1. ভূমিকা
VPC সার্ভিস কন্ট্রোলস (VPC-SC) হল Google ক্লাউডের একটি প্রতিষ্ঠান স্তরের নিরাপত্তা নিয়ন্ত্রণ যা এন্টারপ্রাইজ গ্রাহকদের ডেটা এক্সফিল্ট্রেশন ঝুঁকি কমাতে সক্ষম করে। ভিপিসি সার্ভিস কন্ট্রোল ক্লায়েন্টকে অনুমোদিত আইপি, ক্লায়েন্ট প্রসঙ্গ এবং ডিভাইসের প্যারামিটারে অ্যাক্সেস সীমিত করতে সক্ষম করে মাল্টি-টেন্যান্ট পরিষেবাগুলিতে জিরো-ট্রাস্ট শৈলী অ্যাক্সেস সরবরাহ করে যাতে ইন্টারনেট এবং অন্যান্য পরিষেবাগুলি থেকে মাল্টি-টেন্যান্ট পরিষেবাগুলির সাথে সংযোগ স্থাপন করা হয় যাতে ইচ্ছাকৃত এবং উভয়ই হ্রাস করা যায়। অনিচ্ছাকৃত ক্ষতি। আপনি পরিধি তৈরি করতে VPC পরিষেবা নিয়ন্ত্রণগুলি ব্যবহার করতে পারেন যা আপনার স্পষ্টভাবে উল্লেখ করা পরিষেবাগুলির সংস্থান এবং ডেটা রক্ষা করে৷
এই টিউটোরিয়ালের লক্ষ্য হল:
- ভিপিসি সার্ভিস কন্ট্রোলের বুনিয়াদি বুঝুন
- একটি VPC পরিষেবা পরিধি তৈরি করুন
- ভিপিসি সার্ভিস কন্ট্রোল দিয়ে একটি প্রোজেক্ট সুরক্ষিত করুন
- একটি VPC পরিষেবা নিয়ন্ত্রণ প্রবেশ লঙ্ঘনের সমস্যা সমাধান করুন৷
2. সেটআপ এবং প্রয়োজনীয়তা
এই টিউটোরিয়ালের জন্য, আমাদের নিম্নলিখিত প্রাক-প্রয়োজনীয়তা প্রয়োজন:
- একটি GCP সংস্থা।
- সংস্থার অধীনে একটি ফোল্ডার।
- ফোল্ডারের নিচে রাখা একই সংস্থার মধ্যে 2টি GCP প্রকল্প।
- প্রতিষ্ঠান পর্যায়ে প্রয়োজনীয় অনুমতি .
- উভয় প্রকল্পের জন্য বিলিং অ্যাকাউন্ট।
সম্পদ সেটআপ
- Google ক্লাউড কনসোলে , সংস্থার অধীনে একটি ফোল্ডার এবং দুটি নতুন প্রকল্প তৈরি করুন।( আপনি বিদ্যমানগুলি পুনরায় ব্যবহার করতে পারেন )।
(আপনার যদি ইতিমধ্যেই একটি Google Workspace/Cloud Identity অ্যাকাউন্ট না থাকে, তাহলে আপনাকে অবশ্যই একটি অর্জন করতে হবে কারণ এই টিউটোরিয়ালের জন্য আপনার একটি সংস্থা থাকতে হবে)।
- সাংগঠনিক স্তরে এই টিউটোরিয়ালের জন্য আপনার কাছে সঠিক অনুমতি আছে তা যাচাই করুন।
- ফোল্ডারের জন্য IAM ভূমিকা
- প্রকল্পের জন্য অনুমতি এবং ভূমিকা
- VPC পরিষেবা নিয়ন্ত্রণ কনফিগার করার জন্য প্রয়োজনীয় অনুমতি এবং ভূমিকা
- কম্পিউট ইঞ্জিন পরিচালনার জন্য প্রয়োজনীয় অনুমতি এবং ভূমিকা
- নিশ্চিত করুন যে উভয় প্রকল্পই ফোল্ডারের অধীনে উপলব্ধ রয়েছে কারণ আমাদের ফোল্ডার স্তরে একটি স্কোপড নীতি তৈরি করতে হবে। একটি ফোল্ডারে একটি প্রকল্প সরানো সম্পর্কে জানুন।
খরচ
ক্লাউড রিসোর্স/এপিআই ব্যবহার করতে আপনাকে ক্লাউড কনসোলে বিলিং সক্ষম করতে হবে। এই কোডল্যাবের মাধ্যমে চালানোর জন্য খুব বেশি খরচ হবে না, যদি কিছু হয়। এই টিউটোরিয়ালের বাইরে বিলিং এড়াতে সংস্থানগুলি বন্ধ করতে, আপনি আপনার তৈরি করা সংস্থানগুলি মুছতে বা প্রকল্প মুছতে পারেন। নতুন Google ক্লাউড ব্যবহারকারীরা $300 USD বিনামূল্যের ট্রায়াল প্রোগ্রামের জন্য যোগ্য৷
একমাত্র সম্পদ যা একটি খরচ তৈরি করবে তা হল VM দৃষ্টান্ত। প্রাইসিং ক্যালকুলেটরে একটি আনুমানিক খরচ পাওয়া যাবে ।
3. একটি পরিধি তৈরি করুন
এই পরীক্ষাগারে আমরা নিম্নলিখিত পদক্ষেপগুলি সম্পাদন করতে যাচ্ছি:
- Google কনসোলে, আপনার সংস্থা নির্বাচন করুন এবং VPC পরিষেবা নিয়ন্ত্রণগুলি অ্যাক্সেস করুন ৷ অনুগ্রহ করে নিশ্চিত করুন যে আপনি প্রতিষ্ঠানের পর্যায়ে আছেন।
- "কোডেল্যাব" ফোল্ডারে স্কোপ করা একটি নতুন অ্যাক্সেস নীতি তৈরি করতে "নীতি পরিচালনা করুন" এ ক্লিক করুন৷
- এনফোর্সড মোডে একটি নতুন পরিধি তৈরি করুন । এই টিউটোরিয়ালের জন্য এর নাম দেওয়া যাক "SuperProtection"।
- আপনি যখন ঘের তৈরি করেন, তখন প্রজেক্টজেড হিসাবে প্রয়োগ করার জন্য প্রকল্পটি নির্বাচন করুন।
- "নিয়মিত" হিসাবে ঘের প্রকার নির্বাচন করুন।
- সংলাপে সীমাবদ্ধ করার জন্য পরিষেবাগুলি নির্দিষ্ট করুন , "কম্পিউট ইঞ্জিন" হিসাবে সীমাবদ্ধ করতে পরিষেবাটি নির্বাচন করুন৷
ঘের সেটআপ এই মত হওয়া উচিত:
4. পরিধি কার্যকর করা হয়েছে তা যাচাই করুন
- ProjectX অ্যাক্সেস করুন এবং আপনি VM ইনস্ট্যান্স হোম পেজে গিয়ে Compute Engine API অ্যাক্সেস করতে সক্ষম কিনা তা যাচাই করুন। আপনি এটি করতে সক্ষম হবেন কারণ প্রজেক্টএক্স তৈরি করা VPC SC পরিধি দ্বারা সুরক্ষিত নয়।
- ProjectZ অ্যাক্সেস করুন এবং আপনি Compute Engine অ্যাক্সেস করতে সক্ষম কিনা তা যাচাই করুন। আপনি দেখতে পাচ্ছেন যে অনুরোধটি VPC পরিষেবা নিয়ন্ত্রণ দ্বারা নিষিদ্ধ করা হয়েছে কারণ পরিষেবা পরিধি SuperProtection ProjectZ এবং Compute Engine APIকে রক্ষা করে৷
5. অস্বীকারের সমস্যা সমাধান করা
প্রথমে আমাদের চিহ্নিত করতে হবে সমস্যাটি ঠিক কী তা নির্ধারণ করতে এখানে সমস্যাটি কীভাবে সমাধান করা যায়।
- VPC পরিষেবা নিয়ন্ত্রণ লগগুলিতে সুরক্ষিত সংস্থানগুলির অনুরোধের বিবরণ এবং VPC পরিষেবা নিয়ন্ত্রণগুলি অনুরোধ অস্বীকার করার কারণ অন্তর্ভুক্ত করে৷ আসুন লগ এক্সপ্লোরারে নিম্নলিখিত ক্যোয়ারী ব্যবহার করে ProjectZ অডিট লগগুলিতে VPC পরিষেবা নিয়ন্ত্রণ অনন্য আইডি খুঁজে বের করি:
resource.type="audited_resource" protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"
এটি সমস্ত VPC পরিষেবা নিয়ন্ত্রণ নিরীক্ষা লগ দেখাবে৷ আমরা শেষ ত্রুটি লগ খুঁজছেন হবে.
- ভিপিসি সার্ভিস কন্ট্রোল হেডারে ক্লিক করুন এবং "ট্রাবলশুট ডিনায়াল" নির্বাচন করুন যা ভিপিসি সার্ভিস কন্ট্রোলস ট্রাবলশুটার খুলবে।
এই API আমাদের একটি বন্ধুত্বপূর্ণ UI তে লঙ্ঘনের কারণ দেখাবে, এবং যদি এটি অন্যান্য দরকারী জিনিসগুলির মধ্যে একটি প্রবেশ বা প্রস্থান লঙ্ঘন হয়।
এই অনুশীলনের জন্য আমরা নিম্নলিখিতগুলি সন্ধান করব:
"principalEmail": "user@domain"
"callerIp": "PUBLIC_IP_ADDRESS"
"serviceName": "compute.googleapis.com"
"servicePerimeterName":
"accessPolicies/[POLICY_NUMBER]/servicePerimeters/SuperProtection
"ingressViolations": [
{
"targetResource": "projects/[PROJECT_NUMBER]",
"servicePerimeter": "accessPolicies/[POLICY_NUMBER]/servicePerimeters/SuperProtection"
}
],
"violationReason": "NO_MATCHING_ACCESS_LEVEL",
"resourceNames": "[PROJECT_ID]"
ProjectZ-এ এই অস্বীকৃতি ঠিক করার জন্য আমাদের কাছে দুটি বিকল্প আছে।
- আমার সিস্টেম আইপিতে অ্যাক্সেস মঞ্জুর করে পরিধির ভিতরে প্রকল্পে অ্যাক্সেসের অনুমতি দেওয়ার জন্য একটি অ্যাক্সেস স্তর তৈরি করা।
- পরিষেবা পরিধির বাইরে থেকে পরিষেবা পরিধির মধ্যে সংস্থানগুলিতে কোনও API ক্লায়েন্টকে অ্যাক্সেসের অনুমতি দেওয়ার জন্য একটি প্রবেশের নিয়ম তৈরি করা।
এই টিউটোরিয়ালে আমরা একটি অ্যাক্সেস লেভেল তৈরি করে সমস্যা সমাধান করব।
- ফোল্ডার (কোডেল্যাব) স্কোপে অ্যাক্সেস কনটেক্সট ম্যানেজারে যান এবং একটি নতুন অ্যাক্সেস লেভেল তৈরি করুন।
- "বেসিক মোড" ব্যবহার করুন এবং আইপি সাবনেটওয়ার্ক এবং ভৌগলিক অবস্থান পূরণ হলে আমরা অ্যাক্সেসের অনুমতি দেব।
- প্রতিষ্ঠানের সুযোগে ভিপিসি সার্ভিস কন্ট্রোলে যান। এই কোডল্যাবের জন্য আপনার অ্যাক্সেস নীতি নির্বাচন করুন এবং আমরা পূর্বে তৈরি করা পরিধি সম্পাদনা করুন।
- ফোল্ডার স্কোপে তৈরি অ্যাক্সেস লেভেল যোগ করুন এবং সংরক্ষণ করুন।
6. পরীক্ষার ফলাফল।
নিশ্চিত করুন যে আমাদের কম্পিউট ইঞ্জিনে অ্যাক্সেস আছে এবং আমরা একটি VM উদাহরণ তৈরি করতে সক্ষম। এখন যেহেতু আমরা অ্যাক্সেস লেভেল তৈরি করেছি, আসুন ProjectZ-এ কম্পিউট ইঞ্জিন অ্যাক্সেস করার চেষ্টা করি এবং একটি VM উদাহরণ তৈরি করি।
- Compute Engine- এ যান এবং Create Instance-এ ক্লিক করুন
- ডিফল্ট হিসাবে সবকিছু ছেড়ে দিন এবং একটি কম খরচে VM উদাহরণ তৈরি করার চেষ্টা করুন।
প্রায় এক মিনিটের পরে, আপনি তৈরি করা VM দৃষ্টান্ত দেখতে পাবেন এবং আপনি যাচাই করতে পারেন যে ঘেরের ভিতরে সুরক্ষিত কম্পিউট ইঞ্জিনে আপনার সম্পূর্ণ অ্যাক্সেস রয়েছে।
7. পরিষ্কার করা
পরিষেবাটি ব্যবহার না করার সময় VPC পরিষেবা নিয়ন্ত্রণগুলি ব্যবহার করার জন্য কোনও আলাদা চার্জ নেই, এই পরীক্ষাগারে ব্যবহৃত সেটআপ পরিষ্কার করার জন্য এটি একটি সর্বোত্তম অনুশীলন৷ চার্জ এড়াতে আপনি আপনার VM ইন্সট্যান্স এবং/অথবা ক্লাউড প্রকল্পগুলিও মুছতে পারেন। আপনার ক্লাউড প্রকল্প মুছে ফেলা সেই প্রকল্পের মধ্যে ব্যবহৃত সমস্ত সংস্থানের জন্য বিলিং বন্ধ করে দেয়।
- আপনার VM ইন্সট্যান্স মুছতে, আপনার VM ইনস্ট্যান্স নামের বাম পাশের চেকবক্সটি নির্বাচন করুন এবং তারপরে মুছুন ক্লিক করুন।
- পরিধি মুছে ফেলতে, নিম্নলিখিত পদক্ষেপগুলি সম্পূর্ণ করুন:
- Google ক্লাউড কনসোলে, নিরাপত্তা ক্লিক করুন, এবং তারপরে প্রতিষ্ঠানের সুযোগে VPC পরিষেবা নিয়ন্ত্রণে ক্লিক করুন।
- VPC পরিষেবা নিয়ন্ত্রণ পৃষ্ঠায়, আপনি যে পরিধিটি মুছতে চান তার সাথে সম্পর্কিত টেবিলের সারিতে, "আইকন মুছুন" এ ক্লিক করুন
- অ্যাক্সেস লেভেল মুছে ফেলতে, নিম্নলিখিত পদক্ষেপগুলি সম্পূর্ণ করুন:
- Google ক্লাউড কনসোলে, ফোল্ডার স্কোপে অ্যাক্সেস কনটেক্সট ম্যানেজার পৃষ্ঠাটি খুলুন।
- গ্রিডে, আপনি যে অ্যাক্সেস লেভেলটি মুছতে চান তার সারিতে, "মুছুন আইকন" এ ক্লিক করুন এবং তারপরে মুছুন এ ক্লিক করুন।
- আপনার প্রকল্পগুলি বন্ধ করতে, নিম্নলিখিত পদক্ষেপগুলি সম্পূর্ণ করুন:
- Google ক্লাউড কনসোলে, আপনি যে প্রকল্পটি মুছতে চান তার IAM এবং অ্যাডমিন সেটিংস পৃষ্ঠায় যান।
- IAM এবং অ্যাডমিন সেটিংস পৃষ্ঠায়, শাটডাউন ক্লিক করুন।
- প্রজেক্ট আইডি লিখুন, এবং যাইহোক শাটডাউন ক্লিক করুন।
8. অভিনন্দন!
এই কোডল্যাবে আপনি একটি VPC পরিষেবা নিয়ন্ত্রণ পরিধি তৈরি করেছেন, এটি প্রয়োগ করেছেন এবং এটির সমস্যা সমাধান করেছেন।
আরও জানুন
- ভিপিসি সার্ভিস কন্ট্রোল ডকুমেন্টেশন দেখুন।
- অ্যাক্সেস কনটেক্সট ম্যানেজার ডকুমেন্টেশন দেখুন।
- ভিপিসি-এসসি ট্রাবলশুটার ডকুমেন্টেশন দেখুন।
লাইসেন্স
এই কাজটি ক্রিয়েটিভ কমন্স অ্যাট্রিবিউশন 2.0 জেনেরিক লাইসেন্সের অধীনে লাইসেন্সপ্রাপ্ত।