Informazioni sulle connessioni SSH

Compute Engine utilizza l'autenticazione SSH basata su chiavi per stabilire connessioni alle istanze di macchine virtuali (VM) Linux e supporta inoltre l'autenticazione basata su certificati per le VM OS Login. Facoltativamente, puoi attivare SSH per le VM Windows. Per impostazione predefinita, le password non sono configurate per gli utenti locali sulle VM Linux.

Prima di poterti connettere a una VM, devi eseguire una serie di configurazioni. Se utilizzi la console Google Cloud o Google Cloud CLI per connetterti alle VM, Compute Engine esegue queste configurazioni per tuo conto. Compute Engine esegue configurazioni diverse in base allo strumento di connessione utilizzato e alla gestione dell'accesso alle VM, che può avvenire tramite metadati o OS Login. OS Login è disponibile solo per le VM Linux.

Connessioni SSH gestite dai metadati

Per impostazione predefinita, Compute Engine utilizza i metadati personalizzati del progetto e/o dell'istanza per configurare le chiavi SSH e gestire l'accesso SSH. Tutte le VM Windows utilizzano metadati per gestire le chiavi SSH, mentre le VM Linux possono avvalersi di chiavi nei metadati o di OS Login. Se utilizzi OS Login, le chiavi SSH nei metadati sono disattivate.

Fai clic su ogni scheda per scoprire di più sulle configurazioni eseguite da Compute Engine prima di concedere l'accesso alle connessioni SSH quando utilizzi la console Google Cloud , gcloud CLI o strumenti di terze parti per connetterti alle VM. Se ti connetti alle VM senza utilizzare la console Google Cloud o gcloud CLI, devi eseguire alcune configurazioni autonomamente.

Console

  1. Per connetterti alla VM utilizza il pulsante SSH nella console Google Cloud .
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH temporanea con la seguente configurazione:
    • Il tuo nome utente è impostato come tale nell'Account Google. Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il tuo nome utente è cloudysanfrancisco.
    • Le chiavi SSH pubbliche e private vengono archiviate nella sessione del browser.
    • La chiave SSH ha una scadenza di tre minuti. Tre minuti dopo che Compute Engine ha creato la chiave, non puoi più utilizzarla per connetterti alla VM.
  3. Compute Engine autentica la chiave SSH e concede l'accesso alla connessione.
  4. Compute Engine carica la chiave SSH pubblica e il nome utente nei metadati.
  5. Compute Engine recupera la chiave SSH e il nome utente dai metadati, crea un account utente con il nome utente e, sulle VM Linux, archivia la chiave pubblica nel file ~/.ssh/authorized_keys dell'utente sulla VM. Nelle VM Windows, Compute Engine non archivia la chiave pubblica sulla VM.
  6. Compute Engine concede l'accesso alla connessione.

gcloud

  1. Utilizza il comando gcloud compute ssh per connetterti alla VM.
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH permanente con le seguenti configurazioni:
    • Il tuo nome utente è impostato come nome utente nella macchina locale.
    • La chiave SSH pubblica viene archiviata nei metadati del progetto. Se non riesce ad archiviare la chiave SSH nei metadati del progetto, ad esempio perché block-project-ssh-keys è impostato su TRUE, Compute Engine esegue questa operazione nei metadati dell'istanza.
    • La chiave SSH privata è archiviata sulla tua macchina locale.
    • La tua chiave SSH non ha una scadenza. Viene utilizzata per tutte le connessioni SSH future che effettui, a meno che non configuri una nuova chiave.
  3. Compute Engine autentica la chiave SSH e concede l'accesso alla connessione.
  4. Compute Engine carica la chiave SSH pubblica e il nome utente nei metadati.
  5. Compute Engine recupera la chiave SSH e il nome utente dai metadati, crea un account utente con il nome utente e, sulle VM Linux, archivia la chiave pubblica nel file ~/.ssh/authorized_keys dell'utente sulla VM. Nelle VM Windows, Compute Engine non archivia la chiave pubblica sulla VM.
  6. Compute Engine concede l'accesso alla connessione.

Strumenti di terze parti

  1. Crea una coppia di chiavi SSH e un nome utente. Per maggiori dettagli, vedi Crea chiavi SSH.
  2. Carica la chiave pubblica e il nome utente nei metadati. Per maggiori dettagli, vedi Aggiungi chiavi SSH alle VM che utilizzano chiavi SSH basate su metadati.
  3. Connettiti alla VM.
  4. Compute Engine recupera la chiave SSH e il nome utente dai metadati, crea un account utente con il nome utente e, sulle VM Linux, archivia la chiave pubblica nel file ~/.ssh/authorized_keys dell'utente sulla VM. Nelle VM Windows, Compute Engine non archivia la chiave pubblica sulla VM.
  5. Compute Engine concede l'accesso alla connessione.

Connessioni SSH gestite da OS Login

Quando imposti i metadati di OS Login, Compute Engine elimina i file authorized_keys della VM e non accetta più connessioni da chiavi SSH archiviate nei metadati del progetto o dell'istanza. OS Login supporta le connessioni dalle chiavi SSH associate al tuo Account Google e dai certificati SSH firmati dall'autorità di certificazione OS Login. Se vuoi, puoi richiedere a OS Login di consentire solo connessioni che utilizzano certificati SSH, come descritto in Richiedere certificati SSH con OS Login.

Connessioni con chiave SSH

Fai clic su ogni scheda per scoprire di più sulle configurazioni eseguite da Compute Engine prima di concedere l'accesso alle connessioni SSH quando utilizzi le chiavi SSH per connetterti alle VM. Compute Engine esegue configurazioni diverse a seconda che tu utilizzi la console Google Cloud , gcloud CLI o strumenti di terze parti per connetterti alle VM. Se ti connetti utilizzando strumenti di terze parti, devi eseguire alcune configurazioni autonomamente.

Console

  1. Per connetterti alla VM utilizza il pulsante SSH nella console Google Cloud .
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH temporanea con la seguente configurazione:
    • Il tuo nome utente è quello impostato dall'amministratore di Cloud Identity o Google Workspace della tua organizzazione. Se la tua organizzazione non ha configurato un nome utente per te o se il tuo progetto non appartiene a un'organizzazione, Compute Engine utilizza l'indirizzo email del tuo Account Google nel seguente formato: 

      USERNAME_DOMAIN_SUFFIX
       Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.

    • La chiave SSH pubblica viene archiviata nella sessione del browser e nel tuo Account Google.
    • La chiave SSH privata viene archiviata nella sessione del browser.
    • La chiave SSH ha una scadenza di tre minuti. Tre minuti dopo che Compute Engine ha creato chiave, non puoi più utilizzarla per connetterti alla VM.
  3. Compute Engine autentica la chiave SSH e concede l'accesso alla connessione.

gcloud

  1. Utilizza il comando gcloud compute ssh per connetterti alla VM.
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH permanente con le seguenti configurazioni:
    • Il tuo nome utente è quello impostato dall'amministratore di Cloud Identity o Google Workspace della tua organizzazione. Se la tua organizzazione non ha configurato un nome utente per te, Compute Engine utilizza l'indirizzo email del tuo Account Google nel seguente formato:

      USERNAME_DOMAIN_SUFFIX
       Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.

    • La chiave SSH pubblica viene archiviata nel tuo Account Google.
    • La chiave SSH privata viene archiviata nella macchina locale nel file google_compute_engine.
    • La tua chiave SSH non ha una scadenza. Viene utilizzata per tutte le connessioni SSH future che effettui, a meno che non configuri una nuova chiave.
  3. Compute Engine autentica la chiave SSH e concede l'accesso alla connessione.

Strumenti di terze parti

  1. Crea una coppia di chiavi SSH. Per maggiori dettagli, vedi Crea chiavi SSH.
  2. Carica la chiave SSH pubblica nel tuo profilo OS Login. Per maggiori dettagli, vedi Aggiungi chiavi alle VM che utilizzano OS Login.
    • Compute Engine archivia la chiave nel tuo Account Google.
    • Compute Engine configura il tuo nome utente nel formato predefinito: 
          USERNAME_DOMAIN_SUFFIX
       Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.
  3. Se vuoi, puoi impostare un nome utente con l' API Directory dell'SDK Admin di Google Workspace.
  4. Connettiti alla VM.
  5. Compute Engine autentica la chiave SSH e concede la connessione.

Connessioni con certificati SSH

Fai clic su ogni scheda per scoprire di più sulle configurazioni eseguite da Compute Engine prima di concedere l'accesso alle connessioni SSH quando utilizzi i certificati SSH per connetterti alle VM. Compute Engine esegue configurazioni diverse a seconda che tu utilizzi la console Google Cloud , gcloud CLI o strumenti di terze parti per connetterti alle VM. Se ti connetti utilizzando strumenti di terze parti, devi eseguire alcune configurazioni autonomamente.

Console

  1. Per connetterti alla VM utilizza il pulsante SSH nella consoleGoogle Cloud .
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH temporanea. Il tuo nome utente è quello impostato dall'amministratore di Cloud Identity o Google Workspace della tua organizzazione. Se la tua organizzazione non ha configurato un nome utente per te o se il tuo progetto non appartiene a un'organizzazione, Compute Engine utilizza l'indirizzo email del tuo Account Google nel seguente formato: 

    USERNAME_DOMAIN_SUFFIX
     Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.

  3. Compute Engine invia la tua chiave pubblica all'autorità di certificazione OS Login ed esegue l'autorizzazione IAM per assicurarsi che tu disponga delle autorizzazioni per connetterti alla VM.
  4. L'autorità di certificazione OS Login fornisce un certificato SSH firmato di breve durata.
  5. Compute Engine autentica il certificato di breve durata e concede l'accesso alla connessione.

gcloud

  1. Utilizza il comando gcloud beta compute ssh per connetterti alla VM.
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH temporanea. Il tuo nome utente è quello impostato dall'amministratore di Cloud Identity o Google Workspace della tua organizzazione. Se la tua organizzazione non ha configurato un nome utente per te o se il tuo progetto non appartiene a un'organizzazione, Compute Engine utilizza l'indirizzo email del tuo Account Google nel seguente formato: 

    USERNAME_DOMAIN_SUFFIX
     Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.

  3. Compute Engine invia la tua chiave pubblica all'autorità di certificazione OS Login ed esegue l'autorizzazione IAM per assicurarsi che tu disponga delle autorizzazioni per connetterti alla VM.
  4. L'autorità di certificazione OS Login fornisce un certificato SSH firmato di breve durata.
  5. Compute Engine autentica il certificato di breve durata e concede l'accesso alla connessione.

Strumenti di terze parti

  1. Crea una coppia di chiavi SSH. Per maggiori dettagli, vedi Crea chiavi SSH.
  2. Se non ti sei mai connesso a una VM che utilizza OS Login, devi provisionare un account POSIX.
  3. Compute Engine configura il tuo nome utente nel formato predefinito: 
    USERNAME_DOMAIN_SUFFIX
     Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.
  4. Se vuoi, il tuo amministratore può impostare un nome utente con l'API Directory dell'SDK Admin di Google Workspace. Se la tua organizzazione utilizza la federazione delle identità per la forza lavoro, devi contattare l'amministratore per modificare il nome utente.
  5. Invia la chiave pubblica all'autorità di certificazione OS Login.
  6. L'autorità di certificazione OS Login fornisce un certificato SSH firmato di breve durata.
  7. Utilizzi il certificato per connetterti alla VM.
  8. Compute Engine autentica il certificato di breve durata e concede l'accesso alla connessione.

Passaggi successivi