‫Apache Guacamole ב-GKE וב-Cloud SQL

Last reviewed 2025-01-09 UTC

Apache Guacamole מציע דרך מלאה שמבוססת על דפדפן כדי לגשת לשולחנות עבודה מרוחקים באמצעות Remote Desktop Protocol ‏ (RDP),‏ Virtual Network Computing ‏ (VNC) ו-Secure Shell Protocol ‏ (SSH) במכונות וירטואליות (VM) של Compute Engine. שרת proxy לאימות זהויות (IAP) מספק גישה ל-Guacamole עם אבטחה משופרת.

מסמך הארכיטקטורה הזה מיועד לאדמינים ולמהנדסים של שרתים שרוצים לארח את Apache Guacamole ב-Google Kubernetes Engine‏ (GKE) וב-Cloud SQL. ההנחה במאמר הזה היא שאתם יודעים איך לפרוס עומסי עבודה ב-Kubernetes וב-Cloud SQL ל-MySQL. בנוסף, אנחנו מניחים שאתם מכירים את ניהול הזהויות והרשאות הגישה (IAM) ואת Google Compute Engine.

ארכיטקטורה

בתרשים הבא מוצגת דוגמה לאיזון עומסים שהוגדר עם IAP, כדי להגן על מופע של לקוח Guacamole שפועל ב-GKE: Google Cloud

ארכיטקטורה של מאזן עומסים Google Cloud שהוגדר עם IAP.

הארכיטקטורה הזו כוללת את הרכיבים הבאים:

  • Google Cloud מאזן עומסים: מפזר את התנועה בין כמה מופעים, וכך מצמצם את הסיכון לבעיות בביצועים.
  • IAP: מספק אבטחה משופרת באמצעות תוסף אימות מותאם אישית.
  • לקוח Guacamole: פועל ב-GKE ומתחבר לשירות הקצה העורפי guacd.
  • שירות קצה עורפי של guacd: מתווך חיבורים של שולחן עבודה מרוחק למכונות וירטואליות של Compute Engine.
  • מסד נתונים של Guacamole ב-Cloud SQL: ניהול נתוני התצורה של Guacamole.
  • מכונות ב-Compute Engine: מכונות וירטואליות שמתארחות בתשתית של Google.

שיקולים לגבי העיצוב

ההנחיות הבאות יכולות לעזור לכם לפתח ארכיטקטורה שעומדת בדרישות הארגון שלכם מבחינת אבטחה, עלות וביצועים.

אבטחה ותאימות

בארכיטקטורה הזו נעשה שימוש ב-IAP כדי להגן על הגישה לשירות Guacamole. משתמשים מורשים נכנסים למופע Guacamole באמצעות תוסף אימות מותאם אישית של IAP. פרטים נוספים מופיעים במאמר בנושא custom extension ב-GitHub.

כשמוסיפים משתמשים נוספים (דרך ממשק המשתמש של Guacamole), המשתמשים האלה צריכים לקבל הרשאות דרך IAM, עם התפקיד IAP-secured Web App User.

הגדרת ה-OAuth שנוצרת בפריסה הזו היא פנימית. בגלל ההגדרה הזו, אתם צריכים להשתמש בחשבון Google באותו ארגון שבו אתם משתמשים כדי לפרוס את Guacamole. אם אתם משתמשים בחשבון Google מחוץ לארגון, תוצג לכם השגיאה HTTP/403 org_internal.

ביצועים

Google Cloud מאזן העומסים ו-GKE מפזרים את התנועה בין כמה מופעים, וכך עוזרים להפחית את הסיכון לבעיות בביצועים.

פריסה

כדי לפרוס את הארכיטקטורה הזו, אפשר לעיין במאמר פריסת Apache Guacamole ב-GKE וב-Cloud SQL.

המאמר הבא

  • כדאי לעיין בהנחיות של GKE בנושא הקשחת האבטחה באשכול.
  • כדי להגביר את האבטחה של סודות, כמו פרטי כניסה למסד נתונים ופרטי כניסה ל-OAuth, כדאי לעיין במאמר בנושא הצפנת סודות בשכבת האפליקציה.
  • כדי לקבל מידע על מתן שליטה מפורטת יותר בגישת המשתמשים ל-Guacamole, מומלץ לעיין במאמר בנושא תנאי IAM.
  • כדי להבין איך השילוב של IAP עובד, אפשר לעיין בספק האימות המותאם אישית במאגר GitHub.
  • לדוגמאות נוספות של ארכיטקטורות, תרשימים ושיטות מומלצות, עיינו במאמר Cloud Architecture Center.

שותפים ביצירת התוכן

מחבר: ריצ'רד גריימז | אדריכל ראשי, המגזר הציבורי בבריטניה

תורמי תוכן אחרים: