GSP303

Informações gerais

Nos laboratórios com desafio, apresentamos uma situação e um conjunto de tarefas. Para concluí-las, em vez de seguir instruções passo a passo, você usará o que aprendeu nos laboratórios da Quest. Um sistema automático de pontuação (mostrado nesta página) avaliará seu desempenho.

Nos laboratórios com desafio, não ensinamos novos conceitos do Google Cloud. O objetivo dessas tarefas é aprimorar aquilo que você já aprendeu, como a alteração de valores padrão ou a leitura e pesquisa de mensagens para corrigir seus próprios erros.

Para alcançar a pontuação de 100%, você precisa concluir todas as tarefas no tempo definido.

Este laboratório é recomendado para estudantes que estão se preparando para o exame de Certificação em Google Cloud Professional Cloud Architect. Você aceita o desafio?

Cenário do desafio

A empresa decidiu implantar novos serviços de aplicativos na nuvem. Sua tarefa é desenvolver uma estrutura segura para o gerenciamento dos serviços do Windows que serão implantados. Você precisa criar um novo ambiente de rede VPC para os servidores seguros de produção do Windows.

Inicialmente, é necessário que os servidores de produção estejam totalmente isolados das redes externas e não tenham conexão com a Internet. Para configurar e gerenciar seu primeiro servidor nesse ambiente, você também precisa implantar um Bastion Host, ou jump box, que seja acessado pela Internet com o uso do protocolo de desktop remoto (RDP, na sigla em inglês) da Microsoft. O Bastion Host só deve ser acessado pela Internet via RDP e se comunicar com as outras instâncias do Compute na rede VPC por esse mesmo protocolo.

Como sua empresa também tem um sistema de monitoramento na rede VPC padrão, todas as instâncias do Compute precisam ter uma segunda interface de rede apenas para conexão interna com a rede VPC padrão.

Seu desafio

Implante a máquina Windows segura que não está configurada para comunicação externa dentro de uma nova sub-rede VPC, depois implante o servidor Microsoft Internet Information nessa máquina. Para este laboratório, todos os recursos devem ser provisionados na seguinte região e zona:

• Região:
• Zona:

Tarefas

Confira abaixo as tarefas principais. Boa sorte!

• Criar uma nova rede VPC com uma única sub-rede
• Criar uma regra de firewall que permita o tráfego RDP externo para o sistema do Bastion Host
• Implantar dois servidores Windows conectados à rede VPC e à rede padrão
• Criar uma máquina virtual que aponte para o script de inicialização
• Configurar uma regra de firewall para permitir o acesso HTTP à máquina virtual

Tarefa 1: criar a rede VPC

1. Crie uma nova rede VPC chamada securenetwork.

Clique em Verificar meu progresso para conferir o objetivo. Crie a rede VPC.

2. Crie uma nova sub-rede VPC dentro de securenetwork na região .

Clique em Verificar meu progresso para conferir o objetivo. Crie a sub-rede VPC.

3. Após configurar a rede e a sub-rede, defina uma regra de firewall que permita o tráfego RDP de entrada (porta TCP 3389) da Internet para o Bastion Host. Aplique essa regra ao host adequado usando tags de rede.

Clique em Verificar meu progresso para conferir o objetivo. Crie a regra de firewall.

Tarefa 2: implantar as instâncias do Windows e configurar as senhas de usuário

1. Implante uma instância do Windows Server 2016 chamada vm-securehost com duas interfaces de rede na zona .
2. Configure a primeira interface somente para conexão interna com a nova sub-rede VPC e a segunda somente para conexão interna com a rede VPC padrão. Esse é o servidor seguro.
3. Instale uma segunda instância do Windows Server 2016 chamada vm-bastionhost com duas interfaces de rede na zona .
4. Configure a primeira interface para conexão com a nova sub-rede VPC por um endereço público (NAT externo) efêmero e a segunda somente para conexão interna com a rede VPC padrão. Esse é o Bastion Host ou jump box.

Clique em Verificar meu progresso para conferir o objetivo. Crie a instância vm-bastionhost.

Clique em Verificar meu progresso para conferir o objetivo. Crie a instância vm-securehost.

Configurar senhas de usuário

1. Depois que você criar as instâncias do Windows, crie uma conta de usuário e redefina as senhas do Windows para conexão com cada instância.
2. O comando gcloud abaixo cria um novo usuário chamado app-admin e redefine a senha de um host denominado vm-bastionhost, localizado na zona :

3. Se preferir, você pode forçar uma redefinição de senha no console do Compute Engine. Você precisará repetir isso para o segundo host porque as credenciais de login nessa instância são diferentes.

Tarefa 3: conectar-se ao host seguro e configurar o servidor Internet Information da Microsoft (IIS)

Para se conectar com o host seguro, primeiro você precisa acessar o Bastion Host usando o RDP e só depois abrir uma segunda sessão do RDP para conexão com o endereço da rede privada interna no host seguro. Você pode se conectar a uma Instância do Compute Engine do Windows com um endereço externo via RDP usando o botão "RDP" ao lado dessas instâncias na página de resumo das instâncias do Compute.

Quando você estiver conectado a um servidor Windows, poderá iniciar o cliente Microsoft RDP usando o comando mstsc.exe ou procurar o Administrador da Área de Trabalho Remota no menu "Iniciar". Assim você se conectará pelo Bastion Host a outras instâncias do Compute na mesma VPC, mesmo que elas não tenham conexão com a Internet.

Clique em Verificar meu progresso para conferir o objetivo. Configure o software servidor da Web IIS.

Solução de problemas

• Erro na conexão com o Bastion Host: confirme que você está tentando se conectar ao endereço externo do Bastion Host. Se o endereço estiver certo, talvez a regra de firewall não esteja configurada corretamente e não permita, na porta TCP 3389 (RDP), o tráfego da Internet ou do endereço IP público do seu sistema para a interface de rede no Bastion Host com um endereço externo. Esses problemas de conexão via RDP podem ocorrer se sua própria rede não permitir o uso desse protocolo para acessar endereços da Internet. Após considerar todas as possibilidades, peça para o proprietário da rede que você está usando abrir a porta 3389 ou use outra rede.
• Erro na conexão com o host seguro pelo Bastion Host: se você tiver se conectado ao Bastion Host, mas a conexão RDP interna não tiver funcionado com o app "Conexão da Área de Trabalho Remota" da Microsoft, verifique se as duas instâncias estão na mesma rede VPC.

Parabéns!

Parabéns! Neste laboratório, você configurou um ambiente de servidor Windows seguro usando um Bastion Host e uma rede VPC. Você também configurou uma regra de firewall para permitir o acesso HTTP à máquina virtual e implantou o servidor Internet Information da Microsoft na máquina segura.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 9 de fevereiro de 2024

Laboratório testado em 6 de dezembro de 2023

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.