GCP - Compute Instances
Informazioni di Base
Le Istampe di Calcolo di Google Cloud sono macchine virtuali personalizzabili sull'infrastruttura cloud di Google, offrendo potenza di calcolo scalabile e on-demand per una vasta gamma di applicazioni. Forniscono funzionalità come distribuzione globale, archiviazione persistente, scelta flessibile del sistema operativo e integrazioni di rete e sicurezza avanzate, rendendole una scelta versatile per ospitare siti web, elaborare dati ed eseguire applicazioni in modo efficiente nel cloud.
VM Confidenziali
Le VM Confidenziali utilizzano funzionalità di sicurezza basate sull'hardware offerte dalla generazione più recente di processori AMD EPYC, che includono crittografia della memoria e virtualizzazione crittografata sicura. Queste funzionalità consentono alla VM di proteggere i dati elaborati e memorizzati al suo interno persino dal sistema operativo host e dall'ipervisore.
Per eseguire una VM Confidenziale potrebbe essere necessario modificare cose come il tipo della macchina, l'interfaccia di rete, l'immagine del disco di avvio.
Disco e Crittografia del Disco
È possibile selezionare il disco da utilizzare o creare un nuovo disco. Se si seleziona un nuovo disco è possibile:
Selezionare la dimensione del disco
Selezionare il SO
Indicare se si desidera eliminare il disco quando l'istanza viene eliminata
Crittografia: Per default verrà utilizzata una chiave gestita da Google, ma è anche possibile selezionare una chiave da KMS o indicare una chiave grezza da utilizzare.
Distribuire un Contenitore
È possibile distribuire un contenitore all'interno della macchina virtuale. È possibile configurare l'immagine da utilizzare, impostare il comando da eseguire all'interno, argomenti, montare un volume e variabili d'ambiente (informazioni sensibili?) e configurare diverse opzioni per questo contenitore come eseguire come privilegiato, stdin e pseudo TTY.
Account del Servizio
Per default verrà utilizzato l'account del servizio predefinito di Compute Engine. L'email di questo SA è simile a: <proj-num>-compute@developer.gserviceaccount.com
Questo account del servizio ha il ruolo di Editore sull'intero progetto (alti privilegi).
E gli ambiti di accesso predefiniti sono i seguenti:
https://www.googleapis.com/auth/devstorage.read_only -- Accesso in lettura ai bucket :)
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append
Tuttavia, è possibile concedere cloud-platform
con un clic o specificare personalizzati.
Firewall
È possibile consentire il traffico HTTP e HTTPS.
Rete
Inoltro IP: È possibile abilitare l'inoltro IP dalla creazione dell'istanza.
Nome host: È possibile assegnare all'istanza un nome host permanente.
Interfaccia: È possibile aggiungere un'interfaccia di rete
Sicurezza Aggiuntiva
Queste opzioni aumenteranno la sicurezza della VM e sono raccomandate:
Avvio sicuro: L'avvio sicuro aiuta a proteggere le istanze VM contro malware a livello di avvio e rootkit a livello di kernel.
Abilita vTPM: Il modulo di piattaforma fidata virtuale (vTPM) convalida l'integrità del pre-avvio e dell'avvio della tua VM guest e offre generazione e protezione delle chiavi.
Supervisione dell'integrità: Il monitoraggio dell'integrità consente di monitorare e verificare l'integrità dell'avvio in esecuzione delle istanze VM protette utilizzando i report di Stackdriver. Richiede che vTPM sia abilitato.
Accesso alla VM
Il modo comune per abilitare l'accesso alla VM è consentire a determinate chiavi pubbliche SSH di accedere alla VM.
Tuttavia, è anche possibile abilitare l'accesso alla VM tramite il servizio os-config
utilizzando IAM. Inoltre, è possibile abilitare l'autenticazione a due fattori per accedere alla VM utilizzando questo servizio.
Quando questo servizio è abilitato, l'accesso tramite chiavi SSH è disabilitato.
Metadati
È possibile definire automazioni (userdata in AWS) che sono comandi shell che verranno eseguiti ogni volta che la macchina si accende o si riavvia.
È anche possibile aggiungere valori chiave-valore di metadati aggiuntivi che saranno accessibili dal punto finale dei metadati. Queste informazioni sono comunemente utilizzate per variabili d'ambiente e script di avvio/arresto. Questo può essere ottenuto utilizzando il metodo describe
da un comando nella sezione di enumerazione, ma potrebbe anche essere recuperato dall'interno dell'istanza accedendo al punto finale dei metadati.
Inoltre, il token di autenticazione per il service account allegato e informazioni generali sull'istanza, sulla rete e sul progetto saranno disponibili anche dal punto di accesso dei metadati. Per ulteriori informazioni controlla:
Crittografia
Viene utilizzata una chiave di crittografia gestita da Google per impostazione predefinita, ma è possibile configurare una chiave di crittografia gestita dal cliente (CMEK). È inoltre possibile configurare cosa fare quando la CMEF utilizzata viene revocata: Niente o spegnere la VM.
Last updated