GSP213

Genel Bakış

Bu laboratuvarda, iki nginx web sunucusu oluşturacak ve etiketli güvenlik duvarı kurallarını kullanarak bu web sunucularına harici HTTP erişimini kontrol edeceksiniz. Ardından, IAM rollerini ve hizmet hesaplarını keşfedeceksiniz.

Hedefler

Bu laboratuvarda, aşağıdaki görevleri nasıl gerçekleştireceğinizi öğreneceksiniz:

• Nginx web sunucusu oluşturma
• Etiketli güvenlik duvarı kuralları oluşturma
• IAM rolleri içeren bir hizmet hesabı oluşturma
• Ağ Yöneticisi ve Güvenlik Yöneticisi rollerinin izinlerini keşfetme

Kurulum ve şartlar

Laboratuvarı Başlat düğmesini tıklamadan önce

Buradaki talimatları okuyun. Laboratuvarlar süreli olduğundan duraklatılamaz. Laboratuvarı Başlat'ı tıkladığınızda başlayan zamanlayıcı, Google Cloud kaynaklarının ne süreyle kullanımınıza açık durumda kalacağını gösterir.

Bu uygulamalı laboratuvarı kullanarak, laboratuvar etkinliklerini gerçek bir bulut ortamında (Simülasyon veya demo ortamında değil.) gerçekleştirebilirsiniz. Bu olanağın sunulabilmesi için size yeni, geçici kimlik bilgileri verilir. Bu kimlik bilgilerini laboratuvar süresince Google Cloud'da oturum açmak ve Google Cloud'a erişmek için kullanırsınız.

Bu laboratuvarı tamamlamak için şunlar gerekir:

• Standart bir internet tarayıcısına erişim (Chrome Tarayıcı önerilir).

Not: Bu laboratuvarı çalıştırmak için tarayıcıyı gizli pencerede açın. Aksi takdirde, kişisel hesabınızla öğrenci hesabınız arasında oluşabilecek çakışmalar nedeniyle kişisel hesabınızdan ek ücret alınabilir.

• Laboratuvarı tamamlamak için yeterli süre. (Laboratuvarlar, başlatıldıktan sonra duraklatılamaz)

Not: Kişisel bir Google Cloud hesabınız veya projeniz varsa bu laboratuvarda kullanmayın. Aksi takdirde hesabınızdan ek ücret alınabilir.

Laboratuvarınızı başlatma ve Google Cloud Console'da oturum açma

1. Laboratuvarı Başlat düğmesini tıklayın. Laboratuvar için ödeme yapmanız gerekiyorsa ödeme yöntemini seçebileceğiniz bir pop-up açılır. Soldaki Laboratuvar Ayrıntıları panelinde şunlar yer alır:

   • Google Console'u Aç düğmesi
   • Kalan süre
   • Bu laboratuvarda kullanmanız gereken geçici kimlik bilgileri
   • Bu laboratuvarda ilerlemek için gerekebilecek diğer bilgiler

2. Google Console'u Aç'ı tıklayın. Laboratuvar, kaynakları çalıştırır ve sonra Oturum aç sayfasını gösteren başka bir sekme açar.

   İpucu: Sekmeleri ayrı pencerelerde, yan yana açın.

   Not: Hesap seçin iletişim kutusunu görürseniz Başka Bir Hesap Kullan'ı tıklayın.

3. Gerekirse Laboratuvar Ayrıntıları panelinden Kullanıcı adı'nı kopyalayın ve Oturum aç iletişim kutusuna yapıştırın. Sonraki'ni tıklayın.

4. Laboratuvar Ayrıntıları panelinden Şifre'yi kopyalayın ve Hoş geldiniz iletişim penceresine yapıştırın. Sonraki'ni tıklayın.

   Önemli: Sol paneldeki kimlik bilgilerini kullanmanız gerekir. Google Cloud Öğrenim Merkezi kimlik bilgilerinizi kullanmayın. Not: Bu laboratuvarda kendi Google Cloud hesabınızı kullanabilmek için ek ücret ödemeniz gerekebilir.

5. Sonraki sayfalarda ilgili düğmeleri tıklayarak ilerleyin:

   • Şartları ve koşulları kabul edin.
   • Geçici bir hesap kullandığınızdan kurtarma seçenekleri veya iki faktörlü kimlik doğrulama eklemeyin.
   • Ücretsiz denemelere kaydolmayın.

Birkaç saniye sonra Cloud Console bu sekmede açılır.

Not: Soldaki Gezinme menüsü'nü tıklayarak Google Cloud ürün ve hizmetlerinin listelendiği menüyü görüntüleyebilirsiniz.

Cloud Shell'i etkinleştirme

Cloud Shell, çok sayıda geliştirme aracı içeren bir sanal makinedir. 5 GB boyutunda kalıcı bir ana dizin sunar ve Google Cloud üzerinde çalışır. Cloud Shell, Google Cloud kaynaklarınıza komut satırı erişimi sağlar.

1. Google Cloud Console'un üst kısmından Cloud Shell'i etkinleştir simgesini tıklayın.

Bağlandığınızda, kimliğiniz doğrulanmış olur. Proje ise PROJECT_ID'nize göre ayarlanmıştır. Çıkış, bu oturum için PROJECT_ID'yi tanımlayan bir satır içerir:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud, Google Cloud'un komut satırı aracıdır. Cloud Shell'e önceden yüklenmiştir ve sekmeyle tamamlamayı destekler.

2. (İsteğe bağlı) Etkin hesap adını şu komutla listeleyebilirsiniz:

gcloud auth list

3. Yetkilendir'i tıklayın.

4. Çıkışınız aşağıdaki gibi görünecektir:

Çıkış:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (İsteğe bağlı) Proje kimliğini şu komutla listeleyebilirsiniz:

gcloud config list project

Çıkış:

[core] project = <project_ID>

Örnek çıkış:

[core] project = qwiklabs-gcp-44776a13dea667a6 Not: gcloud ile ilgili tüm belgeleri, Google Cloud'daki gcloud CLI'ya genel bakış rehberinde bulabilirsiniz.

1. görev: Web sunucularını oluşturma

Bu bölümde, varsayılan VPC ağında iki web sunucusu (mavi ve yeşil) oluşturacaksınız. Ardından, bu web sunucularına nginx yükleyecek ve karşılama sayfasını bu iki sunucuyu birbirinden ayırt edecek şekilde değiştireceksiniz.

Mavi sunucuyu oluşturma

Mavi sunucuyu bir ağ etiketiyle oluşturun.

1. Console'da gezinme menüsü () > Compute Engine > Sanal makine örnekleri'ne gidin.

2. Örnek oluştur'u tıklayın.

3. Şu değerleri ayarlayın ve diğer tüm değerleri varsayılan ayarlarında bırakın:

   Özellik	Değer (değeri yazın veya belirtilen seçeneği kullanın)
   Ad	mavi
   Bölge
   Alt Bölge

   Mevcut bölgeler ve alt bölgeler hakkında daha fazla bilgi edinmek için Google Cloud Compute Engine Bölge ve Alt Bölge Rehberi sayfasındaki Mevcut bölgeler ve alt bölgeler bölümüne göz atın.

4. Gelişmiş Seçenekler > Ağ'ı tıklayın.

5. Ağ etiketleri alanına web-server yazın.

Not: Ağlar, belirli güvenlik duvarı kurallarının ve ağ rotalarının hangi sanal makine örnekleri için geçerli olduğunu belirlerken ağ etiketlerinden yararlanır. Bu laboratuvarın sonraki aşamalarında, web-server etiketiyle sanal makine örneklerine HTTP erişim izni tanıyan bir güvenlik duvarı kuralı oluşturacaksınız. Alternatif olarak HTTP trafiğine izin ver onay kutusunu işaretleyebilirsiniz. Bunu yaptığınızda bu örnek http-server olarak etiketlenir ve tcp:80 için etiketli bir güvenlik duvarı kuralı oluşturulur.

7. Oluştur'u tıklayın.

Tamamlanan görevi test etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

Mavi sunucuyu oluşturma

Yeşil sunucuyu oluşturma

Yeşil sunucuyu bir ağ etiketi olmadan oluşturun.

1. Yine Console'a giderek Sanal makine örnekleri sayfasında Örnek Oluştur'u tıklayın.

2. Şu değerleri ayarlayın ve diğer tüm değerleri varsayılan ayarlarında bırakın:

   Özellik	Değer (değeri yazın veya belirtilen seçeneği kullanın)
   Ad	yeşil
   Bölge
   Alt Bölge

3. Oluştur'u tıklayın.

Tamamlanan görevi test etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

Yeşil sunucuyu oluşturma

Nginx'i yükleme ve karşılama sayfasını özelleştirme

Her iki sanal makine örneğine nginx'i yükleyin ve karşılama sayfasını sunucuları birbirinden ayırt edebilecek şekilde değiştirin.

1. Sanal makine örnekleri iletişim kutusundan ayrılmadan mavi için SSH'yi tıklayarak bir terminal açıp bağlanın.

2. Mavinin SSH terminalinde nginx'i yüklemek için aşağıdaki komutu çalıştırın:

sudo apt-get install nginx-light -y

3. Nano düzenleyicide karşılama sayfasını açın:

sudo nano /var/www/html/index.nginx-debian.html

4. <h1>Welcome to nginx!</h1> satırını <h1>Mavi sunucuya hoş geldiniz!</h1> olarak değiştirin.
5. CTRL+o, ENTER, CTRL+x tuşlarına basın.
6. Değişikliği doğrulayın:

cat /var/www/html/index.nginx-debian.html

Çıkış şu ifadeleri içermelidir:

<h1>Mavi sunucuya hoş geldiniz!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>

7. Mavinin SSH terminalini kapatın:

exit

Aynı adımları yeşil sunucu için tekrarlayın:

8. Yeşil için SSH'yi tıklayarak bir terminal açıp bağlanın.
9. Nginx'i yükleyin:

sudo apt-get install nginx-light -y

10. Nano düzenleyicide karşılama sayfasını açın:

sudo nano /var/www/html/index.nginx-debian.html

11. <h1>Welcome to nginx!</h1> satırını <h1>Yeşil sunucuya hoş geldiniz!</h1> olarak değiştirin.
12. CTRL+o, ENTER, CTRL+x tuşlarına basın.
13. Değişikliği doğrulayın:

cat /var/www/html/index.nginx-debian.html

Çıkış şu ifadeleri içermelidir:

<h1>Yeşil sunucuya hoş geldiniz!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>

14. Yeşilin SSH terminalini kapatın:

exit

Tamamlanan Görevi Test Etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

Nginx'i yükleme ve karşılama sayfasını özelleştirme

2. görev: Güvenlik duvarı kuralını oluşturma

Etiketli güvenlik duvarı kuralını oluşturun ve HTTP bağlantısını test edin.

Etiketli güvenlik duvarı kuralını oluşturma

web-server ağ etiketine sahip sanal makine örnekleri için geçerli olan bir güvenlik duvarı kuralı oluşturun.

1. Console'da gezinme menüsü () > VPC ağı > Güvenlik duvarı'na gidin.
2. default-allow-internal güvenlik duvarı kuralına dikkat edin.

Not: default-allow-internal güvenlik duvarı kuralı, varsayılan ağda bulunan tüm protokol veya bağlantı noktalarındaki trafiğe izin verir. web-server ağ etiketini kullanarak ağ dışından yalnızca mavi sunucuya trafik akışına izin verecek bir güvenlik duvarı kuralı oluşturmak istiyorsunuz.

3. Güvenlik Duvarı Kuralı Oluştur'u tıklayın.

4. Şu değerleri ayarlayın ve diğer tüm değerleri varsayılan ayarlarında bırakın.

   Özellik	Değer (değeri yazın veya belirtilen seçeneği kullanın)
   Ad	allow-http-web-server
   Ağ	varsayılan
   Hedefler	Belirtilen hedef etiketler
   Hedef etiketler	web-server
   Kaynak filtresi	IPv4 aralıkları
   Kaynak IPv4 aralıkları	0.0.0.0/0
   Protokoller ve bağlantı noktaları	Protokolleri ve bağlantı noktalarını belirtin, ardından tcp'yi işaretleyip 80 yazın ve Diğer protokoller'i işaretleyip icmp yazın.

Not: Tüm ağları belirtmek için Kaynak IP aralıkları'na /0 kısmını dahil etmeyi unutmayın.

5. Oluştur'u tıklayın.

Tamamlanan görevi test etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

Etiketli güvenlik duvarı kuralını oluşturma

test-vm oluşturma

Cloud Shell komut satırını kullanarak bir test-vm (test sanal makinesi) örneği oluşturun.

1. Yeni bir Cloud Shell terminali açın.

2. bölgesinde bir test-vm örneği oluşturmak için aşağıdaki komutu çalıştırın:

gcloud compute instances create test-vm --machine-type=e2-micro --subnet=default --zone={{{project_0.default_zone|ZONE}}}

Çıkış şu şekilde görünmelidir:

NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS test-vm {{{project_0.default_zone|ZONE}}} e2-micro 10.142.0.4 35.237.134.68 RUNNING Not: Sanal makine örneklerini Console'dan veya gcloud komut satırından kolayca oluşturabilirsiniz.

Tamamlanan Görevi Test Etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

test-vm oluşturma

HTTP bağlantısını test etme

test-vm'de mavi ile yeşilin dahili ve harici IP adreslerine curl komutunu uygulayın.

1. Console'da gezinme menüsü () > Compute Engine > Sanal makine örnekleri'ne gidin.
2. Mavi ile yeşilin dahili ve harici IP adreslerini not edin.
3. test-vm için SSH'yi tıklayarak bir terminal açıp bağlanın.
4. Mavinin dahili IP'sine HTTP bağlantısını test etmek için mavinin dahili IP'sini kullanarak aşağıdaki komutu çalıştırın:

curl <Buraya mavinin dahili IP'sini girin>

Mavi sunucuya hoş geldiniz! başlığını göreceksiniz.

5. Yeşilin dahili IP'sine HTTP bağlantısını test etmek için yeşilin dahili IP'sini kullanarak aşağıdaki komutu çalıştırın:

curl -c 3 <Buraya yeşilin dahili IP'sini girin>

Yeşil sunucuya hoş geldiniz! başlığını göreceksiniz.

Not: Dahili IP adreslerini kullanarak her iki sunucuya da HTTP üzerinden erişebilirsiniz. test-vm, web sunucusunun varsayılan ağıyla aynı VPC ağında olduğu için tcp:80 üzerinden bağlantıya default-allow-internal güvenlik duvarı kuralı tarafından izin verilir.

6. Mavinin harici IP'sine HTTP bağlantısını test etmek için mavinin harici IP'sini kullanarak aşağıdaki komutu çalıştırın:

curl <Buraya mavinin harici IP'sini girin>

Mavi sunucuya hoş geldiniz! başlığını göreceksiniz.

7. Yeşilin harici IP'sine HTTP bağlantısını test etmek için yeşilin harici IP'sini kullanarak aşağıdaki komutu çalıştırın:

curl -c 3 <Buraya yeşilin harici IP'sini girin> Not: Bu komut çalışmayacaktır. İstek kilitlenir.

8. HTTP isteğini durdurmak için CTRL+c tuşlarına basın.

Not: allow-http-web-server kuralı yalnızca web-server etiketli sanal makine örnekleri için geçerli olduğundan, beklenildiği gibi HTTP üzerinden sadece mavi sunucunun harici IP adresine erişebilirsiniz.

Bu davranışı tarayıcınızda yeni bir sekme açıp http://[Sunucunun harici IP'si] adresine giderek de doğrulayabilirsiniz.

3. görev: Ağ ve Güvenlik Yöneticisi rollerini keşfetme

Cloud IAM, belirli kaynaklar üzerinde kimlerin işlem yapabileceğini yetkilendirmenize olanak sağlar. Böylece bulut kaynaklarını merkezi olarak yönetebilmek için tam denetim ve görünürlük elde edersiniz. Aşağıdaki roller, tek projeli ağ iletişimiyle birlikte kullanılarak her VPC ağına yönetim erişiminin bağımsız şekilde kontrol edilebilmesini sağlar:

• Ağ Yöneticisi: Güvenlik duvarı kuralları ve SSL sertifikaları hariç olmak üzere ağ iletişimi kaynaklarını oluşturma, değiştirme ve silme izinleri
• Güvenlik Yöneticisi: Güvenlik duvarı kurallarını ve SSL sertifikalarını oluşturma, değiştirme ve silme izinleri

Bu rolleri keşfetmek için bir hizmet hesabına uygulayın. Hizmet hesabı, bireysel son kullanıcı yerine sanal makine örneğinize ait olan özel bir Google Hesabı'dır. Ağ Yöneticisi ve Güvenlik Yöneticisi rollerine ait izinleri göstermek için yeni bir kullanıcı oluşturmak yerine hizmet hesabının test-vm tarafından kullanılmasına yetki verin.

Mevcut izinleri doğrulama

test-vm'de şu anda Compute Engine varsayılan hizmet hesabı kullanılmaktadır. Bu hesap, Cloud Shell komut satırı veya Cloud Console tarafından oluşturulan tüm örneklerde etkinleştirilir.

test-vm'deki kullanılabilir güvenlik duvarı kurallarını listelemeyi veya silmeyi deneyin.

1. test-vm örneğinin SSH terminaline geri dönün.
2. Kullanılabilir güvenlik duvarı kurallarını listelemeyi deneyin:

gcloud compute firewall-rules list

Çıkış şu şekilde görünmelidir:

ERROR: (gcloud.compute.firewall-rules.list) Some requests did not succeed: - Insufficient Permission Not: Bu komut çalışmayacaktır.

3. allow-http-web-server güvenlik duvarı kuralını silmeyi deneyin:

gcloud compute firewall-rules delete allow-http-web-server

4. Devam etmek isteyip istemediğiniz sorulduğunda Y değerini girin.

Çıkış şu şekilde görünmelidir:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Insufficient Permission Not: Bu komut çalışmayacaktır. Not: Compute Engine varsayılan hizmet hesabı, güvenlik duvarı kurallarını listeleyebilmenizi veya silebilmenizi sağlayacak uygun izinlere sahip değildir. Aynı durum, uygun rollere sahip olmayan diğer kullanıcılar için de geçerlidir.

Hizmet hesabı oluşturma

Bir hizmet hesabı oluşturun ve Ağ Yöneticisi rolünü uygulayın.

1. Console'da gezinme menüsü () > IAM ve yönetici > Hizmet Hesapları'na gidin.

2. Compute Engine varsayılan hizmet hesabı bilgisine dikkat edin.

3. Hizmet hesabı oluştur'u tıklayın.

4. Hizmet hesabı adı'nı Ağ yöneticisi olarak belirleyip OLUŞTUR VE DEVAM ET'İ tıklayın.

5. Rol seçin bölümünde Compute Engine > İşlem Ağ Yöneticisi'ni seçip DEVAM'ı ve sonra BİTTİ'yi tıklayın.

6. Ağ yöneticisi hizmet hesabını oluşturduktan sonra, sağ üst köşedeki üç nokta simgesini tıklayıp açılır listeden Anahtarları Yönet'i seçin ve ardından Anahtar Ekle'yi tıklayın. Açılır listeden Yeni anahtar oluştur'u seçin. JSON çıkışınızı indirmek için Oluştur'u tıklayın.

7. Kapat'ı tıklayın.

   Yerel bilgisayarınıza bir JSON anahtar dosyası indirilir. Daha sonraki adımların birinde sanal makineye yüklemeniz gerekeceğinden bu anahtar dosyasını bulun.

8. Yerel makinenizdeki JSON anahtar dosyasının adını credentials.json olarak değiştirin.

Tamamlanan Görevi Test Etme

Tamamladığınız görevi doğrulamak için İlerleme durumumu kontrol et'i tıklayın. Görevi başarıyla tamamladıysanız size bir değerlendirme puanı verilir.

Ağ yöneticisi hizmet hesabı oluşturma

test-vm'yi yetkilendirme ve izinleri doğrulama

Ağ yöneticisi hizmet hesabını kullanması için test-vm'yi yetkilendirin.

1. test-vm örneğinin SSH terminaline geri dönün.
2. SSH sanal makine terminali üzerinden credentials.json dosyasını yüklemek için sağ üst köşedeki dişli simgesi menüsünde Dosya yükle'yi tıklayın.
3. credentials.json dosyasını seçip yükleyin.
4. Dosya Aktarımı penceresinde Kapat'ı tıklayın. Not: Gösterilmesi halinde, Cloud Identity-Aware Proxy Üzerinden İletişim Kurulamadı iletişim kutusunda Yeniden Dene'yi tıklayıp dosyayı yeniden yükleyin.
5. Biraz önce yüklediğiniz kimlik bilgileriyle sanal makineyi yetkilendirin:

gcloud auth activate-service-account --key-file credentials.json Not: Kullandığınız görüntüye Cloud SDK önceden yüklenmiştir. Bu nedenle, Cloud SDK'yı ilk kullanıma hazırlamanız gerekmez. Bu laboratuvar için farklı bir ortam kullanıyorsanız Cloud SDK'nın yüklenmesiyle ilgili prosedürlere uyduğunuzdan emin olun.

6. Kullanılabilir güvenlik duvarı kurallarını listelemeyi deneyin:

gcloud compute firewall-rules list

Çıkış şu şekilde görünmelidir:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Bu komut çalışacaktır.

7. allow-http-web-server güvenlik duvarı kuralını silmeyi deneyin:

gcloud compute firewall-rules delete allow-http-web-server

8. Devam etmek isteyip istemediğiniz sorulduğunda Y değerini girin.

Çıkış şu şekilde görünmelidir:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Required 'compute.firewalls.delete' permission for 'projects/[PROJECT_ID]/global/firewalls/allow-http-web-server' Not: Bu komut çalışacaktır. Not: Beklendiği gibi, Ağ Yöneticisi rolünün güvenlik duvarı kurallarını listeleme izni vardır ancak değiştirme veya silme izni yoktur.

Hizmet hesabını güncelleme ve izinleri doğrulama

Ağ yöneticisi hizmet hesabına Güvenlik Yöneticisi rolünü vererek hesabı güncelleyin.

1. Console'da gezinme menüsü () > IAM ve yönetici > IAM'ye gidin.

2. Ağ yöneticisi hesabını bulun. Bu hesabı tespit etmek için Ad sütununa odaklanın.

3. Ağ yöneticisi hesabına ait kalem simgesini tıklayın.

4. Rol değerini Compute Engine > Compute Güvenlik Yöneticisi olarak değiştirin.

5. Kaydet'i tıklayın.

6. test-vm örneğinin SSH terminaline geri dönün.

7. Kullanılabilir güvenlik duvarı kurallarını listelemeyi deneyin:

gcloud compute firewall-rules list

Çıkış şu şekilde görünmelidir:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Bu komut çalışacaktır.

8. allow-http-web-server güvenlik duvarı kuralını silmeyi deneyin:

gcloud compute firewall-rules delete allow-http-web-server

9. Devam etmek isteyip istemediğiniz sorulduğunda Y değerini girin.

Çıkış şu şekilde görünmelidir:

Deleted [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-00e186e4b1cec086/global/firewalls/allow-http-web-server].

Bu komut çalışacaktır.

Not: Beklendiği gibi, Güvenlik Yöneticisi rolünün güvenlik duvarı kurallarını listeleme ve silme izni vardır.

Güvenlik duvarı kuralının silindiğini doğrulama

allow-http-web-server güvenlik duvarı kuralını sildiğiniz için artık mavi sunucunun harici IP'sine HTTP üzerinden erişemediğinizi doğrulayın.

1. test-vm örneğinin SSH terminaline geri dönün.
2. Mavinin harici IP'sine HTTP bağlantısını test etmek için mavinin harici IP'sini kullanarak aşağıdaki komutu çalıştırın:

curl -c 3 <Buraya mavinin harici IP'sini girin> Not: Bu komut çalışmayacaktır.

3. HTTP isteğini durdurmak için CTRL+c tuşlarına basın.

Not: Güvenlik duvarı kurallarınızda istenmeyen değişiklikler yapılmasını önlemek için Güvenlik Yöneticisi rolünü doğru kullanıcıya veya hizmet hesabına verin.

Tebrikler!

Bu laboratuvarda, iki nginx web sunucusu oluşturdunuz ve etiketli bir güvenlik duvarı kuralı kullanarak harici HTTP erişimini kontrol ettiniz. Ardından bir hizmet hesabı oluşturup bu hesaba önce Ağ Yöneticisi rolünü, ardından Güvenlik Yöneticisi rolünü vererek bu iki rolün izinleri arasındaki farkları keşfettiniz.

Şirketinizde güvenlik duvarlarını ve SSL sertifikalarını yöneten bir güvenlik ekibi ve geri kalan ağ iletişimi kaynaklarını yöneten bir ağ iletişimi ekibi varsa güvenlik ekibine Güvenlik Yöneticisi rolünü, ağ iletişimi ekibine de Ağ Yöneticisi rolünü verin.

Sonraki adımlar / Daha fazla bilgi

Google Cloud Identity and Access Management ile ilgili temel kavramlar hakkında bilgi edinmek için Google Cloud Identity and Access Management'a Genel Bakış başlıklı makaleye göz atın.

Google Cloud eğitimi ve sertifikası

...Google Cloud teknolojilerinden en iyi şekilde yararlanmanıza yardımcı olur. Derslerimizde teknik becerilere odaklanırken en iyi uygulamalara da yer veriyoruz. Gerekli yetkinlik seviyesine hızlıca ulaşmanız ve öğrenim maceranızı sürdürebilmeniz için sizlere yardımcı olmayı amaçlıyoruz. Temel kavramlardan ileri seviyeye kadar farklı eğitim programlarımız mevcut. Ayrıca, yoğun gündeminize uyması için talep üzerine sağlanan, canlı ve sanal eğitim alternatiflerimiz de var. Sertifikasyonlar ise Google Cloud teknolojilerindeki becerilerinizi ve uzmanlığınızı doğrulamanıza ve kanıtlamanıza yardımcı oluyor.

Kılavuzun Son Güncellenme Tarihi: 19 Eylül 2023

Laboratuvarın Son Test Edilme Tarihi: 19 Eylül 2023

Telif Hakkı 2024 Google LLC Tüm hakları saklıdır. Google ve Google logosu, Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları ilişkili oldukları şirketlerin ticari markaları olabilir.