Intel Endpoint Management Assistant (Intel EMA)

(1)

Intel® Endpoint Management Assistant (Intel® EMA)

Guide de déploiement de Google Cloud Platform*

Intel® version 1.3.3 Octobre 2020

(2)

Avertissement

Les technologies Intel peuvent nécessiter du matériel, des logiciels ou l’activation de services compatibles.

Aucun produit ou composant ne saurait être totalement sécurisé en toutes circonstances.

Vos coûts et résultats peuvent varier.

Aucune licence (explicite ou implicite, par principe d’estoppel ou autre) sur quelque droit de propriété intellectuelle que ce soit ne sera accordée par le présent document.

Intel décline toute garantie expresse ou implicite, y compris mais sans s’y limiter, les garanties de valeur marchande et d’adaptation à un usage quelconque, et d’absence de contrefaçon, comme toute garantie s’inférant des pratiques commerciales établies ou des modalités d’exécution.

Les produits et services décrits peuvent contenir des défauts ou des erreurs désignés par le terme errata, susceptibles d’entraîner des écarts entre les données fournies et les spécifications publiées. La liste des errata déjà identifiés peut être fournie sur demande.

Les fonctionnalités et avantages des technologies Intel dépendent de la configuration du système et peuvent nécessiter du matériel et des logiciels compatibles, ou l’activation de services. Les performances varient d’une configuration à une autre. Aucun ordinateur ne saurait être totalement sécurisé en toutes circonstances. Intel rejette toute responsabilité en cas de perte ou de vol de données et/ou d’ordinateurs ainsi que pour tout préjudice qui en résulterait. Pour plus de détails, contactez le fabricant ou le vendeur de votre ordinateur ou rendez-vous sur http://www.intel.com/technology/vpro.

*Les autres noms et marques peuvent être revendiqués comme la propriété de tiers.

(3)

Sommaire

1 Introduction ... 1

1.1 À propos du cloud computing ... 1

1.2 Navigation dans la console GCP ... 1

1.2.1 Menu Services ... 1

1.2.2 Développement du menu Services ... 2

1.3 Organisation des ressources dans GCP ... 2

1.4 Avant de commencer ... 4

2 Diagrammes d’architecture de haut niveau ... 4

2.1 Déploiement de serveur unique ... 4

2.2 Déploiement de serveurs distribués ... 5

3 Déploiement du réseau ... 5

3.1 Présentation ... 5

3.2 Réseau Cloud privé virtuel ... 6

3.2.1 Accéder aux réseaux VPC ... 6

3.2.2 Créer le réseau VPC ... 6

3.2.3 Configurer le réseau VPC ... 6

3.2.4 Ajouter un sous-réseau ... 7

3.2.5 Finaliser le VPC ... 7

3.2.6 Accéder aux détails du réseau VPC ... 8

3.2.7 Attribuer une plage d’adresses IP pour la connexion de service privé ... 8

3.2.8 Saisir les détails de la plage IP de service privé ... 8

3.3 Règles de pare-feu... 9

3.3.1 Accéder aux règles de pare-feu ... 9

3.3.2 Créer une règle de pare-feu pour le trafic RDP ... 10

3.3.3 Créer une règle de pare-feu pour le trafic Web (déploiement d’un seul serveur uniquement) ... 11

3.3.4 Créer une règle de pare-feu pour le trafic Web (déploiement de serveurs distribués uniquement) ... 13

3.3.5 Créer une règle de pare-feu pour le trafic Swarm ... 14

3.3.6 Créer une règle de pare-feu pour le trafic entre serveurs (déploiement de serveurs distribués uniquement) ... 15

3.4 Déployer Cloud NAT et Cloud Router ... 16

3.4.1 Accéder à Cloud NAT ... 16

3.4.2 Configurer les détails de Cloud NAT et créer Cloud Router ... 17

4 Déploiement de Cloud SQL ... 18

4.1 Créer le serveur Cloud SQL ... 18

4.1.1 Accéder au service SQL ... 19

4.1.2 Créer l’instance SQL Server ... 19

4.1.3 Sélectionner le moteur de base de données ... 20

4.1.4 Configurer les informations de base de l’instance ... 20

4.1.5 Configurer le type de machine et le stockage ... 21

4.1.6 Configurer la connectivité ... 22

4.1.7 Configurer les sauvegardes, la récupération et la haute disponibilité ... 23

4.1.8 Obtenir l’adresse IP de la base de données ... 23

5 Déploiement de machines virtuelles ... 23

5.1 Présentation ... 23

5.2 Créer une instance de VM GCE ... 24

5.2.1 Configurer les détails de base de la VM ... 24

5.2.2 Configurer le type de machine VM ... 25

5.2.3 Configurer l’image de démarrage de la VM ... 25

5.2.4 Configurer l’accès à la VM et le pare-feu ... 25

(4)

5.2.5 Configurer le réseau de la VM ... 26

5.2.6 Configurer l’interface réseau de la VM (déploiement d’un serveur unique) ... 26

5.2.7 Configurer l’interface réseau de la VM (déploiement de serveurs distribués) ... 27

5.2.8 Finaliser la création de la VM ... 27

5.2.9 Définir le mot de passe Windows ... 27

5.3 Créer une deuxième instance de VM GCE (déploiement de serveurs distribués uniquement) ... 27

5.4 Se connecter à des machines virtuelles avec RDP ... 28

6 Déploiement de l’équilibreur de charge (déploiement de serveurs distribués uniquement) ... 28

6.1 Créer un ou plusieurs groupes d’instances non gérées ... 29

6.1.1 Accéder aux groupes d’instances ... 29

6.1.2 Créer un groupe d’instances non gérées ... 29

6.1.3 Créer des groupes d’instances supplémentaires ... 29

6.2 Créer des vérifications d’état ... 30

6.2.1 Créer une vérification d’état pour le backend du Web ... 30

6.2.2 Créer une vérification d’état pour le backend de Swarm ... 30

6.3 Accéder à l’équilibrage de charge ... 31

6.4 Créez l’équilibreur de charge HTTPS ... 31

6.4.1 Sélectionner Équilibrage de charge HTTP(S) ... 31

6.4.2 Définir un nom pour l’équilibreur de charge ... 31

6.4.3 Configuration du service de backend ... 32

6.4.4 Configuration du frontend ... 34

6.4.5 Examiner et finaliser ... 34

6.5 Créer l’équilibreur de charge TCP ... 35

6.5.1 Sélectionner Équilibrage de charge TCP ... 35

6.5.2 Définir un nom pour l’équilibreur de charge ... 35

6.5.3 Configuration du service de backend ... 35

6.5.4 Configuration du frontend ... 37

6.5.5 Examiner et finaliser ... 37

6.6 DNS pour votre serveur Intel EMA ... 38

7 **Annexe B - Notes sur l’intégration d’Active Directory* ... 39**

(5)

Guide de déploiement Web d’Intel® EMA - Octobre 2020 1

1 Introduction

Ce document décrit la procédure de déploiement de l’infrastructure nécessaire pour prendre en charge une ou plusieurs instances du serveur Intel® Endpoint Management Assistant (Intel® EMA) sur la plateforme de cloud computing Google Cloud Platform (GCP)*.

Il s’adresse aux administrateurs informatiques ayant des connaissances intermédiaires à avancées de l’infrastructure informatique et qui pourraient avoir des connaissances limitées en matière de cloud computing.

Plusieurs composants sont nécessaires pour un environnement complet d’infrastructure de cloud computing. Nous vous

recommandons donc de lire attentivement ce guide pour comprendre comment ils sont configurés pour fonctionner ensemble. Une description de chaque composant est fournie avant la procédure de déploiement, avec un lien vers la documentation officielle du fournisseur de Cloud pour plus d’informations si nécessaire.

1.1 À propos du cloud computing

Le cloud computing est la fourniture à la demande de ressources informatiques sur Internet avec une tarification à la carte. Au lieu d’acheter, de posséder et d’entretenir des centres de données et des serveurs physiques, vous pouvez accéder à des services

technologiques, tels que la puissance de calcul, le stockage et les bases de données, en fonction des besoins, auprès d’un fournisseur de services de cloud. Vous pouvez déployer uniquement ce dont vous avez besoin maintenant et faire évoluer la capacité en fonction de l’évolution des besoins de l’entreprise.

Les grands fournisseurs de cloud disposent de centres de données dans le monde entier, ce qui vous permet de déployer des ressources géographiquement proches de l’endroit où se trouvent vos clients et utilisateurs finaux.

Avec des services entièrement gérés comme Cloud SQL, vous pouvez vous concentrer sur vos données pendant que le fournisseur Cloud gère l’ensemble du matériel et des logiciels sous-jacents qui fournissent le service. Avec les machines virtuelles fonctionnant dans le cloud, vous ne gérez que le système d’exploitation invité et les logiciels qui y sont installés, tandis que le fournisseur de cloud gère le matériel sous-jacent et s’efforce de vous offrir la meilleure fiabilité et la meilleure disponibilité possible.

1.2 Navigation dans la console GCP 1.2.1 Menu Services

Après vous être connecté à la console GCP à l’adresse

https://console.cloud.google.com/, vous verrez l’icône du menu des services dans le coin supérieur gauche. À sa droite, vous verrez un menu Project dans lequel vous pourrez sélectionner le projet dans lequel vous allez déployer vos ressources, après avoir créé un projet.

(6)

1.2.2 Développement du menu Services

En cliquant sur l’icône du menu Services, vous verrez une liste de services énumérés ci-dessous et organisés en sections comme COMPUTE, STORAGE, etc.

Dans ce guide, nous vous fournirons des instructions vous permettant de sélectionner un service dans ce menu lorsque nous déployons les différents composants qui nous

seront utiles.

1.3 Organisation des ressources dans GCP

Toutes les ressources de GCP sont déployées dans un projet. Si vous utilisez un compte privé, il s’agit de la seule structure que vous posséderez. Si vous utilisez un compte d’entreprise, les projets peuvent être placés directement sous le nœud d’organisation ou être regroupés facultativement dans des dossiers qui se trouvent sous le nœud d’organisation.

(7)

(8)

1.4 Avant de commencer

Si votre entreprise dispose déjà d’un compte GCP, vous devez demander à un administrateur Cloud de vous créer un projet et de vous donner l’accès en tant que propriétaire du projet. Si vous êtes l’administrateur Cloud, vous pouvez accéder au menu IAM et Admin > Manage Resource dans GCP pour créer le projet vous-même.

Si votre entreprise ne possède pas de compte GCP, ou si vous souhaitez l’évaluer personnellement, vous pouvez vous rendre sur le site https://console.cloud.google.com/ et vous connecter avec un compte Google*. Vous aurez alors droit à un essai gratuit avec un crédit promotionnel inclus.

Vérifiez auprès de votre administrateur réseau pour savoir s’il existe un espace d’adressage préféré à utiliser. Vous voudrez éviter le chevauchement avec votre réseau d’entreprise afin d’éviter les problèmes de routage si vous avez déjà établi un VPN avec le

fournisseur de cloud computing, ou si vous le faites à l’avenir. Vous voudrez également savoir quelle sera l’adresse IP source du trafic quittant votre entreprise pour atteindre le cloud afin de pouvoir autoriser uniquement les réseaux de confiance à atteindre la

machine virtuelle Intel EMA depuis Internet.

2 Diagrammes d’architecture de haut niveau

2.1 Déploiement de serveur unique

(9)

2.2 Déploiement de serveurs distribués

3 Déploiement du réseau

3.1 Présentation

Pour que les machines virtuelles puissent communiquer entre elles, avec le fournisseur de cloud ou avec l’Internet, nous devons d’abord configurer un environnement réseau. Un réseau Cloud privé virtuel (réseau VPC) est l’élément fondamental de votre réseau privé dans GCP. Il ressemble beaucoup à un réseau traditionnel, sauf qu’il est virtualisé dans GCP. Un réseau VPC est une ressource globale qui comprend une liste de sous-réseaux virtuels régionaux (sous-réseaux) dans des centres de données, tous reliés par un réseau mondial étendu. Les réseaux VPC sont logiquement isolés les uns des autres.

Lors de la création d’un réseau VPC, vous devrez fournir un espace d’adressage IP privé personnalisé. GCP attribuera aux ressources une adresse IP privée à partir de cet espace d’adressage si nécessaire. Vous devez consulter votre équipe d’ingénierie réseau pour identifier un bloc d’adresses IP disponible à utiliser pour éviter les conflits de routage dans le cas où votre entreprise dispose déjà d’une connectivité IP privée au cloud ou en disposera à l’avenir.

Nous devrons également allouer un bloc IP pour accéder aux services privés afin de permettre à une ou plusieurs machines virtuelles d’accéder aux services Google via une connexion privée plutôt que via des postes de travail publics.

Lors de la création du réseau VPC, nous devrons également créer au moins un sous-réseau. Les sous-réseaux vous permettent de segmenter le réseau virtuel en attribuant une partie de son espace d’adressage à chaque sous-réseau. Vous pouvez ensuite déployer des ressources dans un sous-réseau spécifique.

Pour en savoir plus sur les services déployés dans cette section, consultez les liens suivants :

• VPC : https://cloud.google.com/vpc/docs

• Private Google Access : https://cloud.google.com/vpc/docs/configure-private-google-access

• Cloud NAT : https://cloud.google.com/nat/docs/overview

• Cloud Router : https://cloud.google.com/network-connectivity/docs/router

(10)

3.2 Réseau Cloud privé virtuel

Suivez cette procédure pour créer un réseau VPC avec un seul sous-réseau.

3.2.1 Accéder aux réseaux VPC

Dans le menu des services, allez à Networking > VPC network >

VPC networks.

3.2.2 Créer le réseau VPC

Cliquez sur CREATE VPC NETWORK.

3.2.3 Configurer le réseau VPC

Configurez le VPC comme suit :

● Name : Saisissez un nom unique.

Exemple : intel-ema-demo

● Subnet creation mode : Custom

(11)

3.2.4 Ajouter un sous-réseau

Configurez la section New subnet comme suit :

● Name : Saisissez un nom de sous-réseau unique.

Exemple : ema-servers

● Region : Sélectionnez une région dans laquelle vous souhaitez déployer des ressources.

Exemple : us-central1

● IP address range : Saisissez une plage d’adresses IP à utiliser.

Exemple : 10.250.0.0/24

● Private Google access : On Cliquez sur le bouton Done.

3.2.5 Finaliser le VPC

Vous pouvez laisser les autres paramètres avec les valeurs par défaut.

Cliquez sur le bouton Create pour finaliser le réseau VPC.

(12)

3.2.6 Accéder aux détails du réseau VPC

Cliquez sur le nom du VPC nouvellement créé pour afficher l’écran de détails.

3.2.7 Attribuer une plage d’adresses IP pour la connexion de service privé

Cliquez sur Private service connection.

Cliquez sur le bouton Allocate IP range.

3.2.8 Saisir les détails de la plage IP de service privé

Configurez l’attribution IP comme suit :

• Name : Saisissez un nom unique pour la plage IP.

Exemple : google-private-access

• IP range : Custom

Saisissez une plage d’adresses IP non utilisée. Google nécessite au moins une taille de préfixe /24, mais recommande le préfixe /16.

Exemple : 10.251.0.0/16 Cliquez sur le bouton Allocate.

(13)

3.3 Règles de pare-feu

Chaque réseau VPC met en œuvre un pare-feu virtuel distribué que vous pouvez configurer. Les règles de pare-feu vous permettent de contrôler les paquets autorisés à aller vers des destinations précises. Chaque réseau VPC comporte deux règles de pare-feu implicites qui bloquent toutes les connexions entrantes et autorisent toutes les connexions sortantes.

L’une des méthodes permettant de spécifier une cible ou une destination consiste à utiliser des balises qui seront appliquées plus tard à une ou plusieurs machines virtuelles afin que les règles de pare-feu associées à ces VM entrent en vigueur.

Pour en savoir plus sur l’utilisation d’un pare-feu VPC, consultez le lien suivant : https://cloud.google.com/vpc/docs/firewalls.

3.3.1 Accéder aux règles de pare-feu

Dans le menu des services, allez à Networking > VPC network >

Firewall.

Cliquez sur CREATE FIREWALL RULE.

(14)

3.3.2 Créer une règle de pare-feu pour le trafic RDP

Nous devons autoriser le trafic entrant provenant de la plage IP de Google utilisée par le service Identity-Aware Proxy (IAP), que nous utiliserons pour nous connecter aux machines virtuelles.

Configurez la règle de pare-feu comme suit.

Exemple : allow-rdp-from-google-iap

● Description : Allow Remote Desktop access through Google’s Identity-Aware Proxy service

● Network : Sélectionnez le VPC que vous avez créé précédemment.

● Targets : All instances in the network

● Source filter : IP ranges

● Source IP ranges : 35.235.240.0/20

● Specified ports protocols and ports : tcp : 3389

Cliquez sur le bouton Create.

(15)

3.3.3 Créer une règle de pare-feu pour le trafic Web (déploiement d’un seul serveur uniquement)

Créez une nouvelle règle de pare-feu et configurez-la comme suit.

Exemple : allow-web-from-trusted-to-ema

● Description : Allow web traffic from trusted sources to the server

● Targets : Specified target tags

● Target tags : ema-server

● Source IP ranges : Saisissez le ou les réseaux de confiance devant disposer d’un accès.

● Specified ports protocols and ports :

○ tcp : 443,8084 Cliquez sur le bouton Create.

(16)

(17)

3.3.4 Créer une règle de pare-feu pour le trafic Web (déploiement de serveurs distribués uniquement)

Exemple : allow-web-from-load-balancer

● Description : Allow web traffic from the Google load balancer

● Source IP ranges :

○ 35.191.0.0/16

○ 130.211.0.0/22

○ tcp : 443,8084

(18)

3.3.5 Créer une règle de pare-feu pour le trafic Swarm

Exemple : allow-swarm-from-any-to-ema

● Description : Allow EMA agent traffic from anywhere to the server

● Source IP ranges : 0.0.0.0/0

○ tcp : 8080 Cliquez sur le bouton Create.

(19)

3.3.6 Créer une règle de pare-feu pour le trafic entre serveurs (déploiement de serveurs distribués uniquement)

Exemple : allow-ema-internal

● Description : Allow internal communication between EMA servers

● Source filter : Source tags

● Source tags : ema-server

○ tcp : 8092-8094,8089

(20)

3.4 Déployer Cloud NAT et Cloud Router 3.4.1 Accéder à Cloud NAT

Dans le menu des services, allez à Networking >

Network services > Cloud NAT.

Cliquez sur Get started.

(21)

3.4.2 Configurer les détails de Cloud NAT et créer Cloud Router

Configurez la passerelle NAT comme suit :

• Gateway name : Saisissez un nom unique.

Exemple : ema-usc1-nat-gw

• VPC network : Sélectionnez le VPC créé précédemment.

• Region : Sélectionnez la région dans laquelle vous déployez vos machines virtuelles.

• Cloud Router : Sélectionnez Create new router dans le menu déroulant.

o Saisissez un nom unique pour Cloud Router.

Exemple : ema-usc1-router

o Cliquez sur le bouton Create pour finaliser Cloud Router.

Cliquez sur le bouton Create pour finaliser la passerelle Cloud NAT.

(22)

4 Déploiement de Cloud SQL

Google Cloud SQL pour SQL Server est un moteur de base de données PaaS (platform-as-a-service) entièrement géré, doté des fonctionnalités suivantes :

●

Des machines personnalisées possédant jusqu’à 624 Go de RAM et 96 processeurs.

●

Jusqu’à 30 To de stockage disponible, avec la possibilité d’augmenter automatiquement la capacité de stockage en fonction des besoins.

●

La création et la gestion des instances dans Google Cloud Console.

●

Des instances disponibles aux États-Unis, dans l’UE, en Asie ou en Australie.

●

Des données client chiffrées sur les réseaux internes de Google et dans les tables de base de données, les fichiers temporaires et les sauvegardes.

●

La prise en charge des connexions externes sécurisées avec le proxy Cloud SQL ou le protocole SSL/TLS.

●

L’importation des bases de données à l’aide des fichiers BAK et SQL.

●

L’exportation des bases de données à l’aide des fichiers BAK.

●

Des sauvegardes automatisées et à la demande.

●

L’intégration à la journalisation et à la surveillance de Stackdriver.

●

SQL Server Agent permettant de faciliter la réplication et d’autres tâches.

Remarque : Cloud SQL NE prend PAS en charge l’authentification AD.

Pour en savoir plus sur Cloud SQL et sur la liste complète des fonctionnalités qui ne sont pas prises en charge, consultez le lien suivant : https://cloud.google.com/sql/docs/sqlserver.

4.1 Créer le serveur Cloud SQL

Suivez cette procédure pour créer une base de données SQL Server et accorder l’accès à votre ou à vos machines virtuelles.

(23)

4.1.1 Accéder au service SQL

Dans le menu des services, allez à Storage > SQL.

4.1.2 Créer l’instance SQL Server

Cliquez sur CREATE INSTANCE.

(24)

4.1.3 Sélectionner le moteur de base de données

Sélectionnez SQL Server comme moteur de base de données.

4.1.4 Configurer les informations de base de l’instance

Configurez les détails de base comme suit.

● Instance ID : Saisissez un nom unique.

Exemple : ema-db

● Password : Créez un mot de passe. Notez que le nom d’utilisateur par défaut de l’administrateur de service est « sqlserver ».

● Region : Utilisez la même région que votre sous-réseau.

● Zone : Any

(25)

4.1.5 Configurer le type de machine et le stockage

Sous Configuration options, configurez Machine type and storage comme suit.

● Database version and edition : SQL Server 2017 Standard

● Machine type : Standard

Concernant le stockage, vous pouvez laisser les valeurs par défaut si vous n’avez pas de besoins spécifiques.

Consultez le guide d’installation du serveur Intel® Endpoint Management Assistant pour obtenir des conseils sur la configuration requise.

(26)

4.1.6 Configurer la connectivité

Sous Configuration options, configurez Connectivity comme suit.

● Private IP : activée

○ Confirmez la fenêtre contextuelle d’activation de l’API de mise en réseau des services de Google si vous la voyez.

○ Associated networking : Sélectionnez le VPC que vous avez créé précédemment.

○ Sélectionnez la plage IP que vous avez précédemment attribuée au VPC pour avoir un accès privé à Google.

○ Cliquez sur le bouton Connect. Lorsque la sous-section « Managed service network connection » disparaît, vous pouvez continuer.

● Public IP : désactivée

Cliquez sur le bouton Close pour réduire la section Connectivity.

(27)

4.1.7 Configurer les sauvegardes, la récupération et la haute disponibilité

Sous Configuration options, configurez Backups, recovery, and high availability comme suit.

Les paramètres de sauvegarde sont à votre discrétion.

Il est recommandé d’activer High availability pour les déploiements de production.

Cliquez sur le bouton Create pour finaliser la création de la base de données.

4.1.8 Obtenir l’adresse IP de la base de données

Une fois la base de données créée, la page de présentation affichera son adresse IP privée dans la section « Connect to this instance ».

5 Déploiement de machines virtuelles

5.1 Présentation

Google Compute Engine (GCE) vous offre la flexibilité du calcul virtualisé sans avoir à acheter et à entretenir le matériel physique qui l’exécute. Cependant, vous êtes toujours responsable de la maintenance du système d’exploitation invité et des logiciels qui s’y exécutent.

Lorsque vous créez une instance dans un projet, vous spécifiez la zone, le système d’exploitation et le type de machine associés à cette instance. Lorsque vous supprimez une instance, elle est retirée du projet. Le type de machine permet de déterminer le processeur et la mémoire à attribuer aux machines virtuelles (VM) GCE au moment de la création, le stockage étant une option distincte. Cependant, vous pouvez également changer le type de machine d’une instance arrêtée ou augmenter la capacité de stockage ultérieurement.

Chaque instance Compute Engine appartient à un réseau VPC. Les instances d’un même réseau communiquent entre elles via un protocole de réseau local. Une instance utilise Internet pour communiquer avec n’importe quelle machine, virtuelle ou physique, en dehors de son propre réseau.

(28)

Pour en savoir plus sur Google Compute Engine, consultez les liens suivants : https://cloud.google.com/compute

https://cloud.google.com/compute/docs/concepts

5.2 Créer une instance de VM GCE

Dans le menu des services, allez à Compute >

Compute Engine > VM instances.

5.2.1 Configurer les détails de base de la VM

Configurez les détails de base de la VM comme suit.

Exemple : ema-server-1

● Region : Sélectionnez la même région que nous avons utilisée précédemment.

● Zone : Choisissez une zone qui sera différente de celle de l’autre VM EMA.

(29)

5.2.2 Configurer le type de machine VM

Choisissez le type de machine approprié. Reportez-vous au guide d’installation du serveur Intel® Endpoint Management Assistant pour connaître la configuration requise.

Vous pouvez la modifier plus tard, après avoir arrêté la VM.

5.2.3 Configurer l’image de démarrage de la VM

Réglez Boot disk sur la dernière version de Windows* Server Datacenter prise en charge par Intel EMA.

Reportez-vous au guide d’installation du serveur Intel®

Endpoint Management Assistant pour connaître les systèmes d’exploitation pris en charge.

5.2.4 Configurer l’accès à la VM et le pare-feu

Dans la section Identity and API access, vous pouvez laisser les valeurs par défaut permettant à la VM d’écrire des journaux dans Google Cloud Logging, entre autres.

Dans la section Firewall, les deux cases à cocher doivent être vides, car nous allons autoriser l’accès au réseau à l’aide de balises de réseau qui seront configurées à l’étape suivante.

Cliquez sur le lien Management, security, disks, networking pour développer cette section avant de passer à l’étape suivante.

(30)

5.2.5 Configurer le réseau de la VM

Sélectionnez l’onglet Networking.

Configurez ces Network tags :

● ema-server

Cliquez sur l’icône en forme de crayon sur l’interface réseau avant de passer à l’étape suivante.

5.2.6 Configurer l’interface réseau de la VM (déploiement d’un serveur unique)

Réglez Primary internal IP sur Reserve static internal IP address.

Saisissez un nom unique pour la réservation IP.

Exemple : ema-server-1-private-ip Cliquez sur le bouton Reserve.

Réglez External IP sur Create IP address.

Exemple : ema-server-1-public-ip Cliquez sur le bouton Reserve.

Cliquez sur le bouton Done.

(31)

5.2.7 Configurer l’interface réseau de la VM (déploiement de serveurs distribués)

Réglez Primary internal IP sur Reserve static internal IP address.

Exemple : ema-server-1-private-ip Cliquez sur le bouton Reserve.

Réglez External IP sur None.

5.2.8 Finaliser la création de la VM

Cliquez sur le bouton Create en bas de l’écran pour finaliser la création de la VM.

5.2.9 Définir le mot de passe Windows

Une fois la VM créée, vous pouvez cliquer sur la flèche Connect dans la liste des instances de la VM pour définir un mot de passe Windows.

5.3 Créer une deuxième instance de VM GCE (déploiement de serveurs distribués uniquement)

Pour un déploiement de serveurs distribués, répétez les étapes précédentes pour créer une autre VM. Il est recommandé d’effectuer le déploiement dans une zone différente pour atténuer l’impact d’une panne de zone.

(32)

5.4 Se connecter à des machines virtuelles avec RDP

Pour les machines virtuelles qui ne disposent pas d’une adresse IP publique, cette section décrit une méthode de tunnelisation d’une connexion RDP vers vos VM à l’aide du Identity-Aware Proxy (IAP) de Google.

Cette section nécessite que vous ayez installé le SDK Cloud pour avoir accès à l’utilitaire de ligne de commande gcloud. Pour connaître les instructions d’installation, rendez-vous sur https://cloud.google.com/sdk/docs/install.

Une fois l’utilitaire gcloud installé et configuré, vous pourrez créer un tunnel IAP vers votre machine virtuelle afin de transférer un port local de votre choix vers le port RDP de la VM. Exemple de commande :

gcloud compute start-iap-tunnel ema-server-1 3389 --local-host- port=localhost:33389 --zone=us-central1-a

Vous devrez inscrire dans la commande le nom et la zone exacts du serveur pour qu’elle puisse fonctionner.

Pour en savoir plus sur l’utilisation de l’IAP dans le transfert TCP, consultez le lien suivant : https://cloud.google.com/iap/docs/using- tcp-forwarding.

6 Déploiement de l’équilibreur de charge (déploiement de serveurs distribués uniquement)

Un équilibreur de charge distribue le trafic utilisateur entre plusieurs instances de vos applications. En répartissant la charge, l’équilibrage de charge réduit le risque que vos applications soient surchargées, lentes ou non fonctionnelles.

Nous utiliserons un équilibreur de charge HTTPS pour le trafic Web et un équilibreur de charge proxy TCP pour le trafic Swarm. Vous devrez disposer d’un certificat SSL/TLS lors de la création d’un équilibreur de charge HTTPS.

Le backend de l’équilibreur de charge est un groupe d’instances. Nos machines virtuelles doivent être configurées manuellement et ne prennent pas en charge la mise à l’échelle automatique. Nous utiliserons donc des groupes d’instances non gérées. Il s’agit de ressources zonales. Par conséquent, nous devrons créer des groupes d’instances distincts pour chaque zone dans laquelle vous avez déployé des VM Intel EMA.

Une autre remarque importante est que l’équilibreur de charge TCP que nous utilisons n’accepte que le trafic sur certains ports bien connus sur le front-end. Cela vous obligera à mettre à jour certains paramètres après avoir installé Intel EMA sur le serveur. Vous trouverez des instructions relatives à cette mise à jour dans le guide d’installation du serveur Intel EMA.

Pour en savoir plus sur l’équilibrage de charge de Google, consultez le lien suivant : https://cloud.google.com/load-balancing/docs.

(33)

6.1 Créer un ou plusieurs groupes d’instances non gérées 6.1.1 Accéder aux groupes d’instances

Dans le menu des services, allez à Compute >

Compute Engine > VM instances.

6.1.2 Créer un groupe d’instances non gérées

Cliquez sur le bouton Create Instance Group.

Configurez le groupe d’instances comme suit :

• Name : Saisissez un nom unique pour le groupe d’instances.

Exemple : ema-usc1a

• Description (Optional) : Intel EMA instances in the us-central1-a zone

• Location : Choisissez votre région et votre zone préférées.

Exemple : us-central1-a

• Port name mapping : Ajoutez les éléments suivants.

o web : 443 o redirection : 8084 o swarm : 8080

• Network : Sélectionnez votre réseau VPC.

• Subnetwork : Sélectionnez votre sous-réseau.

• VM instances : Sélectionnez toutes les VM de cette zone. Il devrait y en avoir au moins une.

6.1.3 Créer des groupes d’instances supplémentaires

Suivez les étapes précédentes pour créer un groupe d’instances non gérées pour chacune des autres zones dans lesquelles vous avez déployé une VM Intel EMA.

(34)

6.2 Créer des vérifications d’état

Nous devons créer des vérifications d’état afin que les équilibreurs de charge puissent déterminer quelles instances sont en bon état et prêtes à recevoir du trafic.

6.2.1 Créer une vérification d’état pour le backend du Web

Dans la barre latérale de Compute Engine, sélectionnez Health checks.

Cliquez sur Create Health Check.

Configurez la vérification d’état comme suit :

• Name : Saisissez un nom unique pour la vérification d’état.

Exemple : ema-web

• Scope : Global

• Protocol : HTTPS

• Port : 443

Vous pouvez accepter le reste des valeurs par défaut.

Cliquez sur Create pour finaliser la vérification d’état.

6.2.2 Créer une vérification d’état pour le backend de Swarm

Dans la barre latérale de Compute Engine, sélectionnez Health checks.

Cliquez sur Create Health Check.

Configurez la vérification d’état comme suit :

• Name : Saisissez un nom unique pour la vérification d’état.

Exemple : ema-swarm

• Scope : Global

• Protocol : TCP

• Port : 8080

Vous pouvez accepter le reste des valeurs par défaut.

Cliquez sur Create pour finaliser la vérification d’état.

(35)

6.3 Accéder à l’équilibrage de charge

Dans le menu des services, allez à Networking >

Network services > Load Balancing.

6.4 Créez l’équilibreur de charge HTTPS 6.4.1 Sélectionner Équilibrage de charge HTTP(S)

Cliquez sur Create load balancer.

Sous HTTP(S) Load Balancing, cliquez sur le bouton Start configuration.

Sélectionnez « From Internet to my VMs ».

Cliquez sur le bouton Continue.

6.4.2 Définir un nom pour l’équilibreur de charge

Saisissez un nom unique pour l’équilibreur de charge.

Exemple : ema-web-lb

(36)

6.4.3 Configuration du service de backend

6.4.3.1 Créer un service de backend

Cliquez sur Backend configuration.

Dans le menu déroulant, allez à Backend services > Create a backend service.

6.4.3.2 Configurer le service de backend, les détails de base

Configurez le service de backend comme suit :

• Name : Saisissez un nom unique pour le service de backend.

Exemple : ema-web-backend

• Backend type : Instance group

• Protocol : HTTPS

• Named port : web

6.4.3.3 Ajouter des backends

Dans la section New backend, sélectionnez le premier groupe d’instances que vous avez créé précédemment.

Vous obtiendrez une fenêtre contextuelle vous demandant si vous souhaitez utiliser un port nommé existant. Sélectionnez web (port 443) et cliquez sur Use Selected Port Name.

Cliquez sur Done.

Pour chacun des autres groupes d’instances non gérées que vous avez créés précédemment, cliquez sur le bouton Add Backend, puis répétez ces instructions.

(37)

6.4.3.4 Définir la vérification d’état

Dans le menu déroulant Health check, sélectionnez la vérification d’état ema-web (HTTPS) que vous avez créée précédemment.

6.4.3.5 Activer l’affinité de session

Cliquez sur Advanced configurations pour afficher les autres options.

Définissez Sessional affinity sur Generated cookie.

(38)

6.4.4 Configuration du frontend

Cliquez sur Frontend configuration.

Configurez le frontend comme suit :

• Name : Saisissez un nom unique pour le frontend.

Exemple : ema-web-frontend

• Protocol : HTTPS

• IP address : Sélectionnez Create IP address from the menu.

o Saisissez un nom unique pour l’adresse IP.

Exemple : ema-web-lb-ip o Cliquez sur Reserve.

• Port : 443

• Certificate : Sélectionnez Créer un nouveau certificat et saisissez les informations contenues dans votre certificat SSL.

6.4.5 Examiner et finaliser

Cliquez sur Review and finalize.

Examinez les informations à l’écran, puis cliquez sur le bouton Create.

(39)

6.5 Créer l’équilibreur de charge TCP 6.5.1 Sélectionner Équilibrage de charge TCP

Cliquez sur Create load balancer.

Sous TCP Load Balancing, cliquez sur le bouton Start configuration.

Sélectionnez « From Internet to my VMs ».

Sélectionnez « Multiple regions ».

Cliquez sur le bouton Continue.

6.5.2 Définir un nom pour l’équilibreur de charge

Saisissez un nom unique pour cet équilibreur de charge.

Exemple : ema-swarm-lb

6.5.3 Configuration du service de backend

6.5.3.1 Configurer le service de backend, les détails de base

Configurez le service de backend comme suit :

• Backend type : Instance group

• Protocol : TCP

• Named port : swarm

(40)

6.5.3.2 Ajouter des backends

Dans la section New backend, sélectionnez le premier groupe d’instances que vous avez créé précédemment.

Vous obtiendrez une fenêtre contextuelle vous demandant si vous souhaitez utiliser un port nommé existant. Sélectionnez swarm (port 8080) et cliquez sur Use Selected Port Name.

Les autres paramètres peuvent conserver leurs valeurs par défaut.

Cliquez sur Done.

Pour chacun des autres groupes d’instances non gérées que vous avez créés précédemment, cliquez sur le bouton Add Backend, puis répétez ces instructions.

6.5.3.3 Définir la vérification d’état

Dans le menu déroulant Health check, sélectionnez la vérification d’état ema-swarm que vous avez créée précédemment.

(41)

6.5.4 Configuration du frontend

Cliquez sur Frontend configuration.

Configurez le frontend comme suit :

• Name : Saisissez un nom unique pour le frontend.

Exemple : ema-swarm-frontend

• Protocol : TCP

• IP address : Sélectionnez Create IP address from the menu.

o Saisissez un nom unique pour l’adresse IP.

Exemple : ema-swarm-lb-ip o Cliquez sur Reserve.

• Port : 9092

Vous pouvez choisir un autre port dans la liste. Il est important que vous suiviez les instructions du guide d’installation du serveur Intel EMA par la suite pour demander au serveur d’afficher le port

correspondant.

6.5.5 Examiner et finaliser

Cliquez sur Review and finalize.

Examinez les informations à l’écran, puis cliquez sur le bouton Create.

(42)

6.6 DNS pour votre serveur Intel EMA

Pour un déploiement de serveur unique, si vous êtes propriétaire d’un domaine, vous voudrez créer un enregistrement DNS pointant vers l’adresse IP publique réservée à la machine virtuelle Intel EMA.

Pour un déploiement de serveurs distribués, vous voudrez créer des enregistrements DNS pointant vers les adresses IP publiques des équilibreurs de charge.

Pour tout savoir sur cette tâche, consultez votre administrateur DNS.

(43)

7 Annexe B - Notes sur l’intégration d’Active Directory*

Depuis février 2020, le service géré pour Microsoft AD* est désormais accessible à tous. Nous n’avons pas testé de déploiement Intel EMA avec ce nouveau service, mais voici quelques liens à consulter pour approfondir vos connaissances.

https://cloud.google.com/blog/products/identity-security/managed-service-for-microsoft-active-directory-is-ga https://cloud.google.com/managed-microsoft-ad/?hl=en_US

Intel Endpoint Management Assistant (Intel EMA)