GSP303

개요

챌린지 실습에서는 시나리오와 일련의 작업이 주어집니다. 단계별 안내를 따르는 방식이 아니라 퀘스트의 실습에서 학습한 기술을 사용해 작업을 완료할 방법을 스스로 찾아야 합니다. 이 페이지에 표시되어 있는 자동 채점 시스템에서 작업을 제대로 완료했는지 피드백을 제공합니다.

챌린지 실습을 진행할 때는 새로운 Google Cloud 개념에 대한 정보가 제공되지 않습니다. 학습한 기술을 응용하여 기본값을 변경하거나 오류 메시지를 읽고 조사하여 실수를 바로잡아야 합니다.

100점을 받으려면 시간 내에 모든 작업을 성공적으로 완료해야 합니다.

이 실습은 Google Cloud 공인 프로페셔널 클라우드 설계자 자격증 시험을 준비하는 학생에게 권장됩니다. 챌린지 실습을 진행할 준비가 되셨나요?

챌린지 시나리오

귀하의 회사는 클라우드에서 새로운 애플리케이션 서비스를 배포하기로 결정했으며 귀하는 배포될 Windows 서비스를 관리하기 위한 보안 프레임워크를 개발할 책임을 맡았습니다. 보안 프로덕션 Windows 서버를 위한 새로운 VPC 네트워크 환경을 만들어야 합니다.

처음에는 프로덕션 서버가 외부 네트워크와 완전히 격리되어 인터넷에서 직접 액세스하거나 인터넷에 직접 연결할 수 없어야 합니다. 또한 이 환경에서 첫 번째 서버를 구성하고 관리하려면 Microsoft RDP(원격 데스크톱 프로토콜)를 사용하여 인터넷에서 액세스할 수 있는 배스천 호스트 또는 점프 상자를 배포해야 합니다. 배스천 호스트는 인터넷에서 RDP를 통해서만 액세스할 수 있어야 하며 RDP를 사용하여 VPC 네트워크 내부의 다른 컴퓨팅 인스턴스와만 통신할 수 있어야 합니다.

또한 귀하의 회사에서는 기본 VPC 네트워크에서 모니터링 시스템을 실행하고 있으므로 모든 컴퓨팅 인스턴스에 기본 VPC 네트워크에 대한 내부 전용 연결이 있는 보조 네트워크 인터페이스가 있어야 합니다.

챌린지

새 VPC 서브넷 내에서 외부와의 통신이 구성되지 않은 보안 Windows 머신을 배포한 다음, 해당 보안 머신에 Microsoft Internet Information Server를 배포합니다. 이 실습에서는 모든 리소스를 다음 리전 및 영역에 프로비저닝해야 합니다.

• 리전:
• 영역:

작업

주요 작업은 다음과 같습니다. 좋은 결과가 있길 바랍니다.

• 단일 서브넷으로 새로운 VPC 네트워크 만들기
• 배스천 호스트 시스템에 대한 외부 RDP 트래픽을 허용하는 방화벽 규칙 만들기
• VPC 네트워크와 기본 네트워크 모두에 연결된 두 개의 Windows 서버 배포
• 시작 스크립트를 가리키는 가상 머신 만들기
• 가상 머신에 대한 HTTP 액세스를 허용하도록 방화벽 규칙 구성

작업 1. VPC 네트워크 만들기

1. securenetwork라는 이름의 새 VPC 네트워크를 만듭니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. VPC 네트워크 만들기

2. 리전에서 securenetwork 내에 새 VPC 서브넷을 만듭니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. VPC 서브넷 만들기

3. 네트워크와 서브넷이 구성되면 인터넷에서 배스천 호스트로의 인바운드 RDP 트래픽(TCP 포트 3389)을 허용하는 방화벽 규칙을 구성합니다. 이 규칙은 네트워크 태그를 사용하여 적절한 호스트에 적용되어야 합니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 방화벽 규칙 만들기

작업 2. Windows 인스턴스 배포 및 사용자 비밀번호 구성

1. 영역에 2개의 네트워크 인터페이스가 있는 vm-securehost라는 이름의 Windows 2016 서버 인스턴스를 배포합니다.
2. 첫 번째 네트워크 인터페이스는 새 VPC 서브넷에 대한 내부 전용 연결로 구성하고, 두 번째 네트워크 인터페이스는 기본 VPC 네트워크에 대한 내부 전용 연결로 구성합니다. 이것이 보안 서버입니다.
3. 영역에 2개의 네트워크 인터페이스가 있는 vm-bastionhost라는 이름의 두 번째 Windows 2016 서버 인스턴스를 설치합니다.
4. 첫 번째 네트워크 인터페이스는 임시 공개(외부 NAT) 주소로 새 VPC 서브넷에 연결되도록 구성하고, 두 번째 네트워크 인터페이스는 기본 VPC 네트워크에 대한 내부 전용 연결로 구성합니다. 이것이 점프 박스 또는 배스천 호스트입니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. vm-bastionhost 인스턴스 만들기

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. vm-securehost 인스턴스 만들기

사용자 비밀번호 구성

1. Windows 인스턴스를 만든 후에는 각 인스턴스에 연결하기 위한 사용자 계정을 만들고 Windows 비밀번호를 재설정합니다.
2. 다음 gcloud 명령어는 app-admin이라는 신규 사용자를 만들고 영역에 있는 vm-bastionhost 호스트의 비밀번호를 재설정합니다.

3. 또는 Compute Engine 콘솔에서 비밀번호를 강제로 재설정할 수도 있습니다. 두 번째 인스턴스에 대한 로그인 사용자 인증 정보가 다르기 때문에 해당 호스트에 대해서도 이 작업을 반복해야 합니다.

작업 3. 보안 호스트 연결 및 Internet Information Server 구성

보안 호스트에 연결하려면 먼저 RDP를 통해 배스천 호스트에 연결한 다음, 두 번째 RDP 세션을 열어 보안 호스트의 내부 비공개 네트워크 주소에 연결합니다. 외부 주소가 있는 Windows 컴퓨팅 인스턴스는 Compute 인스턴스 요약 페이지의 Windows 컴퓨팅 인스턴스 옆에 표시되는 RDP 버튼을 사용하여 RDP를 통해 연결할 수 있습니다.

Windows 서버에 연결되면 mstsc.exe 명령어를 사용하여 Microsoft RDP 클라이언트를 실행하거나 시작 메뉴에서 Remote Desktop Manager를 검색합니다. 이렇게 하면 인스턴스에서 직접 인터넷에 연결할 수 없는 경우에도 배스천 호스트에서 동일한 VPC의 다른 컴퓨팅 인스턴스에 연결할 수 있습니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. IIS 웹 서버 소프트웨어 구성하기

문제 해결

• 배스천 호스트에 연결할 수 없는 경우: 현재 연결을 시도하는 주소가 배스천 호스트의 외부 주소가 맞는지 확인합니다. 주소가 올바르더라도 인터넷이나 자체 시스템의 공개 IP 주소에서 외부 주소가 있는 배스천 호스트의 네트워크 인터페이스에 대한 TCP 포트 3389(RDP) 트래픽을 허용하도록 방화벽 규칙이 올바르게 구성되지 않은 경우 배스천 호스트에 연결하지 못할 수 있습니다. 마지막으로, 네트워크에서 RDP를 통해 인터넷 주소에 액세스하도록 허용하지 않는 경우에도 RDP를 통해 연결하는 데 문제가 있을 수 있습니다. 이러한 문제가 없는데도 연결할 수 없으면 인터넷에 연결된 네트워크 소유자에게 문의하여 포트 3389를 열거나 다른 네트워크를 사용하여 연결해야 합니다.
• 배스천 호스트에서 보안 호스트에 연결할 수 없는 경우: 배스천 호스트에 연결하는 데는 성공했지만 Microsoft 원격 데스크톱 연결 애플리케이션을 사용하여 내부 RDP 연결을 만들 수 없는 경우 두 인스턴스가 동일한 VPC 네트워크에 연결되어 있는지 확인합니다.

수고하셨습니다

수고하셨습니다. 이 실습에서는 배스천 호스트와 VPC 네트워크를 사용해 보안 Windows 서버 환경을 구성했습니다. 또한 가상 머신에 대한 HTTP 액세스를 허용하는 방화벽 규칙을 구성하고 보안 머신에 Microsoft Internet Information Server를 배포했습니다.

Google Cloud 교육 및 자격증

Google Cloud 기술을 최대한 활용하는 데 도움이 됩니다. Google 강의에는 빠른 습득과 지속적인 학습을 지원하는 기술적인 지식과 권장사항이 포함되어 있습니다. 기초에서 고급까지 수준별 학습을 제공하며 바쁜 일정에 알맞은 주문형, 실시간, 가상 옵션이 포함되어 있습니다. 인증은 Google Cloud 기술에 대한 역량과 전문성을 검증하고 입증하는 데 도움이 됩니다.

설명서 최종 업데이트: 2024년 2월 9일

실습 최종 테스트: 2023년 12월 6일

Copyright 2024 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.