GSP342

Descripción general

En un lab de desafío, se le proporcionarán una situación y un conjunto de tareas. En lugar de seguir instrucciones paso a paso, deberá utilizar las habilidades aprendidas en los labs de la Quest a fin de decidir cómo completar las tareas por su cuenta. Un sistema de puntuación automatizado (que se muestra en esta página) le proporcionará comentarios acerca de si completó las tareas correctamente.

En un lab de desafío, no se explican conceptos nuevos de Google Cloud, sino que se espera que amplíe las habilidades que adquirió, como cambiar los valores predeterminados y leer o investigar los mensajes de error para corregir sus propios errores.

Debe completar correctamente todas las tareas dentro del período establecido para obtener una puntuación del 100%.

Se recomienda este lab a los estudiantes inscritos para obtener la insignia de habilidad Implement Cloud Security Fundamentals on Google Cloud. ¿Aceptas el desafío?

Temas evaluados

• Crear un rol de seguridad personalizado
• Crear una cuenta de servicio
• Vincular los roles de seguridad de IAM a una cuenta de servicio
• Crear un clúster privado de Kubernetes Engine en una subred personalizada
• Implementa una aplicación en un clúster privado de Kubernetes Engine

Configuración y requisitos

Antes de hacer clic en el botón Comenzar lab

Lee estas instrucciones. Los labs son cronometrados y no se pueden pausar. El cronómetro, que comienza a funcionar cuando haces clic en Comenzar lab, indica por cuánto tiempo tendrás a tu disposición los recursos de Google Cloud.

Este lab práctico te permitirá realizar las actividades correspondientes en un entorno de nube real, no en uno de simulación o demostración. Para ello, se te proporcionan credenciales temporales nuevas que utilizarás para acceder a Google Cloud durante todo el lab.

Para completar este lab, necesitarás lo siguiente:

• Acceso a un navegador de Internet estándar (se recomienda el navegador Chrome)

Nota: Usa una ventana de navegador privada o de Incógnito para ejecutar este lab. Así evitarás cualquier conflicto entre tu cuenta personal y la cuenta de estudiante, lo que podría generar cargos adicionales en tu cuenta personal.

• Tiempo para completar el lab: Recuerda que, una vez que comienzas un lab, no puedes pausarlo.

Nota: Si ya tienes un proyecto o una cuenta personal de Google Cloud, no los uses en este lab para evitar cargos adicionales en tu cuenta.

Situación del desafío

Asumiste un nuevo rol como miembro júnior del equipo de seguridad de Orca en Jooli Inc. La responsabilidad del equipo es garantizar la seguridad de la infraestructura y los servicios de nube de los que dependen las aplicaciones de la empresa.

Se espera que tengas las habilidades y el conocimiento necesarios para realizar estas tareas, por lo que no se te proporcionarán guías paso a paso.

Tu desafío

Se te solicitó que implementes, configures y pruebes un nuevo clúster de Kubernetes Engine que el equipo de desarrollo de Orca usará para implementar aplicaciones y probar canalizaciones.

Debes asegurarte de que el nuevo clúster de Kubernetes Engine se compile de acuerdo con los estándares de seguridad de la organización más recientes. Por lo tanto, debes cumplir con las siguientes reglas:

• El clúster se debe implementar con una cuenta de servicio dedicada, configurada con los privilegios mínimos requeridos.
• El clúster se debe implementar como un clúster privado de Kubernetes Engine, el extremo público debe estar inhabilitado y la red autorizada de la instancia principal debe configurarse de tal forma que incluya solo la dirección IP del jumphost de administración del grupo de Orca.
• El clúster privado de Kubernetes Engine se debe implementar en orca-build-subnet, en la VPC de compilación de Orca.

Por un proyecto anterior, ya sabes que los permisos mínimos que requiere la cuenta de servicio especificada para un clúster de Kubernetes Engine están cubiertos por las siguientes tres funciones incorporadas:

• roles/monitoring.viewer
• roles/monitoring.metricWriter
• roles/logging.logWriter

Estos roles se especifican en el endurecimiento de Google Kubernetes Engine (GKE) de la guía de seguridad de tu clúster en la sección Usa cuentas de servicio de Google con privilegios mínimos.

Debes vincular los roles anteriores a la cuenta de servicio que utiliza el clúster, así como el rol personalizado que debes crear, para brindar acceso a cualquier otro servicio que especifique el equipo de desarrollo. Inicialmente, se te informó que el equipo de desarrollo requiere que la cuenta de servicio que utiliza el clúster cuente con los permisos necesarios para agregar y actualizar objetos en los depósitos de Google Cloud Storage. Para esto, tendrás que crear un nuevo rol de IAM personalizado que otorgue los siguientes permisos:

• storage.buckets.get
• storage.objects.get
• storage.objects.list
• storage.objects.update
• storage.objects.create

Una vez que hayas creado el nuevo clúster privado, deberás probar que esté configurado correctamente. Para esto, conéctalo desde el jumphost orca-jumphost en la subred de administración orca-mgmt-subnet. Debido a que esta instancia de Compute no se encuentra en la misma subred que el clúster privado, debes asegurarte de que las redes autorizadas de la instancia principal que correspondan al clúster incluyan la dirección IP interna de la instancia. Además, cuando recuperes las credenciales del clúster con el comando gcloud container clusters get-credentials, deberás especificar la marca --internal-ip.

Todos los nuevos objetos y servicios de nube que crees deberán incluir el prefijo "orca-".

La última tarea consiste en validar que el clúster esté funcionando correctamente. Para esto, debes implementar una aplicación simple en el clúster para probar que el acceso de administración al clúster con la herramienta kubectl funcione desde la instancia de Compute orca-jumphost.

Para todas las tareas de este lab, usa la región y la zona .

Tarea 1. Crea un rol de seguridad personalizado

La primera tarea consiste en crear un nuevo rol personalizado de seguridad de IAM llamado , el cual proporcionará los permisos necesarios al bucket de almacenamiento y los objetos de Google Cloud para crear y actualizar los objetos de almacenamiento.

Verificar que se haya creado un rol de seguridad personalizado

Tarea 2. Crea una cuenta de servicio

La segunda tarea consiste en crear la cuenta de servicio dedicada que se usará para tu nuevo clúster privado. La cuenta debe llamarse .

Verificar que se haya creado una nueva cuenta de servicio

Tarea 3: Vincula un rol de seguridad personalizado a una cuenta de servicio

Ahora debes vincular los roles de registro y supervisión de Cloud Operations que se requieren para las cuentas de servicio del clúster de Kubernetes Engine, así como el rol de IAM personalizado que creaste para los permisos de almacenamiento de la cuenta de servicio creada anteriormente.

Verificar que se hayan vinculado los roles de seguridad integrados y personalizados correctos a la nueva cuenta de servicio

Tarea 4: Crea y configura un nuevo clúster privado de Kubernetes Engine

Ahora debes usar la cuenta de servicio que configuraste cuando creaste el nuevo clúster privado de Kubernetes Engine. La configuración del nuevo clúster debe incluir lo siguiente:

• El clúster debe llamarse .
• El clúster debe implementarse en la subred orca-build-subnet.
• Debe configurarse el clúster para usar la cuenta de servicio de .
• Las opciones del clúster privado enable-master-authorized-networks, enable-ip-alias, enable-private-nodes y enable-private-endpoint deben estar habilitadas.

Una vez configurado el clúster, debes agregar la dirección IP interna de la instancia de Compute orca-jumphost a la lista de redes autorizadas de la instancia principal.

Confirmar que se haya implementado correctamente un clúster privado de Kubernetes Engine

Tarea 5. Implementa una aplicación en un clúster privado de Kubernetes Engine

Tienes una aplicación de prueba simple que se puede implementar en cualquier clúster para probar rápidamente que la funcionalidad de implementación de contenedores básicos esté activa y que se puedan crear servicios básicos y se pueda acceder a ellos. Debes configurar el entorno de manera tal que puedas implementar esta demostración simple en el nuevo clúster con el jumphost orca-jumphost.

Nota: Asegúrate de instalar correctamente gke-gcloud-auth-plugin antes de ejecutar cualquier comando kubectl. Esto se detalla más abajo en Sugerencia 1. kubectl create deployment hello-server --image=gcr.io/google-samples/hello-app:1.0

De esta manera, se implementa una aplicación que escucha en el puerto 8080 y que se puede exponer con un servicio básico de balanceador de cargas para pruebas.

Verificar que se haya implementado una aplicación en un clúster privado de Kubernetes Engine

Sugerencias y trucos

• Sugerencia 1. Asegúrate de usar gke-gcloud-auth-plugin, que se necesita para el uso continuo de kubectl. Puedes ejecutar los siguientes comandos para instalarlo. Asegúrate de reemplazar el nombre y la zona de clúster de GKE, al igual que el ID del proyecto.

sudo apt-get install google-cloud-sdk-gke-gcloud-auth-plugin echo "export USE_GKE_GCLOUD_AUTH_PLUGIN=True" >> ~/.bashrc source ~/.bashrc gcloud container clusters get-credentials <your cluster name> --internal-ip --project=<project ID> --zone <cluster zone>

• Sugerencia 2. Cuando agregues la dirección IP interna de la máquina orca-jumphost a la lista de direcciones autorizadas del clúster privado de Kubernetes Engine, debes usar una máscara de red /32 para garantizar que esté autorizada solamente la instancia de procesamiento específica.

• Sugerencia 3. No puedes conectarte directamente a un clúster privado de Kubernetes Engine desde una VPC o desde otra red fuera de la VPC donde se implementó el clúster privado si se especificó la opción enable-private-endpoint. Esta es la opción de mayor seguridad de un clúster privado. Debes usar un jumphost, o un proxy que se encuentre en la misma VPC que el clúster, para conectarte a la dirección IP de administración interna del clúster.

¡Felicitaciones!

En este lab, configuraste un nuevo clúster privado de Kubernetes Engine que se configuró para usar una cuenta de servicio dedicada con los privilegios mínimos necesarios para ejecutar el clúster. También creaste un rol de IAM personalizado que proporciona los permisos necesarios para crear y actualizar objetos de almacenamiento en buckets de Google Cloud Storage y vincular ese rol a la cuenta de servicio que usa el clúster. También validaste que el clúster esté funcionando correctamente. Para ello, implementaste una aplicación simple en el clúster para probar que el acceso de administración al clúster con la herramienta kubectl funcione desde la instancia de procesamiento orca-jumphost.

Obtén tu próxima insignia de habilidad

Este lab de autoaprendizaje forma parte de la insignia de habilidad Implement Cloud Security Fundamentals on Google Cloud. Si completas esta insignia de habilidad, obtendrás la insignia que se muestra arriba como reconocimiento de tu logro. Comparte la insignia en tu currículum y tus plataformas sociales, y anuncia tu logro con el hashtag #GoogleCloudBadge.

Esta insignia de habilidad forma parte de la ruta de aprendizaje Cloud Security Engineer de Google Cloud. Si ya conseguiste las otras insignias de habilidad de esta ruta de aprendizaje, revisa el catálogo y encuentra otras insignias de habilidad que puedes obtener.

Capacitación y certificación de Google Cloud

Recibe la formación que necesitas para aprovechar al máximo las tecnologías de Google Cloud. Nuestras clases incluyen habilidades técnicas y recomendaciones para ayudarte a avanzar rápidamente y a seguir aprendiendo. Para que puedas realizar nuestros cursos cuando más te convenga, ofrecemos distintos tipos de capacitación de nivel básico a avanzado: a pedido, presenciales y virtuales. Las certificaciones te ayudan a validar y demostrar tus habilidades y tu conocimiento técnico respecto a las tecnologías de Google Cloud.

Última actualización del manual: 25 de marzo de 2024

Prueba más reciente del lab: 4 de diciembre de 2023

Copyright 2024 Google LLC. All rights reserved. Google y el logotipo de Google son marcas de Google LLC. Los demás nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que estén asociados.