GCP - Compute Instances

Basic Information

Google Cloud Compute Instances είναι προσαρμόσιμες εικονικές μηχανές στην υποδομή cloud της Google, προσφέροντας κλιμακούμενη και κατά παραγγελία υπολογιστική ισχύ για μια ευρεία γκάμα εφαρμογών. Παρέχουν δυνατότητες όπως παγκόσμια ανάπτυξη, μόνιμη αποθήκευση, ευέλικτες επιλογές λειτουργικού συστήματος και ισχυρές ενσωματώσεις δικτύωσης και ασφάλειας, καθιστώντας τις μια ευέλικτη επιλογή για φιλοξενία ιστοσελίδων, επεξεργασία δεδομένων και εκτέλεση εφαρμογών αποτελεσματικά στο cloud.

Confidential VM

Confidential VMs χρησιμοποιούν χαρακτηριστικά ασφάλειας βασισμένα σε υλικό που προσφέρονται από την τελευταία γενιά επεξεργαστών AMD EPYC, τα οποία περιλαμβάνουν κρυπτογράφηση μνήμης και ασφαλή κρυπτογραφημένη εικονικοποίηση. Αυτά τα χαρακτηριστικά επιτρέπουν στη VM να προστατεύει τα δεδομένα που επεξεργάζονται και αποθηκεύονται εντός της από το ίδιο το λειτουργικό σύστημα και τον hypervisor.

Για να εκτελέσετε μια Confidential VM μπορεί να χρειαστεί να αλλάξετε πράγματα όπως τον τύπο της μηχανής, το δίκτυο interface, την εικόνα εκκίνησης δίσκου.

Disk & Disk Encryption

Είναι δυνατή η επιλογή του δίσκου που θα χρησιμοποιηθεί ή η δημιουργία ενός νέου. Αν επιλέξετε έναν νέο μπορείτε να:

• Επιλέξετε το μέγεθος του δίσκου

• Επιλέξετε το OS

• Υποδείξετε αν θέλετε να διαγραφεί ο δίσκος όταν διαγραφεί η μηχανή

• Κρυπτογράφηση: Από προεπιλογή θα χρησιμοποιηθεί ένα Google managed key, αλλά μπορείτε επίσης να επιλέξετε ένα κλειδί από το KMS ή να υποδείξετε raw key για χρήση.

Deploy Container

Είναι δυνατή η ανάπτυξη ενός container μέσα στην εικονική μηχανή. Είναι δυνατή η ρύθμιση της εικόνας που θα χρησιμοποιηθεί, η ρύθμιση της εντολής που θα εκτελείται μέσα, παραμέτρων, η προσάρτηση ενός τόμου, και env variables (ευαίσθητες πληροφορίες;) και η ρύθμιση διαφόρων επιλογών για αυτό το container όπως εκτέλεση ως privileged, stdin και pseudo TTY.

Service Account

Από προεπιλογή, θα χρησιμοποιηθεί ο προεπιλεγμένος λογαριασμός υπηρεσίας Compute Engine. Το email αυτού του SA είναι όπως: <proj-num>-compute@developer.gserviceaccount.com Αυτός ο λογαριασμός υπηρεσίας έχει ρόλο Editor σε ολόκληρο το έργο (υψηλά προνόμια).

Και οι προεπιλεγμένες περιοχές πρόσβασης είναι οι εξής:

• https://www.googleapis.com/auth/devstorage.read_only -- Πρόσβαση ανάγνωσης σε buckets :)

• https://www.googleapis.com/auth/logging.write

• https://www.googleapis.com/auth/monitoring.write

• https://www.googleapis.com/auth/servicecontrol

• https://www.googleapis.com/auth/service.management.readonly

• https://www.googleapis.com/auth/trace.append

Ωστόσο, είναι δυνατή η χορήγηση του cloud-platform με ένα κλικ ή η καθορισμός προσαρμοσμένων.

Firewall

Είναι δυνατή η επιτρεπόμενη κυκλοφορία HTTP και HTTPS.

Networking

• IP Forwarding: Είναι δυνατή η ενεργοποίηση IP forwarding από τη δημιουργία της μηχανής.

• Hostname: Είναι δυνατή η παροχή μόνιμου hostname στη μηχανή.

• Interface: Είναι δυνατή η προσθήκη ενός δικτυακού interface

Extra Security

Αυτές οι επιλογές θα αυξήσουν την ασφάλεια της VM και συνιστώνται:

• Secure boot: Το Secure boot βοηθά στην προστασία των VM instances σας από κακόβουλο λογισμικό και rootkits σε επίπεδο εκκίνησης και πυρήνα.

• Enable vTPM: Το Virtual Trusted Platform Module (vTPM) επικυρώνει την ακεραιότητα εκκίνησης και προεκκίνησης της VM σας και προσφέρει δημιουργία και προστασία κλειδιών.

• Integrity supervision: Η παρακολούθηση ακεραιότητας σας επιτρέπει να παρακολουθείτε και να επαληθεύετε την ακεραιότητα εκκίνησης των shielded VM instances σας χρησιμοποιώντας αναφορές Stackdriver. Απαιτείται η ενεργοποίηση του vTPM.

VM Access

Ο κοινός τρόπος για να επιτρέψετε την πρόσβαση στη VM είναι με την έγκριση ορισμένων δημόσιων κλειδιών SSH για πρόσβαση στη VM. Ωστόσο, είναι επίσης δυνατή η ενεργοποίηση της πρόσβασης στη VM μέσω της υπηρεσίας os-config χρησιμοποιώντας IAM. Επιπλέον, είναι δυνατή η ενεργοποίηση 2FA για πρόσβαση στη VM χρησιμοποιώντας αυτή την υπηρεσία. Όταν αυτή η υπηρεσία είναι ενεργοποιημένη, η πρόσβαση μέσω SSH κλειδιών είναι απενεργοποιημένη.

Metadata

Είναι δυνατή η καθορισμός αυτοματοποίησης (userdata στο AWS) που είναι εντολές shell που θα εκτελούνται κάθε φορά που η μηχανή ενεργοποιείται ή επανεκκινείται.

Είναι επίσης δυνατή η προσθήκη επιπλέον μεταδεδομένων κλειδιών-τιμών που θα είναι προσβάσιμα από το endpoint μεταδεδομένων. Αυτές οι πληροφορίες χρησιμοποιούνται συνήθως για μεταβλητές περιβάλλοντος και σενάρια εκκίνησης/τερματισμού. Αυτό μπορεί να αποκτηθεί χρησιμοποιώντας τη μέθοδο describe από μια εντολή στην ενότητα αρίθμησης, αλλά μπορεί επίσης να ανακτηθεί από το εσωτερικό της μηχανής προσβάλλοντας το endpoint μεταδεδομένων.

# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

# view instance metadata
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

Moreover, auth token for the attached service account and general info about the instance, network and project is also going to be available from the metadata endpoint. For more info check:

Κρυπτογράφηση

Ένα κλειδί κρυπτογράφησης που διαχειρίζεται η Google χρησιμοποιείται από προεπιλογή, αλλά μπορεί να ρυθμιστεί ένα κλειδί κρυπτογράφησης που διαχειρίζεται ο πελάτης (CMEK). Μπορείτε επίσης να ρυθμίσετε τι να κάνετε όταν ανακληθεί το χρησιμοποιούμενο CMEK: Να σημειώσετε ή να κλείσετε τη VM.