişim kutusuna yapıştırın.

   {{{user_0.username | "Username"}}}

   Kullanıcı adını "Laboratuvar ayrıntıları" panelinde de bulabilirsiniz.

4. İleri'yi tıklayın.

5. Aşağıdaki şifreyi kopyalayıp Hoş geldiniz iletişim kutusuna yapıştırın.

   {{{user_0.password | "Password"}}}

   Şifreyi "Laboratuvar ayrıntıları" panelinde de bulabilirsiniz.

6. İleri'yi tıklayın.

   Önemli: Laboratuvarın sizinle paylaştığı giriş bilgilerini kullanmanız gerekir. Google Cloud hesabınızın kimlik bilgilerini kullanmayın. Not: Bu laboratuvarda kendi Google Cloud hesabınızı kullanabilmek için ek ücret ödemeniz gerekebilir.

7. Sonraki sayfalarda ilgili düğmeleri tıklayarak ilerleyin:

   • Hükümler ve koşulları kabul edin.
   • Geçici bir hesap kullandığınızdan kurtarma seçenekleri veya iki faktörlü kimlik doğrulama eklemeyin.
   • Ücretsiz denemelere kaydolmayın.

Birkaç saniye sonra Google Cloud konsolu bu sekmede açılır.

Not: Google Cloud ürün ve hizmetlerine erişmek için gezinme menüsünü tıklayın veya Arama alanına hizmetin veya ürünün adını yazın.

Cloud Shell'i etkinleştirme

Cloud Shell, çok sayıda geliştirme aracı içeren bir sanal makinedir. 5 GB boyutunda kalıcı bir ana dizin sunar ve Google Cloud üzerinde çalışır. Cloud Shell, Google Cloud kaynaklarınıza komut satırı erişimi sağlar.

1. Google Cloud konsolunun üst kısmından Activate Cloud Shell (Cloud Shell'i etkinleştir) simgesini tıklayın.

2. Aşağıdaki pencereleri tıklayın:

   • Cloud Shell bilgi penceresinde devam edin.
   • Google Cloud API çağrıları yapmak için Cloud Shell'e kimlik bilgilerinizi kullanma yetkisi verin.

Bağlandığınızda kimliğiniz zaten doğrulanmıştır. Proje ise Project_ID'nize () göre ayarlanmıştır. Çıkış, bu oturum için Project_ID'yi tanımlayan bir satır içerir:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud, Google Cloud'un komut satırı aracıdır. Cloud Shell'e önceden yüklenmiştir ve sekmeyle tamamlamayı destekler.

3. (İsteğe bağlı) Etkin hesap adını şu komutla listeleyebilirsiniz:

gcloud auth list

4. Authorize'ı (Yetkilendir) tıklayın.

Çıkış:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (İsteğe bağlı) Proje kimliğini şu komutla listeleyebilirsiniz:

gcloud config list project

Çıkış:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Not: gcloud ile ilgili tüm belgeleri, Google Cloud'daki gcloud CLI'a genel bakış rehberinde bulabilirsiniz.

1. görev: Web sunucularını oluşturma

Bu bölümde, varsayılan VPC ağında iki web sunucusu (mavi ve yeşil) oluşturacaksınız. Ardından, bu web sunucularına nginx yükleyecek ve karşılama sayfasını bu iki sunucuyu birbirinden ayırt edecek şekilde değiştireceksiniz.

Mavi sunucuyu oluşturma

Mavi sunucuyu bir ağ etiketiyle oluşturun.

1. Cloud konsolunda gezinme menüsü () > Compute Engine > VM instances'a (Sanal makine örnekleri) gidin.

2. Yeni bir örnek oluşturmak için Create Instance'ı (Örnek oluştur) tıklayın.

3. Machine configuration (Makine yapılandırması) bölümünde

   Aşağıdaki değerleri seçin:

   Özellik	Değer (değeri yazın veya belirtilen seçeneği kullanın)
   Ad	mavi
   Bölge
   Alt Bölge

   Mevcut bölgeler ve alt bölgeler hakkında daha fazla bilgi edinmek için Google Cloud Compute Engine Bölge ve Alt Bölge Rehberi sayfasındaki Mevcut bölgeler ve alt bölgeler bölümüne göz atın.

4. Networking'i (Ağ iletişimi) tıklayın.

   • Network tags (Ağ etiketleri) alanına web-server yazın.
   Not: Ağlar, belirli güvenlik duvarı kurallarının ve ağ rotalarının hangi sanal makine örnekleri için geçerli olduğunu belirlerken ağ etiketlerinden yararlanır. Bu laboratuvarın sonraki aşamalarında, web-server etiketiyle sanal makine örneklerine HTTP erişim izni tanıyan bir güvenlik duvarı kuralı oluşturacaksınız. Alternatif olarak HTTP trafiğine izin ver onay kutusunu işaretleyebilirsiniz. Bunu yaptığınızda bu örnek http-server olarak etiketlenir ve tcp:80 için etiketli bir güvenlik duvarı kuralı oluşturulur.

5. Oluştur'u tıklayın.

Tamamlanan görevi test etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

Mavi sunucuyu oluşturma

Yeşil sunucuyu oluşturma

Yeşil sunucuyu bir ağ etiketi olmadan oluşturun.

1. Yine konsola giderek VM instances (Sanal makine örnekleri) sayfasında Create Instance'ı (Örnek Oluştur) tıklayın.

2. Machine configuration (Makine yapılandırması) bölümünde

   Aşağıdaki değerleri seçin:

   Özellik	Değer (değeri yazın veya belirtilen seçeneği kullanın)
   Ad	yeşil
   Bölge
   Alt Bölge

3. Oluştur'u tıklayın.

Tamamlanan görevi test etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

Yeşil sunucuyu oluşturma

Nginx'i yükleme ve karşılama sayfasını özelleştirme

Her iki sanal makine örneğine nginx'i yükleyin ve karşılama sayfasını sunucuları birbirinden ayırt edebilecek şekilde değiştirin.

1. VM instances (Sanal makine örnekleri) iletişim kutusundan ayrılmadan mavi için SSH'yi tıklayarak bir terminal açıp bağlanın.

Not: Sanal makine bağlantısı SSH authentication failed (SSH kimlik doğrulaması başarısız oldu) hatasıyla başarısız olursa bağlantıyı yeniden kurmak için Retry'ı (Yeniden dene) tıklayın.

2. Mavinin SSH terminalinde nginx'i yüklemek için aşağıdaki komutu çalıştırın:

sudo apt-get install nginx-light -y

3. Nano düzenleyicide karşılama sayfasını açın:

sudo nano /var/www/html/index.nginx-debian.html

4. <h1>Welcome to nginx!</h1> satırını <h1>Mavi sunucuya hoş geldiniz!</h1> olarak değiştirin.
5. CTRL+o, ENTER, CTRL+x tuşlarına basın.
6. Değişikliği doğrulayın:

cat /var/www/html/index.nginx-debian.html

Çıkış şu ifadeleri içermelidir:

<h1>Mavi sunucuya hoş geldiniz!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>

7. Mavinin SSH terminalini kapatın:

exit

Aynı adımları yeşil sunucu için tekrarlayın:

8. Yeşil için SSH'yi tıklayarak bir terminal açıp bağlanın.
9. Nginx'i yükleyin:

sudo apt-get install nginx-light -y

10. Nano düzenleyicide karşılama sayfasını açın:

sudo nano /var/www/html/index.nginx-debian.html

11. <h1>Welcome to nginx!</h1> satırını <h1>Yeşil sunucuya hoş geldiniz!</h1> olarak değiştirin.
12. CTRL+o, ENTER, CTRL+x tuşlarına basın.
13. Değişikliği doğrulayın:

cat /var/www/html/index.nginx-debian.html

Çıkış şu ifadeleri içermelidir:

<h1>Yeşil sunucuya hoş geldiniz!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>

14. Yeşilin SSH terminalini kapatın:

exit

Tamamlanan Görevi Test Etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

Nginx'i yükleme ve karşılama sayfasını özelleştirme

2. görev: Güvenlik duvarı kuralını oluşturma

Etiketli güvenlik duvarı kuralını oluşturun ve HTTP bağlantısını test edin.

Etiketli güvenlik duvarı kuralını oluşturma

web-server ağ etiketine sahip sanal makine örnekleri için geçerli olan bir güvenlik duvarı kuralı oluşturun.

1. Cloud konsolunda gezinme menüsü () > VPC network (VPC ağı) > Firewall'a (Güvenlik duvarı) gidin.
2. default-allow-internal güvenlik duvarı kuralına dikkat edin.

Not: default-allow-internal güvenlik duvarı kuralı, varsayılan ağda bulunan tüm protokol veya bağlantı noktalarındaki trafiğe izin verir. web-server ağ etiketini kullanarak ağ dışından yalnızca mavi sunucuya trafik akışına izin verecek bir güvenlik duvarı kuralı oluşturmak istiyorsunuz.

3. Güvenlik Duvarı Kuralı Oluştur'u tıklayın.

4. Şu değerleri ayarlayın ve diğer tüm değerleri varsayılan ayarlarında bırakın.

   Özellik	Değer (değeri yazın veya belirtilen seçeneği kullanın)
   Ad	allow-http-web-server
   Ağ	varsayılan
   Hedefler	Belirtilen hedef etiketler
   Hedef etiketler	web-server
   Kaynak filtresi	IPv4 aralıkları
   Kaynak IPv4 aralıkları	0.0.0.0/0
   Protokoller ve bağlantı noktaları	Protokolleri ve bağlantı noktalarını belirtin, ardından tcp'yi işaretleyip 80 yazın ve Diğer protokoller'i işaretleyip icmp yazın.

Not: Tüm ağları belirtmek için Kaynak IP aralıkları'na /0 kısmını dahil etmeyi unutmayın.

5. Oluştur'u tıklayın.

Tamamlanan görevi test etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

Etiketli güvenlik duvarı kuralını oluşturma

test-vm oluşturma

Cloud Shell komut satırını kullanarak bir test-vm (test sanal makinesi) örneği oluşturun.

1. Yeni bir Cloud Shell terminali açın.

2. bölgesinde bir test-vm örneği oluşturmak için aşağıdaki komutu çalıştırın:

gcloud compute instances create test-vm --machine-type=e2-micro --subnet=default --zone={{{project_0.default_zone|ZONE}}}

Çıkış şu şekilde görünmelidir:

NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS test-vm {{{project_0.default_zone|ZONE}}} e2-micro 10.142.0.4 35.237.134.68 RUNNING Not: Sanal makine örneklerini Console'dan veya gcloud komut satırından kolayca oluşturabilirsiniz.

Tamamlanan Görevi Test Etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

test-vm oluşturma

HTTP bağlantısını test etme

test-vm'de mavi ile yeşilin dahili ve harici IP adreslerine curl komutunu uygulayın.

1. Console'da gezinme menüsü () > Compute Engine > Sanal makine örnekleri'ne gidin.
2. Mavi ile yeşilin dahili ve harici IP adreslerini not edin.
3. test-vm için SSH'yi tıklayarak bir terminal açıp bağlanın.
4. Mavinin dahili IP'sine HTTP bağlantısını test etmek için mavinin dahili IP'sini kullanarak aşağıdaki komutu çalıştırın:

curl <Buraya mavinin dahili IP'sini girin>

Mavi sunucuya hoş geldiniz! başlığını göreceksiniz.

5. Yeşilin dahili IP'sine HTTP bağlantısını test etmek için yeşilin dahili IP'sini kullanarak aşağıdaki komutu çalıştırın:

curl -c 3 <Buraya yeşilin dahili IP'sini girin>

Yeşil sunucuya hoş geldiniz! başlığını göreceksiniz.

Not: Dahili IP adreslerini kullanarak her iki sunucuya da HTTP üzerinden erişebilirsiniz. test-vm, web sunucusunun varsayılan ağıyla aynı VPC ağında olduğu için tcp:80 üzerinden bağlantıya default-allow-internal güvenlik duvarı kuralı tarafından izin verilir.

6. Mavinin harici IP'sine HTTP bağlantısını test etmek için mavinin harici IP'sini kullanarak aşağıdaki komutu çalıştırın:

curl <Buraya mavinin harici IP'sini girin>

Mavi sunucuya hoş geldiniz! başlığını göreceksiniz.

7. Yeşilin harici IP'sine HTTP bağlantısını test etmek için yeşilin harici IP'sini kullanarak aşağıdaki komutu çalıştırın:

curl -c 3 <Buraya yeşilin harici IP'sini girin> Not: Bu komut çalışmayacaktır. İstek kilitlenir.

8. HTTP isteğini durdurmak için CTRL+c tuşlarına basın.

Not: allow-http-web-server kuralı yalnızca web-server etiketli sanal makine örnekleri için geçerli olduğundan, beklenildiği gibi HTTP üzerinden sadece mavi sunucunun harici IP adresine erişebilirsiniz.

Bu davranışı tarayıcınızda yeni bir sekme açıp http://[Sunucunun harici IP'si] adresine giderek de doğrulayabilirsiniz.

3. görev: Ağ ve Güvenlik Yöneticisi rollerini keşfetme

Cloud IAM, belirli kaynaklar üzerinde kimlerin işlem yapabileceğini yetkilendirmenize olanak sağlar. Böylece bulut kaynaklarını merkezi olarak yönetebilmek için tam denetim ve görünürlük elde edersiniz. Aşağıdaki roller, tek projeli ağ iletişimiyle birlikte kullanılarak her VPC ağına yönetim erişiminin bağımsız şekilde kontrol edilebilmesini sağlar:

• Ağ Yöneticisi: Güvenlik duvarı kuralları ve SSL sertifikaları hariç olmak üzere ağ iletişimi kaynaklarını oluşturma, değiştirme ve silme izinleri
• Güvenlik Yöneticisi: Güvenlik duvarı kurallarını ve SSL sertifikalarını oluşturma, değiştirme ve silme izinleri

Bu rolleri keşfetmek için bir hizmet hesabına uygulayın. Hizmet hesabı, bireysel son kullanıcı yerine sanal makine örneğinize ait olan özel bir Google Hesabı'dır. Ağ Yöneticisi ve Güvenlik Yöneticisi rollerine ait izinleri göstermek için yeni bir kullanıcı oluşturmak yerine hizmet hesabının test-vm tarafından kullanılmasına yetki verin.

Mevcut izinleri doğrulama

test-vm'de şu anda Compute Engine varsayılan hizmet hesabı kullanılmaktadır. Bu hesap, Cloud Shell komut satırı veya Cloud Console tarafından oluşturulan tüm örneklerde etkinleştirilir.

test-vm'deki kullanılabilir güvenlik duvarı kurallarını listelemeyi veya silmeyi deneyin.

1. test-vm örneğinin SSH terminaline geri dönün.
2. Kullanılabilir güvenlik duvarı kurallarını listelemeyi deneyin:

gcloud compute firewall-rules list

Çıkış şu şekilde görünmelidir:

ERROR: (gcloud.compute.firewall-rules.list) Some requests did not succeed: - Insufficient Permission Not: Bu komut çalışmayacaktır.

3. allow-http-web-server güvenlik duvarı kuralını silmeyi deneyin:

gcloud compute firewall-rules delete allow-http-web-server

4. Devam etmek isteyip istemediğiniz sorulduğunda Y değerini girin.

Çıkış şu şekilde görünmelidir:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Insufficient Permission Not: Bu komut çalışmayacaktır. Not: Compute Engine varsayılan hizmet hesabı, güvenlik duvarı kurallarını listeleyebilmenizi veya silebilmenizi sağlayacak uygun izinlere sahip değildir. Aynı durum, uygun rollere sahip olmayan diğer kullanıcılar için de geçerlidir.

Hizmet hesabı oluşturma

Bir hizmet hesabı oluşturun ve Ağ Yöneticisi rolünü uygulayın.

1. Console'da gezinme menüsü () > IAM ve yönetici > Hizmet Hesapları'na gidin.

2. Compute Engine varsayılan hizmet hesabı bilgisine dikkat edin.

3. Hizmet hesabı oluştur'u tıklayın.

4. Hizmet hesabı adı'nı Ağ yöneticisi olarak belirleyip OLUŞTUR VE DEVAM ET'İ tıklayın.

5. Rol seçin bölümünde Compute Engine > İşlem Ağ Yöneticisi'ni seçip DEVAM'ı ve sonra BİTTİ'yi tıklayın.

6. Ağ yöneticisi hizmet hesabını oluşturduktan sonra, sağ üst köşedeki üç nokta simgesini tıklayıp açılır listeden Anahtarları Yönet'i seçin ve ardından Anahtar Ekle'yi tıklayın. Açılır listeden Yeni anahtar oluştur'u seçin. JSON çıkışınızı indirmek için Oluştur'u tıklayın.

7. Kapat'ı tıklayın.

   Yerel bilgisayarınıza bir JSON anahtar dosyası indirilir. Daha sonraki adımların birinde sanal makineye yüklemeniz gerekeceğinden bu anahtar dosyasını bulun.

8. Yerel makinenizdeki JSON anahtar dosyasının adını credentials.json olarak değiştirin.

Tamamlanan Görevi Test Etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

Ağ yöneticisi hizmet hesabı oluşturma

test-vm'yi yetkilendirme ve izinleri doğrulama

Ağ yöneticisi hizmet hesabını kullanması için test-vm'yi yetkilendirin.

1. test-vm örneğinin SSH terminaline geri dönün.
2. SSH sanal makine terminali üzerinden credentials.json dosyasını yüklemek için sağ üst köşedeki dişli simgesi menüsünde Dosya yükle'yi tıklayın.
3. credentials.json dosyasını seçip yükleyin.
4. Dosya Aktarımı penceresinde Kapat'ı tıklayın. Not: Gösterilmesi halinde, Cloud Identity-Aware Proxy Üzerinden İletişim Kurulamadı iletişim kutusunda Yeniden Dene'yi tıklayıp dosyayı yeniden yükleyin.
5. Biraz önce yüklediğiniz kimlik bilgileriyle sanal makineyi yetkilendirin:

gcloud auth activate-service-account --key-file credentials.json Not: Kullandığınız görüntüye Cloud SDK önceden yüklenmiştir. Bu nedenle, Cloud SDK'yı ilk kullanıma hazırlamanız gerekmez. Bu laboratuvar için farklı bir ortam kullanıyorsanız Cloud SDK'nın yüklenmesiyle ilgili prosedürlere uyduğunuzdan emin olun.

6. Kullanılabilir güvenlik duvarı kurallarını listelemeyi deneyin:

gcloud compute firewall-rules list

Çıkış şu şekilde görünmelidir:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Bu komut çalışacaktır.

7. allow-http-web-server güvenlik duvarı kuralını silmeyi deneyin:

gcloud compute firewall-rules delete allow-http-web-server

8. Devam etmek isteyip istemediğiniz sorulduğunda Y değerini girin.

Çıkış şu şekilde görünmelidir:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Required 'compute.firewall.delete' permission for 'projects/[PROJECT_ID]/global/firewall/allow-http-web-server' Not: Bu komut çalışmayacaktır. Not: Beklendiği gibi, Network Admin (Ağ Yöneticisi) rolünün güvenlik duvarı kurallarını listeleme izni vardır ancak değiştirme veya silme izni yoktur.

Hizmet hesabını güncelleme ve izinleri doğrulama

Ağ yöneticisi hizmet hesabına Güvenlik Yöneticisi rolünü vererek hesabı güncelleyin.

1. Console'da gezinme menüsü () > IAM ve yönetici > IAM'ye gidin.

2. Ağ yöneticisi hesabını bulun. Bu hesabı tespit etmek için Ad sütununa odaklanın.

3. Ağ yöneticisi hesabına ait kalem simgesini tıklayın.

4. Rol değerini Compute Engine > Compute Güvenlik Yöneticisi olarak değiştirin.

5. Kaydet'i tıklayın.

6. test-vm örneğinin SSH terminaline geri dönün.

7. Kullanılabilir güvenlik duvarı kurallarını listelemeyi deneyin:

gcloud compute firewall-rules list

Çıkış şu şekilde görünmelidir:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Bu komut çalışacaktır.

8. allow-http-web-server güvenlik duvarı kuralını silmeyi deneyin:

gcloud compute firewall-rules delete allow-http-web-server

9. Devam etmek isteyip istemediğiniz sorulduğunda Y değerini girin.

Çıkış şu şekilde görünmelidir:

Deleted [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-00e186e4b1cec086/global/firewall/allow-http-web-server].

Bu komut çalışacaktır.

Not: Beklendiği gibi, Güvenlik Yöneticisi rolünün güvenlik duvarı kurallarını listeleme ve silme izni vardır.

Güvenlik duvarı kuralının silindiğini doğrulama

allow-http-web-server güvenlik duvarı kuralını sildiğiniz için artık mavi sunucunun harici IP'sine HTTP üzerinden erişemediğinizi doğrulayın.

1. test-vm örneğinin SSH terminaline geri dönün.
2. Mavinin harici IP'sine HTTP bağlantısını test etmek için mavinin harici IP'sini kullanarak aşağıdaki komutu çalıştırın:

curl -c 3 <Buraya mavinin harici IP'sini girin> Not: Bu komut çalışmayacaktır.

3. HTTP isteğini durdurmak için CTRL+c tuşlarına basın.

Not: Güvenlik duvarı kurallarınızda istenmeyen değişiklikler yapılmasını önlemek için Güvenlik Yöneticisi rolünü doğru kullanıcıya veya hizmet hesabına verin.

Tebrikler!

Bu laboratuvarda, iki nginx web sunucusu oluşturdunuz ve etiketli bir güvenlik duvarı kuralı kullanarak harici HTTP erişimini kontrol ettiniz. Ardından bir hizmet hesabı oluşturup önce Network Admin (Ağ Yöneticisi) rolünü, ardından Security Admin (Güvenlik Yöneticisi) rolünü kullanarak bu iki rolün izinleri arasındaki farkları keşfettiniz.

Sonraki adımlar / Daha fazla bilgi

Bu laboratuvarda hizmet hesapları ve roller hakkında daha fazla bilgi edinin:

• Hizmet Hesapları ve Roller: Temel Bilgiler

Google Cloud Identity and Access Management ile ilgili temel kavramlar hakkında bilgi edinmek için Google Cloud Identity and Access Management'a Genel Bakış başlıklı makaleye göz atın.

Google Cloud eğitimi ve sertifikası

...Google Cloud teknolojilerinden en iyi şekilde yararlanmanıza yardımcı olur. Derslerimizde teknik becerilere odaklanırken en iyi uygulamalara da yer veriyoruz. Gerekli yetkinlik seviyesine hızlıca ulaşmanız ve öğrenim maceranızı sürdürebilmeniz için sizlere yardımcı olmayı amaçlıyoruz. Temel kavramlardan ileri seviyeye kadar farklı eğitim programlarımız mevcut. Ayrıca, yoğun gündeminize uyması için talep üzerine sağlanan, canlı ve sanal eğitim alternatiflerimiz de var. Sertifikasyonlar ise Google Cloud teknolojilerindeki becerilerinizi ve uzmanlığınızı doğrulamanıza ve kanıtlamanıza yardımcı oluyor.

Kılavuzun Son Güncellenme Tarihi: 9 Haziran 2025

Laboratuvarın Son Test Edilme Tarihi: 9 Haziran 2025

Telif Hakkı 2025 Google LLC. Tüm hakları saklıdır. Google ve Google logosu, Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları ilişkili oldukları şirketlerin ticari markaları olabilir.