Как настроить SSH для экземпляра облачной платформы Google – CloudSavvy IT

Облачная платформа Google является конкурентом AWS, что делает запуск виртуализированных серверов простым и дешевым. К сожалению для новичков, у них есть новый подход к настройке SSH, который требует некоторого объяснения и настройки.

Быстрый доступ по SSH: используйте консоль

Если вам нужен быстрый доступ, самый простой способ – нажать «SSH» на консоли GCP Compute Engine. Это откроет новое окно Chrome, которое будет передавать ключи и соединит вас с экземпляром.

Это обеспечивается тем, что настройка SSH для стороннего клиента немного сложнее, чем вы ожидаете. Для других облачных провайдеров, таких как AWS, вы выбираете пару секретных ключей, загружаете эту пару ключей и подключаетесь к экземпляру в обычном режиме, используя ssh -i keyfile,

Однако GCP решает управлять ключами SSH, используя роли и разрешения IAM. Вместо того, чтобы загружать закрытый ключ для экземпляра, вы вместо этого предоставляете свой ключ к своей учетной записи пользователя и предоставляете свой ключ к экземпляру с помощью настройка входа в ОС,

Конечно, вы всегда можете вручную добавить свой ключ SSH в authorized_keys файл, который решит проблему, но Google по какой-то причине настроил ОС для входа в систему, и лучше управлять этим способом, а не вручную отвергать установленные им инструменты управления ключами.

Настройка собственных ключей с помощью входа в ОС

Первый шаг к настройке входа в ОС – добавить ключи SSH в свою учетную запись. Если вы управляете доступом для других людей, вы можете использовать Каталог API, но если вы связываете свою учетную запись, вы хотите использовать gcloud CLI.

Скачать установщик и запустить его. Установщик откроет новое окно, позволяющее войти в учетную запись Google, в которую вы хотите добавить ключи. Как только это будет сделано, выполните следующую команду в своем терминале, чтобы добавить ~/.ssh/id_rsa.pub на ключи вашего аккаунта:

gcloud compute os-login ssh-keys add 
--key-file ~/.ssh/id_rsa.pub 
--ttl 0

Вход в ОС по умолчанию отключен, поэтому вам нужно включить его для всего проекта или для конкретных случаев. В разделе «Метаданные» на консоли Compute Engine добавьте новую пару ключей с enable-oslogin в качестве ключа и TRUE в качестве значения.

Если ваша учетная запись является администратором IAM, теперь вы сможете подключаться к любым экземплярам с включенным входом в ОС, используя закрытый ключ, связанный с вашей учетной записью.

Однако, если ваша учетная запись не является владельцем, вам потребуется несколько разрешений IAM, чтобы иметь доступ к экземпляру:

• roles/compute.osAdminLogin, который предоставляет права администратора, или
• roles/compute.osLogin, который не предоставляет разрешения администратора.

Вы можете установить любое из этих разрешений на уровне экземпляра, используя Привязки политики IAM,

Любые новые созданные вами экземпляры будут автоматически доступны с использованием закрытого ключа, связанного с вашей учетной записью, без необходимости ручной настройки. Если вы предоставляете доступ другим пользователям и хотите отозвать его в будущем, вы можете просто отозвать их разрешения IAM, что решит проблему, не требуя смены ключей.