Google Cloud Platform là đối thủ cạnh tranh với AWS, giúp chạy các máy chủ ảo hóa dễ dàng và rẻ tiền. Thật không may cho người mới bắt đầu, họ có một cách tiếp cận mới để thiết lập SSH yêu cầu một số giải thích và thiết lập.
Truy cập SSH nhanh: Sử dụng Bảng điều khiển
Nếu bạn cần truy cập nhanh, phương pháp đơn giản nhất là nhấp vào SSH từ bảng điều khiển Công cụ tính toán GCP. Điều này sẽ đưa ra một cửa sổ Chrome mới sẽ chuyển các khóa và kết nối bạn với thể hiện.
Điều này được cung cấp bởi vì thiết lập SSH cho khách hàng bên thứ ba có liên quan nhiều hơn một chút so với bạn mong đợi. Đối với các nhà cung cấp đám mây khác như AWS, bạn sẽ chọn một cặp khóa riêng, tải xuống cặp khóa đó và kết nối với thể hiện như bình thường bằng cách sử dụng ssh -i keyfile.
Tuy nhiên, GCP quyết định quản lý các khóa SSH bằng cách sử dụng các vai trò và quyền của IAM. Thay vì tải xuống khóa riêng cho ví dụ, thay vào đó, bạn cung cấp khóa của mình cho tài khoản người dùng và cung cấp khóa của bạn cho cá thể bằng cách thiết lập Đăng nhập hệ điều hành .
Tất nhiên, bạn luôn có thể thêm khóa SSH vào authorized_keys tệp theo cách thủ công để giải quyết vấn đề, nhưng Google đã thiết lập Đăng nhập hệ điều hành vì lý do và tốt hơn là quản lý theo cách này thay vì ghi đè thủ công các công cụ quản lý khóa .
Thiết lập khóa riêng của bạn với đăng nhập hệ điều hành
Bước đầu tiên để thiết lập Đăng nhập hệ điều hành là thêm các khóa SSH vào tài khoản người dùng của bạn. Nếu bạn đang quản lý quyền truy cập cho người khác, bạn có thể sử dụng API thư mục (https://developers.google.com/admin-sdk/directory/v1/reference/), nhưng nếu bạn đang liên kết tài khoản của chính mình, bạn sẽ muốn sử dụng gcloud CLI.
Tải về trình cài đặt (https://cloud.google.com/sdk/docs) và chạy nó. Trình cài đặt sẽ mở một cửa sổ mới cho phép bạn đăng nhập vào tài khoản Google mà bạn muốn thêm khóa. Khi đã xong, hãy chạy lệnh sau trong thiết bị đầu cuối của bạn để thêm ~/.ssh/id_rsa.pub vào khóa của tài khoản:
gcloud tính toán ssh-key os-login add \ --key-file ~ / .ssh / id_rsa.pub \ --ttl 0
Đăng nhập hệ điều hành bị tắt theo mặc định, vì vậy bạn sẽ cần kích hoạt toàn bộ dự án hoặc cho các trường hợp cụ thể. Bên dưới siêu dữ liệu của Nhật Bản, trong Bảng điều khiển động cơ điện toán, hãy thêm một cặp khóa mới với enable-oslogin khóa và TRUE làm giá trị.
Nếu tài khoản của bạn là quản trị viên IAM, giờ đây bạn có thể kết nối với mọi trường hợp đã bật Đăng nhập hệ điều hành, sử dụng khóa riêng mà bạn đã liên kết với tài khoản của mình.
Tuy nhiên, nếu tài khoản của bạn không phải là chủ sở hữu, bạn sẽ cần một vài Quyền IAM được bật để có thể truy cập vào thể hiện:
roles/compute.osAdminLogin, cấp quyền quản trị viên, hoặcroles/compute.osLogin, không cấp quyền quản trị viên.
Bạn có thể đặt một trong các quyền này ở cấp thể hiện bằng các ràng buộc chính sách IAM (https://cloud.google.com/sdk/gcloud/reference/compute/instances/add-iam-policy-binding).
Bất kỳ trường hợp mới nào bạn tạo sẽ tự động truy cập bằng khóa riêng được liên kết với tài khoản của bạn mà không cần cấu hình thủ công. Nếu bạn đang cấp quyền truy cập cho người dùng khác và cần thu hồi nó trong tương lai, bạn chỉ cần thu hồi quyền IAM của họ, việc này sẽ giải quyết vấn đề mà không yêu cầu xoay vòng chính.