Como configurar o SSH para uma instância da Google Cloud Platform

O Google Cloud Platform é um concorrente da AWS que facilita e economiza a execução de servidores virtualizados. Infelizmente para iniciantes, eles têm uma nova abordagem para configurar o SSH que requer algumas explicações e configurações.

Acesso rápido ao SSH: use o console

Se você precisar de acesso rápido, o método mais simples é clicar em “ SSH ” no console do GCP Compute Engine. Isso abrirá uma nova janela do Chrome que irá transferir chaves e conectá-lo à instância.

Isso é fornecido porque a configuração do SSH para um cliente de terceiros é um pouco mais envolvente do que você esperava. Para outros provedores de nuvem como a AWS, você deve selecionar um par de chaves privadas, fazer o download desse par de chaves e conectar-se à instância normalmente usando o ssh -i keyfile.

No entanto, o GCP decide gerenciar chaves SSH usando funções e permissões do IAM. Em vez de fazer o download de uma chave privada para a instância, você fornece sua chave para sua conta de usuário e fornece sua chave para a instância configurando o Login do SO.

Naturalmente, você sempre pode adicionar manualmente sua chave SSH ao arquivo allowed_keys, o que resolverá o problema, mas o Google configurou o Login do SO por um motivo, e é melhor gerenciá-lo dessa maneira, em vez de substituindo manualmente as ferramentas de gerenciamento de chaves que eles implementaram.

Configurando suas próprias chaves com o logon no SO

O primeiro passo para configurar o Login do SO é adicionar suas chaves SSH à sua conta de usuário. Se você estiver gerenciando o acesso de outras pessoas, poderá usar a API do Diretório, mas se estiver vinculando sua própria conta, precisará usar a CLI do gcloud.

Baixe o instalador e execute-o. O instalador abrirá uma nova janela, permitindo que você faça login na Conta do Google à qual deseja adicionar as chaves. Uma vez feito, execute o seguinte comando no seu terminal para adicionar ~ / . ssh / id_rsa. pub às chaves da sua conta:

 gcloud calcula os-login ssh-keys add \ --key-file ~ / . ssh / id_rsa. pub \ --ttl 0 

O Login do SO está desativado por padrão, portanto, você precisará ativá-lo em todo o projeto ou em instâncias específicas. Em "Metadados" ” no Compute Engine Console, adicione um novo par de chaves com enable-oslogin como chave e TRUE como valor.

Se sua conta for um administrador do IAM, agora você poderá se conectar a qualquer instância com o Login do SO ativado, usando a chave privada que você vinculou à sua conta.

No entanto, se sua conta não for o proprietário, você precisará de algumas permissões do IAM habilitadas para poder acessar a instância:

• role / compute. osAdminLogin, que concede permissões de administrador, ou
• role / compute. osLogin, que não concede permissão de administrador.

Você pode definir uma dessas permissões no nível da instância usando as ligações de política do IAM.

Quaisquer novas instâncias que você criar serão automaticamente acessíveis usando a chave privada vinculada à sua conta, sem a necessidade de configuração manual. Se você conceder acesso a outros usuários e precisar revogá-lo no futuro, basta revogar as permissões do IAM, o que resolverá o problema sem exigir rotações de teclas.

Via: How to Geek