arrow_back

Configurare l'RDP sicuro utilizzando un bastion host Windows: Challenge Lab

Partecipa Accedi
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Configurare l'RDP sicuro utilizzando un bastion host Windows: Challenge Lab

Lab 1 ora universal_currency_alt 5 crediti show_chart Intermedio
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

GSP303

Laboratori autogestiti Google Cloud

Panoramica

In un Challenge Lab ti vengono presentati uno scenario e un insieme di attività. Anziché seguire le istruzioni dettagliate, utilizzerai le competenze apprese dai lab nella Quest per capire come completare le attività autonomamente. Tramite un sistema di valutazione automatico (visibile in questa pagina), riceverai un feedback che ti consentirà di capire se hai completato le attività in modo corretto.

Quando partecipi a un Challenge Lab non ricevi alcuna formazione sui concetti di Google Cloud. Dovrai estendere le competenze che hai appreso, ad esempio modificare i valori predefiniti e leggere ed esaminare i messaggi di errore per correggere i tuoi errori.

Per ottenere un punteggio del 100% devi completare tutte le attività correttamente nel tempo stabilito.

Questo lab è consigliato per gli studenti che si preparano all'esame di certificazione Utente certificato Google Cloud - Professional Cloud Architect. Accetti la sfida?

Scenario della sfida

La tua azienda ha deciso di eseguire il deployment di nuovi servizi applicativi nel cloud e il tuo compito è sviluppare un framework sicuro per la gestione dei servizi Windows di cui verrà eseguito il deployment. Dovrai creare un nuovo ambiente di rete VPC per i server Windows di produzione sicuri.

I server di produzione devono inizialmente essere completamente isolati dalle reti esterne e non è possibile accedervi direttamente da internet o connettevirsi direttamente. Per configurare e gestire il tuo primo server in questo ambiente, dovrai anche eseguire il deployment di un bastion host, o jump box, a cui è possibile accedere da internet utilizzando Microsoft Remote Desktop Protocol (RDP). Il bastion host deve essere accessibile da internet solo tramite RDP e deve essere in grado di comunicare con le altre istanze di computing all'interno della rete VPC solo tramite RDP.

La tua azienda dispone anche di un sistema di monitoraggio in esecuzione dalla rete VPC predefinita, quindi tutte le istanze di computing devono avere una seconda interfaccia di rete con una connessione solo interna alla rete VPC predefinita.

La sfida

Esegui il deployment del computer Windows sicuro che non è configurato per la comunicazione esterna all'interno di una nuova subnet VPC, quindi esegui il deployment di Microsoft Internet Information Server su quel computer sicuro. Ai fini di questo lab, il provisioning di tutte le risorse dovrebbe essere eseguito nella seguente regione e zona:

  • Regione:
  • Zona:

Attività

Le principali attività sono elencate di seguito. In bocca al lupo!

  • Creare una nuova rete VPC con una singola subnet.
  • Creare una regola firewall che consenta il traffico RDP esterno al sistema del bastion host.
  • Eseguire il deployment di due server Windows connessi sia alla rete VPC che alla rete predefinita.
  • Creare una macchina virtuale che punti allo script di avvio.
  • Configurare una regola firewall per consentire l'accesso HTTP alla macchina virtuale.

Attività 1: crea la rete VPC

  1. Crea una nuova rete VPC denominata securenetwork.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea la rete VPC.

  1. Crea una nuova subnet VPC all'interno di securenetwork nella regione .

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea la subnet VPC.

  1. Una volta configurate la rete e la subnet, configura una regola firewall che consenta il traffico RDP in entrata (porta TCP 3389) da internet al bastion host. Questa regola deve essere applicata all'host appropriato utilizzando i tag di rete.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea la regola firewall.

Attività 2: esegui il deployment delle tue istanze Windows e configura le password degli utenti

  1. Esegui il deployment di un'istanza del server Windows 2016 denominata vm-securehost con due interfacce di rete nella zona .
  2. Configura la prima interfaccia di rete con una connessione solo interna alla nuova subnet VPC e la seconda interfaccia di rete con una connessione solo interna alla rete VPC predefinita. Questo è il server sicuro.
  3. Installa una seconda istanza del server Windows 2016 denominata vm-bastionhost con due interfacce di rete nella zona .
  4. Configura la prima interfaccia di rete per connettersi alla nuova subnet VPC con un indirizzo pubblico temporaneo (NAT esterno) e la seconda interfaccia di rete con una connessione solo interna alla rete VPC predefinita. Questa è la jump box o bastion host.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea l'istanza vm-bastionhost.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea l'istanza vm-securehost.

Configura le password utente

  1. Dopo aver creato le istanze Windows, crea un account utente e reimposta le password di Windows per connetterti a ciascuna istanza.
  2. Il seguente comando gcloud crea un nuovo utente chiamato app-admin e reimposta la password per un host chiamato vm-bastionhost situato nella zona :
gcloud compute reset-windows-password vm-bastionhost --user app_admin --zone {{{ project_0.default_zone | "placeholder" }}}
  1. In alternativa, puoi forzare la reimpostazione della password dalla console Compute Engine. Dovrai ripetere l'operazione per il secondo host poiché le credenziali di accesso per quell'istanza saranno diverse.

Attività 3: connettiti all'host sicuro e configura Internet Information Server

Per connetterti all'host sicuro, dovrai prima eseguire l'RDP nel bastion host e da lì aprire una seconda sessione RDP per connetterti all'indirizzo di rete privata interna dell'host sicuro. È possibile connettere un'istanza Compute di Windows con un indirizzo esterno tramite RDP utilizzando il pulsante RDP visualizzato accanto alle istanze Compute di Windows nella relativa pagina di riepilogo.

Quando sei connesso a un server Windows, puoi avviare il client Microsoft RDP utilizzando il comando mstsc.exe oppure puoi cercare Remote Desktop Manager dal menu Start. Ciò ti consentirà di connetterti dal bastion host ad altre istanze di computing sullo stesso VPC anche se queste istanze non dispongono di una connessione internet diretta.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Configura il software del server web IIS.

Risoluzione dei problemi

  • Impossibile connettersi all'host Bastion: assicurati di tentare di connetterti all'indirizzo esterno del bastion host Se l'indirizzo è corretto potresti non essere in grado di connetterti al bastion host se la regola del firewall non è configurata correttamente per consentire il traffico della porta TCP 3389 (RDP) da internet o dall'indirizzo IP pubblico del tuo sistema all'interfaccia di rete sul bastion host che ha un indirizzo esterno. Infine, potresti riscontrare problemi di connessione tramite RDP se la tua rete non consente l'accesso agli indirizzi internet tramite RDP. Se tutto il resto è a posto, dovrai parlare con il proprietario della rete con cui hai eseguito la connessione a internet per aprire la porta 3389 o connetterti utilizzando una rete diversa.
  • Impossibile connettersi all'host sicuro dal bastion host: se riesci a connetterti correttamente al bastion host ma non riesci a stabilire la connessione RDP interna utilizzando l'applicazione Connessione desktop remoto di Microsoft, controlla che entrambe le istanze siano connesse alla stessa rete VPC.

Complimenti!

Complimenti! In questo lab hai configurato un ambiente server Windows sicuro utilizzando un bastion host e una rete VPC. Hai inoltre configurato una regola firewall per consentire l'accesso HTTP alla macchina virtuale ed eseguito il deployment di Microsoft Internet Information Server sul computer sicuro.

Formazione e certificazione Google Cloud

… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.

Ultimo aggiornamento del manuale: 09 febbraio 2024

Ultimo test del lab: 06 dicembre 2023

Copyright 2024 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.