Informazioni sulle connessioni SSH

Compute Engine utilizza l'autenticazione SSH basata su chiavi per stabilire connessioni alle istanze di macchine virtuali (VM) Linux e supporta inoltre l'autenticazione basata su certificati per le VM OS Login (anteprima). Facoltativamente, puoi attivare SSH per le VM Windows. Per impostazione predefinita, le password non vengono configurate per gli utenti locali sulle VM Linux.

Prima di poterti connettere a una VM, devi eseguire diverse configurazioni. Se utilizzi la Google Cloud console o Google Cloud CLI per connetterti alle tue VM, Compute Engine esegue queste configurazioni per tuo conto. Compute Engine esegue configurazioni diverse a seconda dello strumento utilizzato per la connessione e se gestisci l'accesso alle VM tramite metadati o OS Login. OS Login è disponibile solo per le VM Linux.

Connessioni SSH gestite dai metadati

Per impostazione predefinita, Compute Engine utilizza i metadati personalizzati del progetto e/o dell'istanza per configurare le chiavi SSH e gestire l'accesso SSH. Tutte le VM Windows utilizzano i metadati per gestire le chiavi SSH, mentre le VM Linux possono utilizzare chiavi dei metadati o l&OS Login. Se utilizzi OS Login, le chiavi SSH dei metadati sono disattivate.

Fai clic su ogni scheda per scoprire di più sulle configurazioni eseguite da Compute Engine prima di concedere le connessioni SSH quando utilizzi la Google Cloud console, la gcloud CLI o strumenti di terze parti per connetterti alle VM. Se ti connetti alle VM senza utilizzare la Google Cloud console o lgcloud CLI, devi eseguire alcune configurazioni autonomamente.

Console

  1. Utilizza il pulsante SSH nella console Google Cloud per connetterti alla VM.
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH temporanea con la seguente configurazione:
    • Il tuo nome utente è impostato come nome utente nel tuo Account Google. Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il tuo nome utente è cloudysanfrancisco.
    • Le chiavi SSH pubbliche e private vengono memorizzate nella sessione del browser.
    • La chiave SSH ha una scadenza di tre minuti. Tre minuti dopo che Compute Engine ha creato la chiave, non puoi più utilizzare la chiave SSH per connetterti alla VM.
  3. Compute Engine autentica la tua chiave SSH e concede la connessione.
  4. Compute Engine carica la chiave SSH pubblica e il nome utente nei metadati.
  5. Compute Engine recupera la chiave SSH e il nome utente dai metadati, crea un account utente con il nome utente e, sulle VM Linux, memorizza la chiave pubblica nel file ~/.ssh/authorized_keys dell'utente sulla VM. Nelle VM Windows, Compute Engine non memorizza la chiave pubblica sulla VM.
  6. Compute Engine concede la connessione.

gcloud

  1. Utilizza il comando gcloud compute ssh per connetterti alla VM.
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH permanente con le seguenti configurazioni:
    • Il tuo nome utente è impostato come nome utente nella tua macchina locale.
    • La chiave SSH pubblica viene archiviata nei metadati del progetto. Se Compute Engine non riesce a memorizzare la chiave SSH nei metadati del progetto, ad esempio perché block-project-ssh-keys è impostato su TRUE, memorizza la chiave SSH nei metadati dell'istanza.
    • La chiave SSH privata è memorizzata sulla tua macchina locale.
    • La tua chiave SSH non ha una scadenza. Viene utilizzata per tutte le connessioni SSH future che effettui, a meno che non configuri una nuova chiave.
  3. Compute Engine autentica la tua chiave SSH e concede la connessione.
  4. Compute Engine carica la chiave SSH pubblica e il nome utente nei metadati.
  5. Compute Engine recupera la chiave SSH e il nome utente dai metadati, crea un account utente con il nome utente e, sulle VM Linux, memorizza la chiave pubblica nel file ~/.ssh/authorized_keys dell'utente sulla VM. Nelle VM Windows, Compute Engine non memorizza la chiave pubblica sulla VM.
  6. Compute Engine concede la connessione.

Strumenti di terze parti

  1. Devi creare una coppia di chiavi SSH e un nome utente. Per maggiori dettagli, consulta la sezione Creare chiavi SSH.
  2. Carichi la chiave pubblica e il nome utente nei metadati. Per maggiori dettagli, consulta Aggiungere chiavi SSH alle VM che utilizzano chiavi SSH basate su metadati.
  3. Ti connetti alla VM.
  4. Compute Engine recupera la chiave SSH e il nome utente dai metadati, crea un account utente con il nome utente e, sulle VM Linux, memorizza la chiave pubblica nel file ~/.ssh/authorized_keys dell'utente sulla VM. Nelle VM Windows, Compute Engine non memorizza la chiave pubblica sulla VM.
  5. Compute Engine concede la connessione.

Connessioni SSH gestite da OS Login

Quando imposti i metadati di OS Login, Compute Engine elimina i fileauthorized_keys della VM e non accetta più connessioni da chiavi SSH archiviate nei metadati del progetto o dell'istanza. OS Login supporta le connessioni da chiavi SSH associate al tuo Account Google e certificati SSH (anteprima) firmati dall'autorità di certificazione di OS Login. Se vuoi, puoi richiedere a OS Login di consentire solo le connessioni che utilizzano i certificati SSH, come descritto in Requisire certificati SSH con OS Login.

Connessioni con chiavi SSH

Fai clic su ogni scheda per scoprire di più sulle configurazioni eseguite da Compute Engine prima di concedere le connessioni SSH quando utilizzi le chiavi SSH per connetterti alle VM. Compute Engine esegue configurazioni diverse a seconda che tu utilizzi la Google Cloud console, gcloud CLI o strumenti di terze parti per connetterti alle VM. Se ti colleghi utilizzando strumenti di terze parti, devi eseguire alcune configurazioni autonomamente.

Console

  1. Utilizza il pulsante SSH nella console Google Cloud per connetterti alla VM.
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH temporanea con la seguente configurazione:
    • Il tuo nome utente è quello impostato dall'amministratore di Cloud Identity o Google Workspace della tua organizzazione. Se la tua organizzazione non ha configurato un nome utente per te o se il tuo progetto non appartiene a un'organizzazione, Compute Engine utilizza l'indirizzo email del tuo Account Google nel seguente formato: 

      USERNAME_DOMAIN_SUFFIX
       Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.

    • La chiave SSH pubblica viene memorizzata nella sessione del browser e nel tuo Account Google.
    • La chiave SSH privata viene memorizzata nella sessione del browser.
    • La chiave SSH ha una scadenza di tre minuti. Tre minuti dopo che Compute Engine ha creato la chiave, non puoi più utilizzare la chiave SSH per connetterti alla VM.
  3. Compute Engine autentica la tua chiave SSH e concede la connessione.

gcloud

  1. Utilizza il comando gcloud compute ssh per connetterti alla VM.
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH permanente con le seguenti configurazioni:
    • Il tuo nome utente è quello impostato dall'amministratore di Cloud Identity o Google Workspace della tua organizzazione. Se la tua organizzazione non ha configurato un nome utente per te, Compute Engine utilizza l'indirizzo email del tuo Account Google nel seguente formato:

      USERNAME_DOMAIN_SUFFIX
       Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.

    • La chiave SSH pubblica è memorizzata nel tuo Account Google.
    • La chiave SSH privata è memorizzata nella macchina locale nel google_compute_engine file.
    • La tua chiave SSH non ha una scadenza. Viene utilizzata per tutte le connessioni SSH future che effettui, a meno che non configuri una nuova chiave.
  3. Compute Engine autentica la tua chiave SSH e concede la connessione.

Strumenti di terze parti

  1. Creazione di una coppia di chiavi SSH. Per maggiori dettagli, consulta la sezione Creare chiavi SSH.
  2. Carichi la chiave SSH pubblica nel tuo profilo OS Login. Per maggiori dettagli, consulta Aggiungere chiavi alle VM che utilizzano OS Login.
    • Compute Engine memorizza la chiave nel tuo Account Google.
    • Compute Engine configura il tuo nome utente nel formato predefinito: 
          USERNAME_DOMAIN_SUFFIX
       Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.
  3. Se vuoi, puoi impostare un nome utente con l' API Directory dell'SDK Admin di Google Workspace.
  4. Ti connetti alla VM.
  5. Compute Engine autentica la tua chiave SSH e concede la connessione.

Connessioni con i certificati SSH

Fai clic su ogni scheda per scoprire di più sulle configurazioni eseguite da Compute Engine prima di concedere le connessioni SSH quando utilizzi i certificati SSH per connetterti alle VM. Compute Engine esegue configurazioni diverse in base all'utilizzo della Google Cloud console, dell'gcloud CLI o di strumenti di terze parti per connettersi alle VM. Se ti colleghi utilizzando strumenti di terze parti, devi eseguire alcune configurazioni autonomamente.

Console

  1. Utilizza il pulsante SSH nella Google Cloud console per connetterti alla tua VM.
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH temporanea. Il tuo nome utente è quello impostato dall'amministratore di Cloud Identity o Google Workspace della tua organizzazione. Se la tua organizzazione non ha configurato un nome utente per te o il tuo progetto non appartiene a un'organizzazione, Compute Engine utilizza l'indirizzo email del tuo Account Google nel seguente formato: 

    USERNAME_DOMAIN_SUFFIX
     Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.

  3. Compute Engine invia la tua chiave pubblica all'autorità di certificazione di OS Login ed esegue l'autorizzazione IAM per assicurarsi che tu abbia le autorizzazioni per connetterti alla VM.
  4. L'autorità di certificazione di OS Login fornisce un certificato SSH firmato di breve durata.
  5. Compute Engine autentica il certificato a vita breve e concede la connessione.

gcloud

  1. Utilizza il comando gcloud beta compute ssh per connetterti alla VM.
  2. Compute Engine imposta un nome utente e crea una coppia di chiavi SSH temporanea. Il tuo nome utente è quello impostato dall'amministratore di Cloud Identity o Google Workspace della tua organizzazione. Se la tua organizzazione non ha configurato un nome utente per te o il tuo progetto non appartiene a un'organizzazione, Compute Engine utilizza l'indirizzo email del tuo Account Google nel seguente formato: 

    USERNAME_DOMAIN_SUFFIX
     Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.

  3. Compute Engine invia la tua chiave pubblica all'autorità di certificazione di OS Login ed esegue l'autorizzazione IAM per assicurarsi che tu abbia le autorizzazioni per connetterti alla VM.
  4. L'autorità di certificazione di OS Login fornisce un certificato SSH firmato di breve durata.
  5. Compute Engine autentica il certificato a vita breve e concede la connessione.

Strumenti di terze parti

  1. Creazione di una coppia di chiavi SSH. Per maggiori dettagli, consulta la sezione Creare chiavi SSH.
  2. Se non hai mai eseguito la connessione a una VM che utilizza OS Login, esegui il provisioning di un account POSIX.
  3. Compute Engine configura il tuo nome utente nel formato predefinito: 
    USERNAME_DOMAIN_SUFFIX
     Ad esempio, se l'indirizzo email associato al tuo Account Google è [email protected], il nome utente generato è cloudysanfrancisco_gmail_com.
  4. Se vuoi, l'amministratore può impostare un nome utente con l'API Directory dell'SDK Admin di Google Workspace. Se la tua organizzazione utilizza la federazione delle identità per la forza lavoro, devi contattare l'amministratore per cambiare il tuo nome utente.
  5. Invii la tua chiave pubblica all'autorità di certificazione di OS Login operativo.
  6. L'autorità di certificazione di OS Login fornisce un certificato SSH firmato di breve durata.
  7. Utilizza il certificato per connetterti alla VM.
  8. Compute Engine autentica il certificato a vita breve e concede la connessione.

Passaggi successivi