arrow_back

VPC-Netzwerke – Zugriffskontrolle

Anmelden Teilnehmen
Zugriff auf über 700 Labs und Kurse nutzen

VPC-Netzwerke – Zugriffskontrolle

Lab 1 Stunde universal_currency_alt 5 Guthabenpunkte show_chart Mittelstufe
info Dieses Lab kann KI-Tools enthalten, die den Lernprozess unterstützen.
Zugriff auf über 700 Labs und Kurse nutzen

GSP213

Logo: Google Cloud-Labs zum selbstbestimmten Lernen

Übersicht

In der Praxis müssen sensible Daten geschützt und die ständige Verfügbarkeit Ihrer Webanwendungen sichergestellt sein. Hier sehen Sie, wie Sie mit einem Google Cloud VPC‑Netzwerk eine sichere, skalierbare und verwaltbare Webserver-Bereitstellung in Ihrer Google Cloud-Umgebung schaffen.

In diesem Lab erstellen Sie zwei nginx‑Webserver im standardmäßigen VPC‑Netzwerk und steuern den externen HTTP-Zugriff darauf mithilfe tagbasierter Firewallregeln. Anschließend lernen Sie IAM‑Rollen und Dienstkonten kennen.

  • Zwei Webserver sorgen für Redundanz; fällt ein Webserver aus, kann der andere den Webtraffic weiter verarbeiten und so Ausfallzeiten verhindern.
  • Mit tagbasierten Firewallregeln lässt sich genau steuern, welcher Traffic bestimmte Webserver erreichen darf.
  • Weisen Sie einem Dienstkonto die Berechtigung zum Ausführen von Aufgaben zu, um das Prinzip der geringsten Berechtigung einzuhalten und so Ihre Cloud-Ressourcen zu schützen.

Lernziele

Aufgaben in diesem Lab:

  • nginx‑Webserver in einem VPC‑Netzwerk erstellen
  • Tagbasierte Firewallregeln erstellen
  • Dienstkonto mit IAM-Rollen erstellen
  • Berechtigungen der Rollen „Network Admin“ und „Security Admin“ kennenlernen

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange Google Cloud-Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

  • Einen Standardbrowser (empfohlen wird Chrome)
Hinweis: Nutzen Sie den privaten oder Inkognitomodus (empfohlen), um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.
  • Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.
Hinweis: Verwenden Sie für dieses Lab nur das Teilnehmerkonto. Wenn Sie ein anderes Google Cloud-Konto verwenden, fallen dafür möglicherweise Kosten an.

Lab starten und bei der Google Cloud Console anmelden

  1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Dialogfeld geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich „Details zum Lab“ mit diesen Informationen:

    • Schaltfläche „Google Cloud Console öffnen“
    • Restzeit
    • Temporäre Anmeldedaten für das Lab
    • Ggf. weitere Informationen für dieses Lab

  2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

    Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite „Anmelden“ geöffnet.

    Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

    Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

  3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

    {{{user_0.username | "Username"}}}

    Sie finden den Nutzernamen auch im Bereich „Details zum Lab“.

  4. Klicken Sie auf Weiter.

  5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

    {{{user_0.password | "Password"}}}

    Sie finden das Passwort auch im Bereich „Details zum Lab“.

  6. Klicken Sie auf Weiter.

    Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

  7. Klicken Sie sich durch die nachfolgenden Seiten:

    • Akzeptieren Sie die Nutzungsbedingungen.
    • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
    • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie auf Google Cloud-Produkte und ‑Dienste zugreifen möchten, klicken Sie auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein. Symbol für das Navigationsmenü und Suchfeld

Cloud Shell aktivieren

Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

  1. Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren Symbol für Cloud Shell-Aktivierung.

  2. Klicken Sie sich durch die folgenden Fenster:

    • Fahren Sie mit dem Informationsfenster zu Cloud Shell fort.
    • Autorisieren Sie Cloud Shell, Ihre Anmeldedaten für Google Cloud API-Aufrufe zu verwenden.

Wenn eine Verbindung besteht, sind Sie bereits authentifiziert und das Projekt ist auf Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:

Ihr Cloud-Projekt in dieser Sitzung ist festgelegt als {{{project_0.project_id | "PROJECT_ID"}}}

gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.

  1. (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:
gcloud auth list
  1. Klicken Sie auf Autorisieren.

Ausgabe:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} Um das aktive Konto festzulegen, führen Sie diesen Befehl aus: $ gcloud config set account `ACCOUNT`
  1. (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:
gcloud config list project

Ausgabe:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Hinweis: Die vollständige Dokumentation für gcloud finden Sie in Google Cloud in der Übersicht zur gcloud CLI.

Aufgabe 1: Webserver erstellen

Im folgenden Abschnitt erstellen Sie zwei Webserver (blue und green) im standardmäßigen VPC‑Netzwerk. Dann installieren Sie nginx auf den Webservern und bearbeiten die Begrüßungsseite, damit Sie die Server unterscheiden können.

Server „blue“ erstellen

Erstellen Sie den Server blue mit einem Netzwerk-Tag.

  1. Öffnen Sie in der Cloud Console das Navigationsmenü (Symbol für Navigationsmenü) und klicken Sie dann auf Compute Engine > VM‑Instanzen.

  2. Klicken Sie auf Instanz erstellen, um eine neue Instanz zu erstellen.

  3. Wählen Sie in der Maschinenkonfiguration

    die folgenden Werte aus:

    Attribut Wert (Wert eingeben bzw. Option auswählen)
    Name blue
    Region
    Zone

    In der Compute Engine-Dokumentation finden Sie weitere Informationen zu den verfügbaren Regionen und Zonen.

  4. Klicken Sie auf Netzwerke.

    • Geben Sie in das Feld Netzwerk-Tags den String web-server ein.
    Hinweis: Netzwerke erkennen anhand von Netzwerk-Tags, für welche VM‑Instanzen bestimmte Firewallregeln und Netzwerkrouten gelten. Später in diesem Lab werden Sie eine Firewallregel für das Tag web-server erstellen, um VM‑Instanzen HTTP-Zugriff zu erteilen. Stattdessen können Sie das Kästchen neben HTTP-Traffic zulassen anklicken. Dadurch wird diese Instanz mit dem Tag http-server versehen und eine tagbasierte Firewallregel für tcp:80 erstellt.

  5. Klicken Sie auf Erstellen.

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Haben Sie die Aufgabe erfolgreich abgeschlossen, erhalten Sie ein Testergebnis.

Server „blue“ erstellen

Server „green“ erstellen

Erstellen Sie den Server green, ohne ihn mit einem Netzwerk-Tag zu versehen.

  1. Klicken Sie in der Console auf der Seite VM‑Instanzen auf Instanz erstellen.

  2. Wählen Sie in der Maschinenkonfiguration

    die folgenden Werte aus:

    Attribut Wert (Wert eingeben bzw. Option auswählen)
    Name green
    Region
    Zone

  3. Klicken Sie auf Erstellen.

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Haben Sie die Aufgabe erfolgreich abgeschlossen, erhalten Sie ein Testergebnis.

Server „green“ erstellen

nginx installieren und Begrüßungsseite anpassen

Installieren Sie nginx auf beiden VM‑Instanzen und passen Sie die Begrüßungsseite für den jeweiligen Server an.

  1. Klicken Sie im Dialogfeld VM‑Instanzen in der Zeile der Instanz blue auf SSH, um ein Terminal zu starten und eine Verbindung herzustellen.
Hinweis: Wenn die Verbindung zur VM mit dem Fehler SSH-Authentifizierung fehlgeschlagen fehlschlägt, klicken Sie auf Wiederholen, um die Verbindung wiederherzustellen.
  1. Führen Sie im SSH-Terminal für „blue“ den folgenden Befehl aus, um nginx zu installieren:
sudo apt‑get install nginx‑light ‑y
  1. Öffnen Sie die Begrüßungsseite im nano-Editor:
sudo nano /var/www/html/index.nginx-debian.html
  1. Ersetzen Sie die Zeile <h1>Welcome to nginx!</h1> durch <h1>Welcome to the blue server!</h1>.
  2. Drücken Sie Strg + O, Eingabetaste, Strg + X.
  3. Prüfen Sie, ob die Änderung erfolgreich war:
cat /var/www/html/index.nginx-debian.html

Die Ausgabe sollte Folgendes enthalten:

<h1>Welcome to the blue server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>
  1. Schließen Sie das SSH-Terminal für blue:
exit

Wiederholen Sie dieselben Schritte für den Server green:

  1. Klicken Sie in der Zeile von green auf SSH, um ein Terminal zu starten und eine Verbindung herzustellen.
  2. Installieren Sie nginx:
sudo apt‑get install nginx‑light ‑y
  1. Öffnen Sie die Begrüßungsseite im nano-Editor:
sudo nano /var/www/html/index.nginx-debian.html
  1. Ersetzen Sie die Zeile <h1>Welcome to nginx!</h1> durch <h1>Welcome to the green server!</h1>.
  2. Drücken Sie Strg + O, Eingabetaste, Strg + X.
  3. Prüfen Sie, ob die Änderung erfolgreich war:
cat /var/www/html/index.nginx-debian.html

Die Ausgabe sollte Folgendes enthalten:

<h1>Welcome to the green server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p>
  1. Schließen Sie das SSH‑Terminal für green:
exit

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Haben Sie die Aufgabe erfolgreich abgeschlossen, erhalten Sie ein Testergebnis.

nginx installieren und Begrüßungsseite anpassen

Aufgabe 2: Firewallregel erstellen

Erstellen Sie die tagbasierte Firewallregel und testen Sie die HTTP-Konnektivität.

Tagbasierte Firewallregel erstellen

Erstellen Sie eine Firewallregel, die für VM‑Instanzen mit dem Netzwerk-Tag web-server gilt.

  1. Öffnen Sie in der Cloud Console das Navigationsmenü (Symbol für Navigationsmenü) und klicken Sie dann auf VPC‑Netzwerk > Firewall.
  2. Jetzt sehen Sie die Firewallregel default-allow-internal.
Hinweis: Mit der Firewallregel default-allow-internal wird Traffic für alle Protokolle/Ports innerhalb des Netzwerks default zugelassen. Wir möchten jedoch eine Firewallregel erstellen, um Traffic mithilfe des Netzwerktags web-server von außerhalb dieses Netzwerks nur zum Server blue zuzulassen.

  1. Klicken Sie auf Firewallregel erstellen.

  2. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen die Standardeinstellung:

    Attribut Wert (Wert eingeben bzw. Option auswählen)
    Name allow-http-web-server
    Netzwerk default
    Ziele Angegebene Ziel-Tags
    Ziel-Tags web-server
    Quellfilter IPv4-Bereiche
    Quell-IPv4-Bereiche 0.0.0.0/0
    Protokolle und Ports Angegebene Protokolle und Ports; klicken Sie dann auf das Kästchen „tcp“ und geben Sie Folgendes ein: 80. Klicken Sie anschließend auf das Kästchen „Sonstige Protokolle“ und geben Sie Folgendes ein: icmp.
Hinweis: Achten Sie darauf, dass /0 in den Quell-IP-Bereichen enthalten ist und so alle Netzwerke angegeben sind.
  1. Klicken Sie auf Erstellen.

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Haben Sie die Aufgabe erfolgreich abgeschlossen, erhalten Sie ein Testergebnis.

Tagbasierte Firewallregel erstellen

Instanz „test-vm“ erstellen

Erstellen Sie über die Cloud Shell-Befehlszeile eine Instanz namens test‑vm.

  1. Öffnen Sie ein neues Cloud Shell-Terminal.

  2. Führen Sie den folgenden Befehl aus, um die Instanz test‑vm in der Zone zu erstellen:

gcloud compute instances create test‑vm ‑‑machine-type=e2‑micro ‑‑subnet=default ‑‑zone={{{project_0.default_zone|ZONE}}}

Die Ausgabe sollte in etwa so aussehen:

NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS test‑vm {{{project_0.default_zone|ZONE}}} e2‑micro 10.142.0.4 35.237.134.68 RUNNING Hinweis: Sie können VM‑Instanzen ganz einfach über die Konsole oder die gcloud-Befehlszeile erstellen.

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Haben Sie die Aufgabe erfolgreich abgeschlossen, erhalten Sie ein Testergebnis.

Instanz „test‑vm“ erstellen

HTTP-Konnektivität testen

Rufen Sie über test‑vm mithilfe von curl die internen und externen IP‑Adressen von blue und green ab.

  1. Öffnen Sie in der Konsole das Navigationsmenü (Symbol für Navigationsmenü) und klicken Sie dann auf Compute Engine > VM‑Instanzen.
  2. Jetzt werden die interne und die externe IP-Adresse von blue und green angezeigt.
  3. Klicken Sie in der Zeile von test-vm auf SSH, um ein Terminal zu starten und eine Verbindung herzustellen.
  4. Um die HTTP-Konnektivität zur internen IP‑Adresse von blue zu testen, führen Sie den folgenden Befehl aus und ersetzen Sie darin den Platzhalter <Enter blue's internal IP here> durch die interne IP‑Adresse von blue:
curl <Enter blue's internal IP here>

Jetzt sollte Ihnen der Header Welcome to the blue server! angezeigt werden.

  1. Um die HTTP-Konnektivität zur internen IP‑Adresse von green zu testen, führen Sie den folgenden Befehl aus und ersetzen Sie darin den Platzhalter <Enter green's internal IP here> durch die interne IP‑Adresse von green:
curl -c 3 <Enter green's internal IP here>

Jetzt sollte Ihnen der Header Welcome to the green server! angezeigt werden.

Hinweis: Sie können mit HTTP und den internen IP‑Adressen auf beide Server zugreifen. Die Verbindung über tcp:80 wird durch die Firewallregel default-allow-internal zugelassen, da sich test‑vm im selben VPC‑Netzwerk befindet wie das standardmäßige Netzwerk des Webservers.
  1. Um die HTTP-Konnektivität zur externen IP‑Adresse von blue zu testen, führen Sie den folgenden Befehl aus und ersetzen Sie darin den Platzhalter <Enter blue's external IP here> durch die externe IP‑Adresse von blue:
curl <Enter blue's external IP here>

Jetzt sollte Ihnen der Header Welcome to the blue server! angezeigt werden.

  1. Um die HTTP-Konnektivität zur externen IP‑Adresse von green zu testen, führen Sie den folgenden Befehl aus und ersetzen Sie darin den Platzhalter <Enter green's external IP here> durch die externe IP‑Adresse von green:
curl -c 3 <externe IP‑Adresse von green> Hinweis: Das sollte nicht funktionieren. Die Abfrage bleibt hängen.
  1. Drücken Sie Strg + C, um die HTTP-Anfrage abzubrechen.
Hinweis: Wie erwartet können Sie über HTTP nur auf die externe IP‑Adresse des Servers blue zugreifen, da allow-http-web-server nur für VM‑Instanzen mit dem Tag web‑server gilt.

Dasselbe Verhalten lässt sich in Ihrem Browser beobachten, wenn Sie einen neuen Tab öffnen und http://[Externe IP‑Adresse des Servers] aufrufen.

Aufgabe 3: Rollen „Network Admin“ und „Security Admin“ kennenlernen

Mit Cloud IAM lässt sich festlegen, wer Aktionen für bestimmte Ressourcen ausführen darf. Gleichzeitig haben Sie vollständige Kontrolle und können Cloud-Ressourcen zentral verwalten. Die folgenden Rollen werden in Einzelprojektnetzwerken verwendet, um den Administratorzugriff auf die einzelnen VPC-Netzwerke unabhängig zu steuern:

  • Network Admin: Hat die Berechtigungen, alle Netzwerkressourcen außer Firewallregeln und SSL-Zertifikate zu erstellen, zu ändern und zu löschen.
  • Security Admin: Hat die Berechtigungen, Firewallregeln und SSL-Zertifikate zu erstellen, zu ändern und zu löschen.

Sie können sich mit der Funktionsweise dieser Rollen vertraut machen, indem Sie sie auf ein Dienstkonto anwenden. Dieses spezielle Google-Konto gehört zu Ihrer VM‑Instanz, nicht zu einem einzelnen Endnutzer. Statt ein neues Nutzerkonto zu erstellen, erlauben Sie test‑vm, mithilfe des Dienstkontos die Berechtigungen der Rollen Network Admin und Security Admin auszuüben.

Aktuelle Berechtigungen überprüfen

Derzeit verwendet die Instanz test‑vm das standardmäßige Dienstkonto der Compute Engine. Es ist auf allen Instanzen aktiviert, die über die Cloud Shell-Befehlszeile und die Cloud Console erstellt wurden.

Versuchen Sie nun, die verfügbaren Firewallregeln aus test‑vm auflisten zu lassen oder zu löschen.

  1. Kehren Sie zum SSH‑Terminal der Instanz test‑vm zurück.
  2. Versuchen Sie, eine Liste der verfügbaren Firewallregeln abzurufen:
gcloud compute firewall-rules list

Die Ausgabe sollte in etwa so aussehen:

ERROR: (gcloud.compute.firewall-rules.list) Some requests did not succeed: - Insufficient Permission Hinweis: Das sollte nicht funktionieren.
  1. Versuchen Sie, die Firewallregel allow-http-web-server zu löschen:
gcloud compute firewall-rules delete allow-http-web-server
  1. Wenn Sie gefragt werden, ob Sie fortfahren möchten, drücken Sie Y.

Die Ausgabe sollte in etwa so aussehen:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Insufficient Permission Hinweis: Das sollte nicht funktionieren. Hinweis: Das standardmäßige Dienstkonto der Compute Engine hat nicht die erforderlichen Berechtigungen, um eine Liste der Firewallregeln abzurufen oder die Regeln zu löschen. Dasselbe gilt für andere Nutzer, die nicht die passenden Rollen haben.

Dienstkonto erstellen

Erstellen Sie ein Dienstkonto und weisen Sie ihm die Rolle Network Admin zu.

  1. Klicken Sie in der Konsole im Navigationsmenü (Symbol für Navigationsmenü) auf IAM und Verwaltung > Dienstkonten.

  2. Dort wird das standardmäßige Dienstkonto der Compute Engine angezeigt.

  3. Klicken Sie auf Dienstkonto erstellen.

  4. Legen Sie für das Dienstkonto den Namen Network-admin fest und klicken Sie auf Erstellen und fortfahren.

  5. Wählen Sie unter Rolle auswählen die Option Compute Engine > Compute Network Admin. Klicken Sie auf Fortfahren und dann auf Fertig.

  6. Klicken Sie nach dem Erstellen des Dienstkontos Network-admin auf das Dreipunkt-Menü in der rechten Ecke und dann im Drop-down-Menü auf Schlüssel verwalten. Klicken Sie dann auf Schlüssel hinzufügen und wählen Sie Neuen Schlüssel erstellen aus dem Drop-down-Menü. Klicken Sie auf Erstellen, um die JSON-Ausgabe herunterzuladen.

  7. Klicken Sie auf Schließen.

    Anschließend wird eine JSON-Schlüsseldatei auf Ihren lokalen Computer heruntergeladen. Diese Schlüsseldatei werden Sie später in die VM hochladen.

  8. Benennen Sie die JSON-Schlüsseldatei auf Ihrem lokalen Computer in credentials.json um.

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Haben Sie die Aufgabe erfolgreich abgeschlossen, erhalten Sie ein Testergebnis.

Dienstkonto namens „Network-admin“ erstellen

„test-vm“ autorisieren und Berechtigungen prüfen

Autorisieren Sie die Instanz test-vm dazu, das Dienstkonto Network-admin zu verwenden.

  1. Kehren Sie zum SSH‑Terminal der Instanz test‑vm zurück.
  2. Klicken Sie zum Upload der Datei credentials.json über das SSH‑VM-Terminal auf das Symbol für Datei hochladen in der oberen rechten Ecke.
  3. Wählen Sie credentials.json aus und laden Sie die Datei hoch.
  4. Klicken Sie im Fenster „Dateiübertragung“ auf Schließen. Hinweis: Wenn Sie dazu aufgefordert werden, klicken Sie auf Wiederholen im Dialogfeld Verbindung über Cloud Identity-Aware Proxy fehlgeschlagen und laden Sie die Datei nochmal hoch.
  5. Autorisieren Sie die VM mit den Anmeldedaten, die Sie gerade hochgeladen haben:
gcloud auth activate-service-account ‑‑key‑file credentials.json Hinweis: Auf dem Image, das Sie verwenden, ist das Google Cloud SDK vorinstalliert. Daher müssen Sie es nicht initialisieren. Wenn Sie dieses Lab in einer anderen Umgebung ausführen, muss dort das Cloud SDK gemäß Anleitung installiert worden sein.
  1. Versuchen Sie, eine Liste der verfügbaren Firewallregeln abzurufen:
gcloud compute firewall-rules list

Die Ausgabe sollte in etwa so aussehen:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Das sollte funktionieren.

  1. Versuchen Sie, die Firewallregel allow-http-web-server zu löschen:
gcloud compute firewall-rules delete allow-http-web-server
  1. Wenn Sie gefragt werden, ob Sie fortfahren möchten, drücken Sie Y.

Die Ausgabe sollte in etwa so aussehen:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Required 'compute.firewall.delete' permission for 'projects/[PROJECT_ID]/global/firewall/allow-http-web-server' Hinweis: Das sollte nicht funktionieren. Hinweis: Wie erwartet hat die Rolle Network Admin die Berechtigung, eine Liste abzurufen, darf aber keine Firewallregel ändern oder löschen.

Dienstkonto aktualisieren und Berechtigungen prüfen

Aktualisieren Sie das Dienstkonto Network-admin, indem Sie ihm die Rolle Security Admin zuweisen.

  1. Klicken Sie in der Konsole im Navigationsmenü Symbol für Navigationsmenü auf IAM & Verwaltung > IAM.

  2. Suchen Sie das Konto Network-admin in der Spalte Name.

  3. Klicken Sie neben dem Konto Network-admin auf das Stiftsymbol.

  4. Ändern Sie die Rolle in Compute Engine > Compute Security Admin.

  5. Klicken Sie auf Speichern.

  6. Kehren Sie zum SSH‑Terminal der Instanz test‑vm zurück.

  7. Versuchen Sie, eine Liste der verfügbaren Firewallregeln abzurufen:

gcloud compute firewall-rules list

Die Ausgabe sollte in etwa so aussehen:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Das sollte funktionieren.

  1. Versuchen Sie, die Firewallregel allow-http-web-server zu löschen:
gcloud compute firewall-rules delete allow-http-web-server
  1. Wenn Sie gefragt werden, ob Sie fortfahren möchten, drücken Sie Y.

Die Ausgabe sollte in etwa so aussehen:

Deleted [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-00e186e4b1cec086/global/firewall/allow-http-web-server].

Das sollte funktionieren.

Hinweis: Wie erwartet hat die Rolle Security Admin die Berechtigung, eine Liste abzurufen und Firewallregeln zu löschen.

Löschen der Firewallregel prüfen

Vergewissern Sie sich, dass Sie nicht mehr über HTTP auf die externe IP-Adresse des Servers blue zugreifen können. Da Sie die Firewallregel allow-http-web-server gelöscht haben, sollte das nicht mehr möglich sein.

  1. Kehren Sie zum SSH‑Terminal der Instanz test‑vm zurück.
  2. Um die HTTP-Konnektivität zur externen IP‑Adresse von blue zu testen, führen Sie den folgenden Befehl aus und ersetzen Sie darin den Platzhalter <Enter blue's external IP here> durch die externe IP‑Adresse von blue:
curl ‑c 3 <Enter blue's external IP here> Hinweis: Das sollte nicht funktionieren.
  1. Drücken Sie Strg + C, um die HTTP-Anfrage abzubrechen.
Hinweis: Weisen Sie dem richtigen Nutzer- oder Dienstkonto die Rolle Security Admin zu, damit es zu keinen unbeabsichtigten Änderungen an den Firewallregeln kommt.

Das wars! Sie haben das Lab erfolgreich abgeschlossen.

Sie haben zwei nginx-Webserver erstellt und den externen HTTP-Zugriff mithilfe einer tagbasierten Firewallregel gesteuert. Anschließend haben Sie zuerst ein Dienstkonto mit der Rolle Network Admin und dann eines mit der Rolle Security Admin erstellt, um sich mit den unterschiedlichen Berechtigungen der beiden Rollen vertraut zu machen.

Weitere Informationen

Weitere Informationen zu Dienstkonten und Rollen finden Sie in diesem Lab:

Informationen zu grundlegenden Konzepten von Google Cloud Identity and Access Management: Google Cloud Identity and Access Management – Übersicht

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 9. Juni 2025 aktualisiert

Lab zuletzt am 9. Juni 2025 getestet

© 2025 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.

Vorbereitung

  1. Labs erstellen ein Google Cloud-Projekt und Ressourcen für einen bestimmten Zeitraum
  2. Labs haben ein Zeitlimit und keine Pausenfunktion. Wenn Sie das Lab beenden, müssen Sie von vorne beginnen.
  3. Klicken Sie links oben auf dem Bildschirm auf Lab starten, um zu beginnen

Privates Surfen verwenden

  1. Kopieren Sie den bereitgestellten Nutzernamen und das Passwort für das Lab
  2. Klicken Sie im privaten Modus auf Konsole öffnen

In der Konsole anmelden

  1. Melden Sie sich mit Ihren Lab-Anmeldedaten an. Wenn Sie andere Anmeldedaten verwenden, kann dies zu Fehlern führen oder es fallen Kosten an.
  2. Akzeptieren Sie die Nutzungsbedingungen und überspringen Sie die Seite zur Wiederherstellung der Ressourcen
  3. Klicken Sie erst auf Lab beenden, wenn Sie das Lab abgeschlossen haben oder es neu starten möchten. Andernfalls werden Ihre bisherige Arbeit und das Projekt gelöscht.

Diese Inhalte sind derzeit nicht verfügbar

Bei Verfügbarkeit des Labs benachrichtigen wir Sie per E-Mail

Sehr gut!

Bei Verfügbarkeit kontaktieren wir Sie per E-Mail

Es ist immer nur ein Lab möglich

Bestätigen Sie, dass Sie alle vorhandenen Labs beenden und dieses Lab starten möchten

Privates Surfen für das Lab verwenden

Nutzen Sie den privaten oder Inkognitomodus, um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.