GSP342

Présentation

Dans un atelier challenge, vous devez suivre un scénario et effectuer une série de tâches. Aucune instruction détaillée n'est fournie : vous devez utiliser les compétences acquises au cours des ateliers de la quête correspondante pour déterminer comment procéder par vous-même. Vous saurez si vous avez exécuté correctement les différentes tâches grâce au score calculé automatiquement (affiché sur cette page).

Lorsque vous participez à un atelier challenge, vous n'étudiez pas de nouveaux concepts Google Cloud. Vous allez approfondir les compétences précédemment acquises. Par exemple, vous devrez modifier les valeurs par défaut ou encore examiner des messages d'erreur pour corriger vous-même les problèmes.

Pour atteindre le score de 100 %, vous devez mener à bien l'ensemble des tâches dans le délai imparti.

Cet atelier est recommandé aux participants inscrits au cours Implement Cloud Security Fundamentals on Google Cloud et qui veulent obtenir le badge de compétence associé. Êtes-vous prêt pour le challenge ?

Compétences évaluées

• Créer un rôle de sécurité personnalisé
• Créer un compte de service
• Lier des rôles de sécurité IAM à un compte de service
• Créer un cluster Kubernetes Engine privé dans un sous-réseau personnalisé
• Déployer une application dans le cluster Kubernetes Engine privé

Préparation

Avant de cliquer sur le bouton "Démarrer l'atelier"

Lisez ces instructions. Les ateliers sont minutés, et vous ne pouvez pas les mettre en pause. Le minuteur, qui démarre lorsque vous cliquez sur Démarrer l'atelier, indique combien de temps les ressources Google Cloud resteront accessibles.

Cet atelier pratique vous permet de suivre vous-même les activités dans un véritable environnement cloud, et non dans un environnement de simulation ou de démonstration. Nous vous fournissons des identifiants temporaires pour vous connecter à Google Cloud le temps de l'atelier.

Pour réaliser cet atelier :

• vous devez avoir accès à un navigateur Internet standard (nous vous recommandons d'utiliser Chrome) ;

Remarque : Ouvrez une fenêtre de navigateur en mode incognito/navigation privée pour effectuer cet atelier. Vous éviterez ainsi les conflits entre votre compte personnel et le temporaire étudiant, qui pourraient entraîner des frais supplémentaires facturés sur votre compte personnel.

• vous disposez d'un temps limité ; une fois l'atelier commencé, vous ne pouvez pas le mettre en pause.

Remarque : Si vous possédez déjà votre propre compte ou projet Google Cloud, veillez à ne pas l'utiliser pour réaliser cet atelier afin d'éviter que des frais supplémentaires ne vous soient facturés.

Scénario du challenge

Vous venez de décrocher un poste en tant que membre junior de l'équipe de sécurité Orca dans la société Jooli Inc. Votre équipe est chargée d'assurer la sécurité de l'infrastructure et des services cloud dont dépendent les applications de l'entreprise.

Vous êtes censé disposer des compétences et connaissances requises pour ces tâches. Ne vous attendez donc pas à recevoir des instructions détaillées.

Votre challenge

Vous devez déployer, configurer et tester un nouveau cluster Kubernetes Engine qui sera utilisé par l'équipe de développement Orca pour développer des applications et tester le pipeline.

Vous devez veiller à créer ce cluster dans le respect des normes de sécurité les plus récentes de l'organisation, à savoir :

• Le cluster doit être déployé à l'aide d'un compte de service dédié configuré avec les moindres privilèges requis.
• Le cluster doit être déployé sous la forme d'un cluster Kubernetes Engine privé, avec le point de terminaison public désactivé, et le réseau principal autorisé doit être défini de manière à inclure uniquement l'adresse IP du jumphost de gestion du groupe Orca.
• Le cluster Kubernetes Engine privé doit être déployé sur le sous-réseau orca-build-subnet du VPC de développement d'Orca.

Dans un projet précédent, vous avez appris que les autorisations minimales requises pour le compte de service associé à un cluster Kubernetes Engine sont couvertes par les trois rôles prédéfinis suivants :

• roles/monitoring.viewer
• roles/monitoring.metricWriter
• roles/logging.logWriter

Ces rôles sont spécifiés dans le guide "Renforcer la sécurité d'un cluster" de Google Kubernetes Engine (GKE), dans la section Utiliser le principe du moindre privilège pour les comptes de service Google.

Vous devez lier les rôles ci-dessus au compte de service utilisé par le cluster, ainsi qu'un rôle personnalisé que vous devez créer afin de fournir un accès à tout autre service spécifié par l'équipe de développement. Vous savez déjà que, pour les besoins de l'équipe de développement, le compte de service utilisé par le cluster doit disposer des autorisations permettant d'ajouter et de mettre à jour des objets dans les buckets Google Cloud Storage. Pour ce faire, vous devrez créer un rôle IAM personnalisé doté des autorisations suivantes :

• storage.buckets.get
• storage.objects.get
• storage.objects.list
• storage.objects.update
• storage.objects.create

Une fois le cluster privé créé, vous devez vérifier qu'il est correctement configuré en vous y connectant depuis le jumphost orca-jumphost dans le sous-réseau de gestion orca-mgmt-subnet. Cette instance de calcul ne se trouvant pas dans le même sous-réseau que le cluster privé, vous devez vous assurer que les réseaux principaux autorisés pour le cluster incluent bien l'adresse IP interne de l'instance. Vous devez également spécifier l'option --internal-ip lorsque vous récupérez les identifiants du cluster via la commande gcloud container clusters get-credentials.

Tous les objets et services cloud que vous créez doivent inclure le préfixe "orca-".

Votre dernière tâche consistera à tester le bon fonctionnement du cluster en y déployant une application simple. Vous pourrez ainsi vérifier que vous êtes bien autorisé à gérer le cluster via l'outil kubectl depuis l'instance de calcul orca-jumphost.

Pour toutes les tâches de cet atelier, utilisez la région et la zone .

Tâche 1 : Créer un rôle de sécurité personnalisé

Votre première tâche consiste à créer un rôle de sécurité IAM personnalisé nommé , qui fournira au bucket et à l'objet Google Cloud Storage les autorisations requises pour créer et modifier les objets de stockage.

Vérifier qu'un rôle de sécurité personnalisé a bien été créé

Tâche 2 : Créer un compte de service

Dans la deuxième tâche, vous allez créer le compte de service dédié à votre nouveau cluster privé. Vous devez le nommer .

Vérifier que le compte de service a bien été créé

Tâche 3 : Lier un rôle de sécurité personnalisé à un compte de service

Vous devez maintenant lier les rôles de journalisation et de surveillance Cloud Operations requis pour les comptes de service du cluster Kubernetes Engine, ainsi que le rôle IAM personnalisé que vous avez créé pour les autorisations de stockage, au compte de service que vous avez créé précédemment.

Vérifier que les rôles de sécurité prédéfinis et personnalisés appropriés ont bien été liés au nouveau compte de service

Tâche 4 : Créer et configurer un cluster Kubernetes Engine privé

Vous devez maintenant utiliser le compte de service que vous avez configuré pour créer un cluster Kubernetes Engine privé. La configuration du nouveau cluster doit inclure ce qui suit :

• Il doit être nommé .
• Il doit être déployé sur le sous-réseau orca-build-subnet.
• Il doit être configuré de manière à utiliser le compte de service .
• Les options enable-master-authorized-networks, enable-ip-alias, enable-private-nodes et enable-private-endpoint doivent être activées pour le cluster privé.

Une fois le cluster configuré, vous devez ajouter l'adresse IP interne associée à l'instance de calcul orca-jumphost à la liste des réseaux principaux autorisés.

Vérifier que le cluster Kubernetes Engine privé a été correctement déployé

Tâche 5 : Déployer une application dans le cluster Kubernetes Engine privé

Il existe une application de test simple que vous pouvez déployer dans n'importe quel cluster afin de vérifier rapidement que les fonctionnalités de déploiement de conteneur de base sont opérationnelles, et que vous pouvez créer les services de base et y accéder. Vous devez configurer l'environnement de manière à pouvoir déployer cette démo simple dans le nouveau cluster à l'aide du jumphost orca-jumphost.

Remarque : Assurez-vous d'installer correctement gke-gcloud-auth-plugin avant d'exécuter des commandes kubectl. Cette opération est détaillée plus bas dans Astuce 1. kubectl create deployment hello-server --image=gcr.io/google-samples/hello-app:1.0

Cette commande déploie une application configurée pour écouter sur le port 8080 et pouvant être exposée à des fins de test via un service d'équilibrage de charge de base.

Vérifier qu'une application a bien été déployée dans le cluster Kubernetes Engine privé

Conseils et astuces

• Astuce 1. Assurez-vous d'utiliser gke-gcloud-auth-plugin, qui est nécessaire pour se servir de kubectl. Vous pouvez l'installer en exécutant les commandes ci-dessous. Veillez à remplacer la zone et le nom de votre cluster GKE, ainsi que l'ID de votre projet.

sudo apt-get install google-cloud-sdk-gke-gcloud-auth-plugin echo "export USE_GKE_GCLOUD_AUTH_PLUGIN=True" >> ~/.bashrc source ~/.bashrc gcloud container clusters get-credentials <your cluster name> --internal-ip --project=<project ID> --zone <cluster zone>

• Astuce 2. Lorsque vous ajoutez l'adresse IP interne de la machine orca-jumphost à la liste d'adresses autorisées pour le cluster Kubernetes Engine privé, vous devez utiliser un masque de réseau /32 afin d'autoriser uniquement l'instance de calcul requise.

• Astuce 3. Vous ne pouvez pas vous connecter directement à un cluster Kubernetes Engine privé depuis un VPC ou tout autre réseau situé en dehors du VPC dans lequel le cluster privé a été déployé si l'option enable-private-endpoint a été spécifiée. Il s'agit de l'option de sécurité la plus élevée pour un cluster privé, et vous devez utiliser un jumphost, ou un proxy dans le même VPC que le cluster, pour vous connecter à l'adresse IP interne du cluster.

Félicitations !

Dans cet atelier, vous avez configuré un nouveau cluster Kubernetes Engine privé de sorte qu'il utilise un compte de service dédié avec les moindres privilèges requis pour assurer son bon fonctionnement. Vous avez également créé un rôle IAM personnalisé qui fournit les autorisations nécessaires pour créer et modifier les objets de stockage dans les buckets Google Cloud Storage, et lié ce rôle au compte de service utilisé par le cluster. Enfin, vous avez vérifié que le cluster fonctionne correctement en y déployant une application simple. Vous avez ainsi pu vérifier que vous étiez bien autorisé à gérer le cluster via l'outil kubectl depuis l'instance de calcul orca-jumphost.

Gagnez un badge de compétence

Cet atelier d'auto-formation est associé au badge de compétence du cours Implement Cloud Security Fundamentals on Google Cloud. Si vous terminez ce cours, vous obtiendrez le badge de compétence ci-dessus attestant de votre réussite. Ajoutez votre badge à votre CV et partagez-le sur les réseaux sociaux en utilisant le hashtag #GoogleCloudBadge.

Ce badge de compétence est associé au parcours de formation Cloud Security Engineer de Google Cloud. Si vous avez déjà terminé les autres cours de ce parcours de formation, explorez le catalogue pour découvrir d'autres cours auxquels vous pouvez vous inscrire pour gagner un badge de compétence.

Formations et certifications Google Cloud

Les formations et certifications Google Cloud vous aident à tirer pleinement parti des technologies Google Cloud. Nos cours portent sur les compétences techniques et les bonnes pratiques à suivre pour être rapidement opérationnel et poursuivre votre apprentissage. Nous proposons des formations pour tous les niveaux, à la demande, en salle et à distance, pour nous adapter aux emplois du temps de chacun. Les certifications vous permettent de valider et de démontrer vos compétences et votre expérience en matière de technologies Google Cloud.

Dernière mise à jour du manuel : 25 mars 2024

Dernier test de l'atelier : 4 décembre 2023

Copyright 2024 Google LLC Tous droits réservés. Google et le logo Google sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits peuvent être des marques des entreprises auxquelles ils sont associés.