arrow_back

Windows の踏み台インスタンスを使用したセキュアな RDP の構成: チャレンジラボ

参加 ログイン
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Windows の踏み台インスタンスを使用したセキュアな RDP の構成: チャレンジラボ

Lab 1時間 universal_currency_alt クレジット: 5 show_chart 中級
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

GSP303

Google Cloud セルフペース ラボ

概要

チャレンジラボでは、シナリオと一連のタスクが提供されます。各ステップの説明に沿って進める形式ではなく、クエスト内のラボで習得したスキルを駆使して、ご自身でタスクを完了していただきます。タスクが適切に完了したかどうかは、このページに表示される自動スコアリング システムで確認できます。

チャレンジラボは、Google Cloud の新しいコンセプトについて学習するためのものではありません。デフォルト値を変更する、エラー メッセージを読み調査を行ってミスを修正するなど、習得したスキルを応用する能力が求められます。

100% のスコアを達成するには、制限時間内に全タスクを完了する必要があります。

このラボは、Google Cloud Certified Professional Cloud Architect 認定試験に向けて準備している受講者を対象としています。ぜひチャレンジしてください。

チャレンジ シナリオ

所属する会社で新しいクラウド アプリケーション サービスをデプロイすることになり、デプロイ対象の Windows サービスを管理するためのセキュアなフレームワークの開発をあなたが担当することになりました。セキュアな本番環境用 Windows サーバーを実現するために、新しい VPC ネットワーク環境を構築する必要があります。

最初は本番環境用サーバーをすべて外部ネットワークから完全に隔離し、インターネットからの直接アクセスもインターネットへの直接接続もできない環境にする必要があります。この環境で最初のサーバーを構成して管理するためには、Microsoft リモート デスクトップ プロトコル(RDP)を使用してインターネットからアクセスできる踏み台インスタンス(ジャンプ ボックス)をデプロイしておく必要もあります。インターネットから踏み台インスタンスへのアクセスと、VPC ネットワーク内での踏み台インスタンスと他の Compute インスタンスとの通信は、RDP を使用した場合にのみ可能になるようにします。

あなたの会社にはデフォルト VPC ネットワークから実行されるモニタリング システムもあるため、デフォルト VPC ネットワークへの内部接続のみ可能な第 2 のネットワーク インターフェースがすべての Compute インスタンスで必要になります。

チャレンジ

外部通信向けに構成されていないセキュアな Windows マシンを新しい VPC サブネット内にデプロイし、そのマシンに Microsoft Internet Information Server をデプロイします。このラボでは、すべてのリソースを次のリージョンとゾーンにプロビジョニングする必要があります。

  • リージョン:
  • ゾーン:

タスク

主なタスクは次のとおりです。がんばってください。

  • 単一のサブネットを使用して、新しい VPC ネットワークを作成する。
  • 踏み台インスタンス システムへの外部 RDP トラフィックを許可するファイアウォール ルールを作成する。
  • VPC ネットワークとデフォルト ネットワークの両方に接続した 2 台の Windows サーバーをデプロイする。
  • 起動スクリプトを参照する仮想マシンを作成する。
  • 仮想マシンへの HTTP アクセスを許可するファイアウォール ルールを構成する。

タスク 1. VPC ネットワークを作成する

  1. securenetwork という新しい VPC ネットワークを作成します。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。VPC ネットワークを作成する

  1. リージョンの securenetwork 内に新しい VPC サブネットを作成します。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。VPC サブネットを作成する

  1. ネットワークとサブネットを構成したら、インターネットから踏み台インスタンスへのインバウンド RDP トラフィック(TCP ポート 3389)を許可するファイアウォール ルールを設定します。このルールは、ネットワーク タグを使用して適切なホストに適用する必要があります。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。ファイアウォール ルールを作成する

タスク 2. Windows インスタンスをデプロイしてユーザー パスワードを設定する

  1. 2 つのネットワーク インターフェースを持つ vm-securehost という Windows Server 2016 インスタンスを ゾーンにデプロイします。
  2. 新しい VPC サブネットへの内部接続のみ可能な第 1 のネットワーク インターフェースと、デフォルト VPC ネットワークへの内部接続のみ可能な第 2 のネットワーク インターフェースを構成します。これがセキュアなサーバーです。
  3. 2 つのネットワーク インターフェースを持つ vm-bastionhost という第 2 の Windows Server 2016 インスタンスを ゾーンにインストールします。
  4. エフェメラル パブリック(外部 NAT)アドレスで新しい VPC サブネットに接続する第 1 のネットワーク インターフェースと、デフォルト VPC ネットワークへの内部接続のみ可能な第 2 のネットワーク インターフェースを構成します。これがジャンプ ボックス、つまり踏み台インスタンスです。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。vm-bastionhost インスタンスを作成する

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。vm-securehost インスタンスを作成する

パスワードを設定する

  1. Windows インスタンスを作成したら、各インスタンスに接続するためにユーザー アカウントを作成し、Windows のパスワードを再設定します。
  2. 次の gcloud コマンドは、app-admin という新しいユーザーを作成し、 ゾーンにある vm-bastionhost というホストのパスワードを再設定するものです。
gcloud compute reset-windows-password vm-bastionhost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}
  1. または、Compute Engine コンソールからパスワードを強制的に再設定することもできます。インスタンス間でログイン認証情報が異なるため、第 2 のホストでもこれを繰り返す必要があります。

タスク 3. セキュアなホストに接続し、Internet Information Server を構成する

セキュアなホストに接続するには、まず踏み台インスタンスに RDP 経由でアクセスし、そこから第 2 の RDP セッションを開いてセキュアなホストの内部プライベート ネットワーク アドレスに接続する必要があります。Compute インスタンスの概要ページで Windows Compute インスタンスの横に表示される RDP ボタンを使用すれば、外部アドレスを持つ Windows Compute インスタンスに RDP 経由で接続できます。

Windows サーバーに接続すると、mstsc.exe コマンドを使用して Microsoft RDP クライアントを起動したり、スタート メニューから Remote Desktop Manager を検索したりすることができます。そのため、踏み台インスタンスから同じ VPC 上にある他の Compute インスタンスに、それらがインターネットに直接接続されていなくても接続できるようになります。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。IIS ウェブサーバー ソフトウェアを構成する

トラブルシューティング

  • 踏み台インスタンスに接続できない: まず、踏み台インスタンスの外部アドレスに接続しようとしていることを確認してください。アドレスが正しい場合でも、インターネット(または自社システムのパブリック IP アドレス)から外部アドレスを持つ踏み台インスタンスのネットワーク インターフェースへの TCP ポート 3389(RDP)トラフィックを許可するよう、ファイアウォール ルールが適切に構成されていないと踏み台インスタンスに接続することはできません。また、自社ネットワークで RDP を介したインターネット アドレスへのアクセスを許可していなければ、RDP 経由での接続に問題が生じる可能性があります。他に問題がない場合は、インターネット接続に使用しているネットワークの所有者にポート 3389 を開くよう依頼するか、別のネットワークを使用して接続してください。
  • 踏み台インスタンスからセキュアなホストに接続できない: 踏み台インスタンスには正常に接続できるものの、Microsoft Remote Desktop Connection アプリケーションを使用した内部 RDP 接続が確立できない場合は、両方のインスタンスが同じ VPC ネットワークに接続されていることを確認してください。

お疲れさまでした

これで完了です。このラボでは、踏み台インスタンスと VPC ネットワークを使用して、セキュアな Windows サーバー環境を構成しました。また、仮想マシンへの HTTP アクセスを許可するファイアウォール ルールを構成し、セキュアなマシンに Microsoft Internet Information Server をデプロイしました。

Google Cloud トレーニングと認定資格

Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。

マニュアルの最終更新日: 2024 年 2 月 9 日

ラボの最終テスト日: 2023 年 12 月 6 日

Copyright 2024 Google LLC All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。