Pokud ke spouštění aplikací používáte Google Compute Engine, možná budete chtít povolit konkrétním uživatelům přístup k vašim instancím prostřednictvím SSH. Do vaší výpočetní instance Google musíte přidat autorizovaný klíč.
Tento článek vás provede kroky potřebnými k přidání autorizovaného klíče do vaší výpočetní instance Google.
Google Compute Engine je výkonná platforma cloud computingu, která vám umožňuje spouštět vaše aplikace na virtuálních počítačích (VM).
Instance virtuálních počítačů jsou předkonfigurované šablony, které vám umožňují rychle vytvářet a spouštět instance.
Své instance můžete konfigurovat a spravovat pomocí konzole Google Cloud nebo rozhraní příkazového řádku.
Obsah
Nastavení vašeho autorizovaného klíče:
Nyní, když jste vygenerovali pár klíčů SSH, musíte přidat svůj veřejný klíč do instance Google Compute Engine.
To vám umožní připojit k instanci pomocí vašeho soukromého klíče.
Existuje několik způsobů, jak toho dosáhnout, ale my použijeme konzolu Google Cloud Platform Console. Pokud jste tak ještě neučinili, přejděte prosím na Google Cloud Console a vytvořit projekt.
Jakmile je váš projekt vytvořen, vyberte Compute Engine z nabídky vlevo a poté klikněte na Metadata. V horní části stránky vyberte z rozevírací nabídky Klíče SSH a poté klikněte na Přidat položku.
Do vyskakovacího pole zadejte název klíče a vložte svůj veřejný klíč do pole hodnoty. Ke své e-mailové adrese uveďte předponu ssh-rsa a komentář na konci. Až budete hotovi, klikněte na Přidat.
Nyní byste měli vidět svůj nový klíč SSH uvedený v části Klíče SSH. Můžete přidat klíče opakováním těchto kroků nebo upravit/smazat stávající klíče kliknutím na příslušná tlačítka vedle každé položky.
Správa klíčů SSH pomocí rozhraní Metadata API
Ke správě klíčů SSH pro Google Compute Engine můžete použít Metadata API. Metadata API vám umožňuje přidávat, odebírat a vypisovat klíče SSH pro instance vašeho projektu.
Můžete také použít Metadata API k určení, které klíče SSH by se měly použít pro konkrétní instanci.
Přidání autorizovaného klíče:
Chcete-li přidat autorizovaný klíč, budete muset v požadavku zadat následující hodnoty:
- Název instance, kam chcete přidat klíč SSH.
- Veřejný klíč, který chcete přidat. Mělo by to být ve standardním formátu ssh-rsa.
- Otisk veřejného klíče. To lze vygenerovat pomocí příkazu ssh-keygen.
Odebrání autorizovaného klíče:
Chcete-li odebrat autorizovaný klíč, budete muset v požadavku zadat následující hodnoty:
- Název instance, kde chcete odstranit klíč SSH.
- Veřejný klíč, který chcete odebrat. Mělo by to být ve standardním formátu ssh-rsa.
- Otisk veřejného klíče. To lze vygenerovat pomocí nástroje příkazového řádku ssh-keygen.
Vytvoření páru klíčů
Google Compute Engine používá k šifrování a dešifrování přihlašovacích údajů kryptografii s veřejným klíčem.
Váš soukromý klíč je uložen na vašem místním počítači a měl by být uchováván v bezpečí. Váš veřejný klíč se nahraje do Google Compute Engine a použije se k ověření vašeho přihlášení.
K vygenerování páru klíčů budete muset použít nástroj, jako je ssh-keygen. Tím se vytvoří pár soukromého a veřejného klíče, který se nahraje do Google Compute Engine.
Při vytváření páru klíčů je nezbytné použít silnou přístupovou frázi. Silná přístupová fráze je náročná na uhodnutí nebo hrubá síla.
Kombinace velkých a malých písmen, číslic a symbolů je vynikající způsob, jak vytvořit silnou přístupovou frázi.
Jakmile vygenerujete svůj pár klíčů, musíte nahrát veřejnou kritickou část do Google Compute Engine.
Můžete se přihlásit do konzoly Google Cloud Platform Console a navštívit stránku Instance VM.
Odtud vyberte instanci, pro kterou chcete přidat autorizovaný klíč, a klikněte na tlačítko Upravit. V části Autorizované klíče vložte svůj veřejný klíč a klikněte na Uložit.
Nastavení Keystone a SSH Keyring
Před přidáním autorizovaného klíče do instance Google Compute Engine musíte nastavit keystone a klíčenku SSH. Zde je postup:
- Vytvořte nový soubor s názvem „základní kámen“ ve vašem domovském adresáři. $ touch ~/keystone
- Přidejte do souboru následující řádky a nahraďte „a“ příslušnými hodnotami pro váš účet: [auth]
uživatelské jméno =
název_projektu = - Uložte a zavřete soubor.
- Vytvořte nový pár klíčů SSH pomocí ssh-keygen: $ ssh-keygen -t rsa -f ~/.ssh/ -C @
- Po zobrazení výzvy zadejte přístupové heslo. Ten bude použit k zašifrování vašeho soukromého klíče; ujistěte se, že jste zvolili silnou přístupovou frázi, na kterou nezapomenete! $ zadejte přístupové heslo: *
potvrdit přístupové heslo: * - Dále přidáme náš nově vygenerovaný veřejný klíč do instance Google Compute Engine. Přihlaste se do konzole GCE, vyberte projekt obsahující vaši instanci a klikněte na „Vypočítat“. Poté klikněte na „Sítě“ a poté na „Klíče SSH.“ Klikněte na „Přidejte klíč SSH" knoflík.
- V "název” zadejte zapamatovatelný název klíče. V "Veřejný klíč“, zadejte obsah svého veřejného klíče (nachází se na adrese ~/.ssh/id_rsa.pub) a klikněte na „Přidat.”
- Nakonec uložte svazek klíčů SSH pomocí ssh-add: $ ssh-add ~/.ssh/
Ověření veřejného klíče
Za předpokladu, že jste vygenerovali pár veřejného/soukromého klíče, je dalším krokem ověření veřejného klíče. Existují dva hlavní způsoby, jak to udělat:
- Ručně zkontrolujte otisk SSH: Když se připojíte k serveru poprvé, zobrazí se vám otisk SSH. Porovnejte tento otisk s otiskem uvedeným na webu serveru nebo v jeho dokumentaci. Pokud se shodují, můžete si být jisti, že se připojujete ke správnému serveru.
- Použijte souborknown_hosts: Souborknown_hosts obsahuje seznam všech serverů, ke kterým jste se dříve připojili. Když se připojíte k novému serveru, jeho otisk bude porovnán s otisky prstů ve vašem souboru známých_hostitelů. Pokud dojde ke shodě, můžete se připojit bez varování. Pokud se nenajde žádná shoda, obdržíte varování a budete mít možnost pokračovat nebo zrušit spojení.
Jak přidat autorizovaný klíč do výpočetní instance Google
Chcete-li přidat autorizovaný klíč do své výpočetní instance Google, musíte provést následující kroky:
- Přihlaste se do konzole Google Cloud a přejděte na stránku instancí virtuálních počítačů.
- Vyberte instanci, ke které chcete přidat autorizovaný klíč, a klikněte na tlačítko „Upravit“.
- Přejděte do části „Klíče SSH“ a klikněte na tlačítko „Přidat položku“.
- Do textového pole vložte veřejný klíč, který chcete přidat.
- Kliknutím na tlačítko „Uložit“ změny uložíte.
A je to! Nyní jste do své výpočetní instance Google přidali autorizovaný klíč, který můžete použít k přihlášení přes SSH.
Stojí za zmínku, že klíče SSH se skládají z veřejných a soukromých klíčů. Veřejný klíč je přidán do vaší výpočetní instance Google, zatímco soukromý klíč je uložen na vašem místním počítači.
Když se přihlásíte přes SSH, váš místní počítač použije soukromý klíč k ověření pomocí veřejného klíče na instanci.
Chcete-li vytvořit klíč SSH, můžete na místním počítači použít příkaz ssh-keygen. Tím se vygeneruje pár veřejného/soukromého klíče, který můžete použít k ověření pomocí výpočetní instance Google.
Kromě přidání autorizovaného klíče do instance můžete prohlížet a spravovat metadata instance z konzoly Google Cloud.
Metadata instance jsou sbírkou informací o vaší instanci, které jsou k dispozici aplikacím spuštěným na instanci.
Chcete-li zobrazit metadata instance, můžete v cloudové konzoli použít následující příkaz:
curl "http://metadata.google.internal/computeMetadata/v1/instance/?recursive=true" -H "Metadata-Flavor: Google"
Zobrazí se seznam všech metadat spojených s vaší instancí.
Pokud chcete, aby byl váš klíč SSH celoprojektový, přidejte jej do sekce „Metadata“ vašeho projektu. To vám umožní používat stejný klíč SSH ve všech instancích ve vašem projektu.
Závěr:
Závěrem lze říci, že přidání autorizovaného klíče do vaší výpočetní instance Google je jednoduché.
Podle kroků uvedených v tomto článku můžete rychle přidat klíč SSH do své instance a umožnit konkrétním uživatelům k němu přístup.
Nezapomeňte uchovat svůj soukromý klíč v bezpečí a podle potřeby nakonfigurovat metadata instance. S ohledem na tyto osvědčené postupy můžete s jistotou využívat výhod Google Compute Engine.
