bastion

Bảo vệ Virtual Machine (VM) với firewall có sử dụng máy chủ pháo đài (bastion host).

Theo Wikipedia định nghĩa: Máy chủ pháo đài (bastion host) là một máy tính có mục đích đặc biệt trên mạng, được thiết kế và cấu hình riêng để chịu được các cuộc tấn công. Hôm nay mình sẽ cùng hướng dẫn các bạn thiệt lập bastion host theo mô hình bên dưới.

Để tạo mạng cho các VM bên trong, ta tạo một Virtual Private Cloud (VPC). Các bạn tham khảo bài này để tạo một VPC có tên là vpc-bastion có subnet là sub-bastion , region: asia-southeast1 như hình dưới. (các thông số cũng như trong hình để sau này sẽ dựa vào đó tạo VM)

Tiếp theo các bạn tạo 3 VM trong đó có một VM đóng vai trò bastion host có địa chỉ IP toàn cầu (external IP) có tên: bastion-vm, 2 VM còn lại chỉ có địa chỉ IP nội bộ (internal IP) có tên lần lượt là inside-vm1, inside-vm2. Cả 3 VM này đề gắn với VPC vừa tạo ở trên. Các bạn sẽ có được hệ thống các VM như hình dưới.

Với cấu hình trên chúng ta sẽ không thao tác được với 2 VM chỉ có internal IP thông qua bastion host. Chúng ta sẽ tạo quy tắc tường lửa (firewall rule) để có thể thao tác với chúng. Tại menu bên trái các bạn chọn VPC network>Firewall rules> Creat firewall rule , chúng ta sẽ tới màn hình tạo firewall rule. Ta sẽ tạo một firewall rule có tên: for-ssh, network: vpc-bastion, target tags: ssh-ok, Source IP ranges: 0.0.0.0/0, Protocol and ports: tcp 22 . Các bạn hãy tham khảo hình dưới.

Vậy là chúng ta đã tạo xong firewall rule, bây giờ gắn firewall rule này vào 3 VM đã tạo. Vào các VM đã tạo, edit chúng và gắn thêm Network tags: ssh-ok là đã cấu hình xong mô hình bastion host. Các bạn tham khảo hình dưới.

Chúng ta hãy ssh vào bastion host xem kết quả như thế nào nhé.

Từ bastion host chúng ta tiếp tục ssh tới một trong hai internal VM nhé.

Khi thực hành có chỗ nào chưa hiểu, cần support, các bạn hãy liên hệ với các chuyên gia – Cloud Ace Việt Nam – để được hỗ trợ tốt hơn.

Liên hệ ngay với chúng tôi, Cloud Ace Việt Nam để được tư vấn về G Suite, Google Cloud Platform (GCP).

Comments are closed.