Checkpoints
Create the blue server
/ 15
Create the green server
/ 15
Install Nginx and customize the welcome page
/ 30
Create the tagged firewall rule
/ 15
Create a test-vm
/ 10
Create a Network-admin service account
/ 15
Redes VPC: como controlar o acesso
GSP213
Visão geral
Neste laboratório, você vai criar dois servidores da Web nginx e controlar o acesso HTTP externo utilizando regras de firewall com tags. Em seguida, você vai analisar os papéis do IAM e as contas de serviço.
Objetivos
Neste laboratório, você aprenderá a fazer o seguinte:
- Criar um servidor da Web nginx
- Criar regras de firewall com tags
- Criar uma conta de serviço com papéis do IAM
- Analisar as permissões dos papéis de administrador de rede e segurança
Configuração e requisitos
Antes de clicar no botão Start Lab
Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.
Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.
Confira os requisitos para concluir o laboratório:
- Acesso a um navegador de Internet padrão (recomendamos o Chrome).
- Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.
Como iniciar seu laboratório e fazer login no console do Google Cloud
-
Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você verá o seguinte:
- O botão Abrir Console do Cloud
- Tempo restante
- As credenciais temporárias que você vai usar neste laboratório
- Outras informações se forem necessárias
-
Clique em Abrir Console do Google. O laboratório ativa recursos e depois abre outra guia com a página Fazer login.
Dica: coloque as guias em janelas separadas lado a lado.
Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta. -
Caso seja preciso, copie o Nome de usuário no painel Detalhes do laboratório e cole esse nome na caixa de diálogo Fazer login. Clique em Avançar.
-
Copie a Senha no painel Detalhes do laboratório e a cole na caixa de diálogo Olá. Clique em Avançar.
Importante: você precisa usar as credenciais do painel à esquerda. Não use suas credenciais do Google Cloud Ensina. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais. -
Acesse as próximas páginas:
- Aceite os Termos e Condições.
- Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
- Não se inscreva em testes gratuitos.
Depois de alguns instantes, o console do GCP vai ser aberto nesta guia.
Ativar o Cloud Shell
O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.
- Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.
Depois de se conectar, vai notar que sua conta já está autenticada, e que o projeto está configurado com seu PROJECT_ID. A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:
gcloud
é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.
- (Opcional) É possível listar o nome da conta ativa usando este comando:
-
Clique em Autorizar.
-
A saída será parecida com esta:
Saída:
- (Opcional) É possível listar o ID do projeto usando este comando:
Saída:
Exemplo de saída:
gcloud
, acesse o guia com informações gerais sobre a gcloud CLI no Google Cloud.
Tarefa 1: crie os servidores da Web
Nesta seção, você vai criar dois servidores da Web (blue e green) na rede VPC padrãodefault. Em seguida, você vai instalar o nginx nesses servidores e modificar a página de boas-vindas para diferenciá-los.
Crie o servidor blue
Crie o servidor blue com uma tag de rede.
-
No console, acesse Menu de navegação () > Compute Engine > Instâncias de VM.
-
Clique em Criar instância.
-
Defina estes valores e mantenha os demais como padrão:
Propriedade Valor (digite o valor ou selecione a opção conforme especificado) Nome blue Região Zona Para saber mais, confira a seção Regiões e zonas disponíveis no guia Regiões e zonas do Compute Engine.
-
Clique em Opções avançadas > Rede.
-
Em Tags de rede, digite
web-server
.
- Clique em Criar.
Testar a tarefa concluída
Clique em Verificar meu progresso para conferir a tarefa realizada. Se você concluiu a tarefa, vai receber uma pontuação de avaliação.
Crie o servidor green
Crie o servidor green sem uma tag de rede.
-
Ainda no console, na página Instâncias de VM, clique em Criar instância.
-
Defina os seguintes valores e mantenha o restante como padrão:
Propriedade Valor (digite o valor ou selecione a opção conforme especificado) Nome green Região Zona -
Clique em Criar.
Testar a tarefa concluída
Clique em Verificar meu progresso para conferir a tarefa realizada. Se você concluiu a tarefa, vai receber uma pontuação de avaliação.
Instale o nginx e personalize a página de boas-vindas
Instale o nginx nas duas instâncias de VM e modifique a página de boas-vindas para diferenciar os servidores.
-
Ainda na caixa de diálogo Instâncias de VM, em blue, clique em SSH para iniciar um terminal e se conectar.
-
No terminal SSH de "blue", execute o comando a seguir para instalar o nginx:
- Abra a página de boas-vindas no editor nano:
- Substitua a linha
<h1>Welcome to nginx!</h1>
por<h1>Welcome to the blue server!</h1>
. - Pressione CTRL+o, ENTER e CTRL+x.
- Veja a mudança:
A saída precisa conter o seguinte:
- Feche o terminal SSH de blue:
Repita as mesmas etapas para o servidor green:
- Em green, clique em SSH para iniciar um terminal e se conectar.
- Instale o nginx:
- Abra a página de boas-vindas no editor nano:
- Substitua a linha
<h1>Welcome to nginx!</h1>
por<h1>Welcome to the green server!</h1>
. - Pressione CTRL+o, ENTER e CTRL+x.
- Veja a mudança:
A saída precisa conter o seguinte:
- Feche o terminal SSH de green:
Teste a tarefa concluída
Clique em Verificar meu progresso para conferir a tarefa realizada. Se você concluiu a tarefa, vai receber uma pontuação de avaliação.
Tarefa 2: crie a regra de firewall
Crie a regra de firewall com tag e teste a conectividade HTTP.
Crie a regra de firewall com tag
Crie uma regra de firewall que seja válida para as instâncias de VM com a tag de rede web-server.
- No console, acesse Menu de navegação () > Rede VPC > Firewall.
- Encontre a regra de firewall default-allow-internal.
-
Clique em Criar regra de firewall.
-
Defina os seguintes valores e mantenha o restante como padrão.
Propriedade Valor (digite o valor ou selecione a opção conforme especificado) Nome allow-http-web-server Rede default Destinos Tags de destino especificadas Tags de destino web-server Filtro de origem Intervalos IPv4 Intervalos IPv4 de origem 0.0.0.0/0 Protocolos e portas Protocolos e portas especificados. Marque tcp, digite: 80. Depois marque Outros protocolos e digite: icmp.
- Clique em Criar.
Testar a tarefa concluída
Clique em Verificar meu progresso para conferir a tarefa realizada. Se você concluiu a tarefa, vai receber uma pontuação de avaliação.
Crie uma test-vm
Crie uma instância test-vm com a linha de comando do Cloud Shell.
-
Abra um novo terminal do Cloud Shell.
-
Execute o comando a seguir para criar uma instância test-vm, na zona
:
O resultado vai ser semelhante a este:
Testar a tarefa concluída
Clique em Verificar meu progresso para conferir a tarefa realizada. Se você concluiu a tarefa, vai receber uma pontuação de avaliação.
Teste a conectividade HTTP
Em test-vm, use curl
nos endereços IP internos e externos de blue e green.
- No Console, acesse Menu de navegação () > Compute Engine > Instâncias de VM.
- Anote os endereços IP internos e externos de blue e green.
- Em test-vm, clique em SSH para iniciar um terminal e conectar.
- Execute o comando abaixo para testar a conectividade HTTP do IP interno de blue. Substitua o IP interno de blue no comando pelo valor correto.
O título Welcome to the blue server!
será exibido.
- Execute o comando abaixo para testar a conectividade HTTP do IP interno de green. Substitua o IP interno de green no comando pelo valor correto.
O título Welcome to the green server!
será exibido.
- Execute o comando abaixo para testar a conectividade HTTP do IP externo de blue. Substitua o IP externo de blue no comando pelo valor correto.
O título Welcome to the blue server!
será exibido.
- Execute o comando abaixo para testar a conectividade HTTP do IP externo de green. Substitua o IP externo de green no comando pelo valor correto.
- Pressione CTRL+c para interromper a solicitação HTTP.
É possível verificar o mesmo comportamento no navegador. Para isso, abra uma nova guia e acesse http://[IP externo do servidor]
.
Tarefa 3: analise os papéis de administrador de rede e segurança
Com o Cloud IAM, é possível autorizar quem pode realizar ações em recursos específicos. Isso dá a você visibilidade e controle total para gerenciar os recursos de nuvem de forma centralizada. Os papéis a seguir são usados junto a redes com apenas um projeto para controlar de maneira independente o acesso administrativo para cada rede VPC.
- Administrador de rede: permissões para criar, modificar e excluir recursos de rede, exceto regras de firewall e certificados SSL.
- Administrador de segurança: permissões para criar, modificar e excluir regras de firewall e certificados SSL.
Para analisar esses papéis, aplique-os a uma conta de serviço, que é uma Conta do Google especial pertencente à sua instância de VM em vez de pertencer a um usuário final específico. Em vez de criar um novo usuário, você autorizará a test-vm a usar a conta de serviço para demonstrar as permissões dos papéis Administrador de rede e Administrador de segurança.
Verifique as permissões atuais
Atualmente, a test-vm usa a conta de serviço padrão do Compute Engine, que é ativada em todas as instâncias criadas pela linha de comando do Cloud Shell e pelo console do Cloud.
Tente listar ou excluir as regras de firewall disponíveis em test-vm.
- Volte ao terminal SSH da instância test-vm.
- Tente listar as regras de firewall disponíveis:
O resultado será semelhante a este:
- Tente excluir a regra de firewall allow-http-web-server:
- Se for solicitado, digite Y para continuar.
O resultado será semelhante a este:
Crie uma conta de serviço
Crie uma conta de serviço e aplique o papel Administrador de rede.
-
No console, acesse Menu de navegação () > IAM e administrador > Contas de serviço.
-
Encontre a conta de serviço padrão do Compute Engine.
-
Clique em Criar conta de serviço.
-
Dê à conta de serviço o nome
Network-admin
e clique em CRIAR E CONTINUAR. -
Em Selecionar papel, selecione Compute Engine > Administrador de rede do Compute. Clique em CONTINUAR e em CONCLUÍDO.
-
Depois de criar a conta de serviço
Network-admin
, clique nos três pontos no canto direito e em Gerenciar chaves no menu suspenso. Clique em Adicionar chave e selecione Criar nova chave no menu suspenso. Clique em Criar para fazer o download do resultado JSON. -
Clique em Fechar.
Será feito o download de um arquivo de chave JSON no computador local. Encontre esse arquivo de chave. Você vai fazer o upload dele para a VM em uma etapa posterior.
-
Renomeie o arquivo de chave JSON na máquina local como credentials.json.
Teste a tarefa concluída
Clique em Verificar meu progresso para conferir a tarefa realizada. Se você concluiu a tarefa, vai receber uma pontuação de avaliação.
Autorize a test-vm e verifique as permissões
Autorize a test-vm a usar a conta de serviço Network-admin.
- Volte ao terminal SSH da instância test-vm.
- Para fazer o upload de credentials.json pelo terminal SSH da VM, clique no ícone Fazer upload de um arquivo no canto superior direito.
- Selecione credentials.json e faça upload dele.
- Clique em Fechar na janela "Transferência de arquivo".
Observação: se necessário, clique em Tentar de novo na caixa de diálogo Falha na conexão via Cloud Identity-Aware Proxy para fazer o upload do arquivo de novo. - Autorize a VM com as credenciais que você enviou:
- Tente listar as regras de firewall disponíveis:
O resultado será semelhante a este:
Isso deve funcionar.
- Tente excluir a regra de firewall allow-http-web-server:
- Se for solicitado, digite Y para continuar.
O resultado será semelhante a este:
Atualize a conta de serviço e verifique as permissões
Atribua o papel Administrador de segurança à conta de serviço Network-admin.
-
No console, acesse Menu de navegação () > IAM e administrador > IAM.
-
Encontre a conta Network-admin. Concentre-se na coluna Nome para identificar essa conta.
-
Na conta Network-admin, clique no ícone de lápis.
-
Mude o Papel para Compute Engine > Administrador de segurança do Compute.
-
Clique em Salvar.
-
Volte ao terminal SSH da instância test-vm.
-
Tente listar as regras de firewall disponíveis:
O resultado será semelhante a este:
Isso deve funcionar.
- Tente excluir a regra de firewall allow-http-web-server:
- Se for solicitado, digite Y para continuar.
O resultado será semelhante a este:
Isso deve funcionar.
Verifique a exclusão da regra de firewall
Verifique se não é mais possível acessar por HTTP o IP externo do servidor blue, já que você excluiu a regra de firewall allow-http-web-server.
- Volte ao terminal SSH da instância test-vm.
- Execute o comando abaixo para testar a conectividade HTTP do IP externo de blue. Substitua o IP externo de blue no comando pelo valor correto.
- Pressione CTRL+c para interromper a solicitação HTTP.
Parabéns!
Neste laboratório, você criou dois servidores da Web nginx e controlou o acesso HTTP externo por meio de uma regra de firewall com tag. Em seguida, você criou uma conta de serviço, primeiramente com o papel Administrador de rede e depois com o papel Administrador de segurança para ver as diferentes permissões desses papéis.
Caso sua empresa tenha uma equipe de segurança que gerencie firewalls e certificados SSL, além de uma equipe de rede que cuida dos outros recursos de rede, conceda o papel Administrador de segurança à equipe de segurança e o papel Administrador de rede à equipe de rede.
Próximas etapas / Saiba mais
Para saber mais sobre os conceitos básicos do Google Cloud Identity and Access Management, confira Visão geral do Google Cloud Identity and Access Management.
Treinamento e certificação do Google Cloud
Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.
Manual atualizado em 19 de setembro de 2023
Laboratório testado em 19 de setembro de 2023
Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.