Intel® Endpoint Management Assistant (Intel® EMA)

Guia de implantação para o Google Cloud Platform*

Intel® Versão 1.3.3

Outubro de 2020

Isenção de responsabilidade legal As tecnologias Intel podem exigir ativação de hardware, software específico ou de serviços.

Nenhum produto ou componente pode ser totalmente seguro.

Os custos e resultados podem variar.

Este documento não concede nenhuma licença (expressa ou implícita, por impedimento ou de outra forma) para quaisquer direitos de propriedade intelectual.

A Intel renuncia a todas as garantias expressas ou implícitas, incluindo, sem limitação, as garantias implícitas de comercialização, adequação a um fim específico e não violação, bem como as garantias decorrentes do curso de desempenho, curso de negociação ou do uso no comércio.

Os produtos e os serviços descritos podem conter incorreções ou erros conhecidos como errata, que podem ocasionar desvios das especificações publicadas. Erratas caracterizadas atualizadas estão disponíveis mediante solicitação.

Os recursos e benefícios das tecnologias Intel dependem da configuração do sistema e podem exigir hardware habilitado, software ou ativação de serviços. O desempenho varia de acordo com a configuração do sistema. Nenhum sistema de computador pode ser totalmente seguro. A Intel não assume responsabilidade por perda e roubo de dados ou sistemas ou qualquer outro dano resultante. Consulte o fabricante ou revendedor do seu sistema ou saiba mais em http://www.intel.com/technology/vpro.

© Intel Corporation. Intel, o logotipo Intel e outras marcas Intel são marcas registradas da Intel Corporation ou de suas subsidiárias.

*Outros nomes e marcas podem ser propriedade de outras empresas.

Sumário 1 Introdução .................................................................................................................................................... 1

1.1 Sobre a computação em nuvem ............................................................................................................................................ 1 1.2 Como navegar pelo console do GCP .................................................................................................................................... 1

1.2.1 Menu de serviços .................................................................................................................................................................... 1 1.2.2 Expansão do menu de serviços ......................................................................................................................................... 2

1.3 Como os recursos são organizados no GCP ..................................................................................................................... 3 1.4 Antes de começar ........................................................................................................................................................................ 4

2 Diagramas de arquitetura de alto nível .................................................................................................. 5

2.1 Implantação de servidor único ............................................................................................................................................... 5 2.2 Implantação de servidor distribuído .................................................................................................................................... 5

3 Implantação de rede .................................................................................................................................. 6

3.1 Visão geral ....................................................................................................................................................................................... 6 3.2 Rede Virtual Private Cloud ....................................................................................................................................................... 6

3.2.1 Navegue até as redes VPC ................................................................................................................................................... 6 3.2.2 Crie a rede VPC ........................................................................................................................................................................ 7 3.2.3 Configure a rede VPC ............................................................................................................................................................ 7 3.2.4 Adicione uma sub-rede ........................................................................................................................................................ 8 3.2.5 Finalize a VPC ........................................................................................................................................................................... 8 3.2.6 Acesse os detalhes da rede VPC ....................................................................................................................................... 9 3.2.7 Atribua um intervalo IP de conexão de serviço privado.......................................................................................... 9 3.2.8 Insira os detalhes do intervalo IP de serviço privado ............................................................................................... 9

3.3 Regras de Firewall ........................................................................................................................................................................ 9 3.3.1 Navegue até as regras do firewall .................................................................................................................................. 10 3.3.2 Crie uma regra de firewall para o tráfego do RDP .................................................................................................. 11 3.3.3 Crie uma regra de firewall para o tráfego Web (apenas para implantação de servidor único) ............ 12 3.3.4 Crie uma regra de firewall para o tráfego Web (apenas para implantação de servidor distribuído) . 14 3.3.5 Crie uma regra de firewall para o tráfego Swarm ................................................................................................... 15 3.3.6 Crie uma regra de firewall para o tráfego entre servidores

(apenas para implantação de servidor distribuído) ............................................................................................... 16 3.4 Implemente o Cloud NAT e o Cloud Router ................................................................................................................... 17

3.4.1 Navegue até o Cloud NAT ................................................................................................................................................. 17 3.4.2 Configure os detalhes do Cloud NAT e crie o Cloud Router .............................................................................. 18

4 Implantação do Cloud SQL ..................................................................................................................... 19

4.1 Crie o Cloud SQL Server ......................................................................................................................................................... 19 4.1.1 Navegue até o serviço SQL ............................................................................................................................................... 19 4.1.2 Crie a instância do SQL Server ........................................................................................................................................ 20 4.1.3 Selecione o mecanismo de banco de dados ............................................................................................................ 20 4.1.4 Configure as informações básicas da instância ....................................................................................................... 21 4.1.5 Configure o tipo de máquina e armazenamento .................................................................................................... 21 4.1.6 Configure a conectividade ................................................................................................................................................ 22 4.1.7 Configure backups, recuperação e alta disponibilidade ...................................................................................... 22 4.1.8 Obtenha o endereço IP do banco de dados ............................................................................................................. 23

5 Implantação da máquina virtual ............................................................................................................ 24

5.1 Visão geral .................................................................................................................................................................................... 24 5.2 Crie uma instância de VM do GCE ...................................................................................................................................... 24

5.2.1 Configure os detalhes básicos da VM .......................................................................................................................... 24 5.2.2 Configure o tipo de máquina da VM ............................................................................................................................. 25 5.2.3 Configure a imagem de inicialização da VM .............................................................................................................. 25 5.2.4 Configure o acesso à VM e firewall ............................................................................................................................... 25 5.2.5 Configure a rede da VM ..................................................................................................................................................... 26

5.2.6 Configure a interface de rede da VM (implantação de servidor único) .......................................................... 26 5.2.7 Configure a interface de rede da VM (implantação de servidor distribuído) ............................................... 27 5.2.8 Finalize a criação da VM .................................................................................................................................................... 27 5.2.9 Configure a senha do Windows ..................................................................................................................................... 27

5.3 Crie uma segunda instância da VM do GCE (apenas para implantação de servidor distribuído) ............. 27 5.4 Registro em máquinas virtuais com RDP ......................................................................................................................... 27

6 Implantação do balanceador de carga (apenas para implantação de servidor distribuído) .... 29

6.1 Crie grupo(s) de instância não gerenciado(s) ................................................................................................................. 29 6.1.1 Navegue até os grupos de instância ............................................................................................................................. 29 6.1.2 Crie um grupo de instância não gerenciado ............................................................................................................. 30 6.1.3 Crie grupos de instância adicionais .............................................................................................................................. 30

6.2 Crie verificações de integridade .......................................................................................................................................... 30 6.2.1 Crie uma verificação de integridade para o back-end da Web .......................................................................... 31 6.2.2 Crie uma verificação de integridade para o back-end de Swarm ..................................................................... 31

6.3 Navegue até o balanceamento de carga ......................................................................................................................... 32 6.4 Crie o balanceador de carga HTTPS .................................................................................................................................. 32

6.4.1 Escolha o balanceamento de carga HTTP(S) ............................................................................................................ 32 6.4.2 Configure um nome para o balanceador de carga ................................................................................................. 32 6.4.3 Configuração de serviços de back-end ....................................................................................................................... 33 6.4.4 Configuração de front-end ............................................................................................................................................... 35 6.4.5 Analise e finalize ................................................................................................................................................................... 35

6.5 Crie o balanceador de carga TCP ....................................................................................................................................... 36 6.5.1 Escolha o balanceamento de carga TCP .................................................................................................................... 36 6.5.2 Configure um nome para o balanceador de carga ................................................................................................. 36 6.5.3 Configuração de serviços de back-end ....................................................................................................................... 36 6.5.4 Configuração de front-end ............................................................................................................................................... 38 6.5.5 Analise e finalize ................................................................................................................................................................... 38

6.6 DNS para seu servidor do Intel EMA ................................................................................................................................. 39

7 Apêndice B — Notas sobre a integração do Active Directory* ........................................................ 40

Guia de implantação da Web do Intel® EMA – outubro de 20201

1 Introdução Este documento descreve o procedimento para implantar infraestrutura no Google Cloud Platform* (GCP), uma plataforma de computação em nuvem, necessária para oferecer suporte a uma ou mais instâncias do servidor Intel® Endpoint Management Assistant (Intel® EMA). É destinado a administradores de TI com conhecimento intermediário e avançado da infraestrutura de TI que podem ter conhecimento limitado sobre computação em nuvem.

Há vários componentes necessários para um ambiente de infraestrutura de nuvem completo. Recomendamos que você leia este guia com atenção para entender como eles estão configurados para trabalhar juntos. Uma descrição de cada componente é fornecida antes do procedimento de implantação, com um link para a documentação oficial do provedor de nuvem para obter mais informações, se necessário.

1.1 Sobre a computação em nuvem A computação em nuvem é o fornecimento sob demanda de recursos de TI na internet com preços pré-pagos. Em vez de comprar e manter data centers e servidores físicos, você pode acessar serviços de tecnologia, como potência de computação, armazenamento e bancos de dados, de acordo com a necessidade a partir de um provedor na nuvem. Você pode provisionar apenas o que precisa no momento e dimensionar a capacidade para crescer e reduzir à medida que as necessidades dos negócios mudam.

Grandes provedores de nuvem têm data centers em todo o mundo, permitindo que você implante recursos geograficamente perto de onde seus clientes e usuários finais estão localizados.

Com serviços totalmente gerenciados, como o Cloud SQL, você pode se concentrar em seus dados, enquanto o provedor de nuvem gerencia todo o hardware e software subjacentes que oferecem o serviço. Com máquinas virtuais em execução na nuvem, você gerencia apenas o sistema operacional convidado e o software instalado nele, enquanto o provedor de nuvem gerencia o hardware subjacente e se esforça para fornecer a melhor confiabilidade e disponibilidade.

1.2 Como navegar pelo console do GCP

1.2.1 Menu de serviços

Depois de se conectar ao console do GCP em https://console.cloud.google.com/, você verá um ícone de menu de serviços no canto superior esquerdo. Ao lado direito estará o menu Projects, onde você selecionará o projeto no qual implantará seus recursos após o projeto ter sido criado.

1.2.2 Expansão do menu de serviços

Ao clicar no ícone do menu de serviços, você verá uma lista dos serviços listados abaixo, organizados em seções como COMPUTE, STORAGE, e outros.

Neste guia, forneceremos instruções que irão orientá-lo a selecionar um serviço deste menu no momento da implantação dos vários componentes necessários.

1.3 Como os recursos são organizados no GCP Todos os recursos no GCP são implantados em um Projeto. Se você tiver uma conta pessoal, essa é a única estrutura que você terá. Se você tiver uma conta gerenciada, os Projetos podem estar localizados diretamente no nó Organização ou podem ser agrupados em Pastas que estão sob o nó Organização.

1.4 Antes de começar Se a sua organização já tiver uma conta no GCP, você pode solicitar que um administrador da nuvem crie um Projeto para você e lhe permita o acesso como Proprietário do Projeto. Se você for o administrador da nuvem, vá para o menu IAM & Admin > Manage Resource, no GCP, para criar o projeto.

Se a sua organização não tiver uma conta no GCP, ou se você quiser avaliá-lo através de uma conta pessoal, acesse https://console.cloud.google.com/ e faça o login com uma conta do Google* para iniciar um teste gratuito com o crédito promocional incluído.

Consulte seu administrador de rede para saber se seria preferível usar um espaço de endereçamento específico. Se já tiver uma VPN estabelecida no provedor de nuvem, ou caso venha a ter futuramente, evite a sobreposição com sua rede corporativa para impedir problemas de roteamento. Você também precisa descobrir qual será o endereço IP fonte para o tráfego que sai da sua organização para chegar à nuvem, assim você permitirá que apenas as redes confiáveis atinjam a máquina virtual Intel EMA a partir da internet.

2 Diagramas de arquitetura de alto nível

2.1 Implantação de servidor único

2.2 Implantação de servidor distribuído

3 Implantação de rede

3.1 Visão geral Para que máquinas virtuais se comuniquem umas com as outras, com o provedor de nuvem ou com a internet, precisamos primeiramente configurar um ambiente de rede. Uma rede Nuvem Privada Virtual (VPC) é o componente fundamental para sua rede privada no GCP e se assemelha a uma rede tradicional, exceto pelo fato de ser virtualizada no GCP. Uma rede VPC é um recurso global que consiste de uma lista de sub-redes virtuais regionais em data centers, conectadas por uma ampla rede global. As redes VPCs são logicamente isoladas umas das outras.

Ao criar uma rede VPC, você precisará fornecer um espaço de endereço IP privado personalizado. O GCP atribuirá recursos a um endereço IP privado neste espaço de endereço quando necessário. Consulte sua equipe de engenharia de rede para identificar um bloco de endereço IP disponível para evitar conflitos de roteamento caso sua empresa já tenha, ou venha a ter, conectividade de IP privada com a nuvem.

Também será preciso alocar um bloco IP para acesso a serviços privados para permitir que máquina(s) virtual(is) acessem os serviços do Google através de uma conexão privada, em vez de fazê-lo através de terminais públicos.

Quando criamos a rede VPC, também precisamos criar pelo menos uma sub-rede. As sub-redes permitem segmentar a rede virtual alocando uma parte do espaço de endereço da rede virtual a cada sub-rede. Então, você pode implantar recursos em uma sub-rede específica.

Para obter mais informações sobre serviços implantados nesta seção, acesse os seguintes links:

• VPC: https://cloud.google.com/vpc/docs

• Acesso privado do Google: https://cloud.google.com/vpc/docs/configure-private-google-access

• Cloud NAT: https://cloud.google.com/nat/docs/overview

• Cloud Router: https://cloud.google.com/network-connectivity/docs/router

3.2 Rede Virtual Private Cloud Siga este procedimento para criar uma VPC com uma única sub-rede.

3.2.1 Navegue até as redes VPC

No menu de serviços, acesse Networking > VPC network > VPC networks

3.2.2 Crie a rede VPC

Clique em CREATE VPC NETWORK

3.2.3 Configure a rede VPC

Configure a VPC como segue:

● Name: insira um nome exclusivo Exemplo: intel-ema-demo

● Subnet creation mode: Custom

3.2.4 Adicione uma sub-rede

Configure a seção New subnet conforme abaixo:

● Name: insira um nome de rede exclusivo Exemplo: ema-servers

● Region: selecione uma região onde deseja implantar seus recursos Exemplo: us-central1

● IP address range: insira um intervalo de endereço IP para ser usado Exemplo: 10.250.0.0/24

● Private Google access: On

Clique no botão Done.

3.2.5 Finalize a VPC

Você pode deixar o resto das configurações com os valores padrão.

Clique no botão Create para finalizar a rede VPC.

3.2.6 Acesse os detalhes da rede VPC

Clique no nome da VPC recém-criada para acessar a tela de detalhes.

3.2.7 Atribua um intervalo IP de conexão de serviço privado

Clique em Private service connection.

Clique no botão Allocate IP range.

3.2.8 Insira os detalhes do intervalo IP de serviço privado

Configure a alocação do IP conforme abaixo:

• Name: insira um nome exclusivo para o intervalo IP. Exemplo: google-private-access

• IP range: Custom Insira um intervalo de endereço IP não utilizado. O Google requer pelo menos um tamanho de prefixo /24, mas recomenda /16. Exemplo: 10.251.0.0/16

Clique no botão Allocate.

3.3 Regras de Firewall Cada rede VPC implementa um firewall virtual distribuído que pode ser configurado. As regras de Firewall permitem controlar quais pacotes são autorizados a viajar para quais destinos. Cada rede VPC possui duas regras de firewall implícitas que bloqueiam todas as conexões de entrada e permitem todas as conexões de saída.

Uma das maneiras de especificar um alvo ou destino é usando tags, que posteriormente serão aplicadas à(s) máquina(s) virtual(is) para fazer com que as regras de firewall relacionadas entrem em vigor para essas VMs.

Para obter mais informações sobre o uso de um Firewall da VPC, acesse o seguinte link: https://cloud.google.com/vpc/docs/firewalls

3.3.1 Navegue até as regras do firewall

No menu de serviços, acesse Networking > VPC network > Firewall.

Clique em CREATE FIREWALL RULE.

3.3.2 Crie uma regra de firewall para o tráfego do RDP

Precisamos permitir o tráfego de ingresso do intervalo de IP do Google usado pelo serviço Identity-Aware Proxy (IAP), que usaremos para fazer o login nas máquinas virtuais.

Configure a regra do firewall conforme abaixo.

● Name: insira um nome exclusivo Exemplo: allow-rdp-from-google-iap

● Description: Permitir acesso à área de trabalho remota por meio do serviço Identity-Aware Proxy do Google

● Network: selecione a VPC que você criou anteriormente

● Targets: All instances in the network

● Source filter: IP ranges

● Source IP ranges: 35.235.240.0/20

● Specified protocols and ports: tcp: 3389

Clique no botão Create.

3.3.3 Crie uma regra de firewall para o tráfego Web (apenas para implantação de servidor único)

Crie uma nova regra de firewall e configure conforme abaixo.

● Name: insira um nome exclusivo Exemplo: allow-web-from-trusted-to-ema

● Description: Permitir tráfego da web de fontes confiáveis para este servidor

● Network: selecione a VPC que você criou anteriormente

● Targets: Specified target tags

● Target tags: ema-server

● Source filter: IP ranges

● Source IP ranges: insira as redes confiáveis que devem ter acesso

● Specified protocols and ports: tcp: 443,8084

Clique no botão Create.

3.3.4 Crie uma regra de firewall para o tráfego Web (apenas para implantação de servidor distribuído)

Crie uma nova regra de firewall e configure conforme abaixo.

● Name: insira um nome exclusivo Exemplo: allow-web-from-load-balancer

● Description: Permitir tráfego da web do balanceador de carga do Google

● Network: selecione a VPC que você criou anteriormente

● Targets: Specified target tags

● Target tags: ema-server

● Source filter: IP ranges

● Source IP ranges:

○ 35.191.0.0/16

○ 130.211.0.0/22

● Specified protocols and ports:

○ tcp: 443,8084

Clique no botão Create.

3.3.5 Crie uma regra de firewall para o tráfego Swarm

Crie uma nova regra de firewall e configure conforme abaixo.

● Name: insira um nome exclusivo Exemplo: allow-swarm-from-any-to-ema

● Description: Permitir tráfego de agente EMA de qualquer lugar para o servidor

● Network: selecione a VPC que você criou anteriormente

● Targets: Specified target tags

● Target tags: ema-server

● Source filter: IP ranges

● Source IP ranges: 0.0.0.0/0

● Specified protocols and ports: tcp: 8080

Clique no botão Create.

3.3.6 Crie uma regra de firewall para o tráfego entre servidores (apenas para implantação de servidor distribuído)

Crie uma nova regra de firewall e configure conforme abaixo.

● Name: insira um nome exclusivo Exemplo: allow-ema-internal

● Description: Permitir comunicação interna entre servidores EMA

● Network: selecione a VPC que você criou anteriormente

● Targets: Specified target tags

● Target tags: ema-server

● Source filter: Source tags

● Source tags: ema-server

● Specified protocols and ports:

tcp: 8092-8094,8089

Clique no botão Create.

3.4 Implemente o Cloud NAT e o Cloud Router

3.4.1 Navegue até o Cloud NAT

No menu de serviços, acesse Networking > Network services > Cloud NAT

Clique em “Get started”

3.4.2 Configure os detalhes do Cloud NAT e crie o Cloud Router

Configure o gateway do NAT conforme abaixo:

• Gateway name: insira um nome exclusivo Exemplo: ema-usc1-nat-gw

• VPC network: selecione a VPC criada anteriormente

• Region: escolha a região na qual você está implantando suas máquinas virtuais.

• Cloud Router: selecione Create new router no menu suspenso.

o Insira um nome exclusivo para o Cloud Router Exemplo: ema-usc1-router

o Clique no botão Create para finalizar o Cloud Router.

Clique no botão Create para finalizar o gateway do Cloud NAT.

4 Implantação do Cloud SQL O Google Cloud SQL para SQL Server é um mecanismo de banco de dados com plataforma como serviço totalmente gerenciada, com recursos incluindo:

● Tipos personalizados de máquina com até 624 GB de RAM e 96 CPUs.

● Até 30 TB de armazenamento disponível, com a capacidade de aumentar automaticamente o tamanho do armazenamento, conforme necessário.

● Crie e gerencie instâncias no Google Cloud Console.

● Instâncias disponíveis nos Estados Unidos, União Europeia, Ásia ou Austrália.

● Dados do cliente criptografados nas redes internas da Google e em tabelas do banco de dados, arquivos temporários e backup.

● Suporte para conexões externas seguras com o Cloud SQL Proxy ou com o protocolo SSL/TLS

● Importação de dados usando arquivos BAK e SQL.

● Exportação de dados usando arquivos BAK.

● Backup automatizado e mediante solicitação.

● Integração com o registro e o monitoramento do Stackdriver

● SQL Server Agent habilitado para facilitar a replicação e outros trabalhos.

Nota: o Cloud SQL NÃO oferece suporte para a autenticação do AD.

Para obter mais informações sobre o Cloud SQL, incluindo uma lista completa de recursos sem suporte, acesse o seguinte link: https://cloud.google.com/sql/docs/sqlserver

4.1 Crie o Cloud SQL Server Siga este procedimento para criar um banco de dados do SQL Server e permitir acesso à sua máquina virtual.

4.1.1 Navegue até o serviço SQL

No menu de serviços, acesse Storage > SQL

4.1.2 Crie a instância do SQL Server

Clique em CREATE INSTANCE

4.1.3 Selecione o mecanismo de banco de dados

Selecione SQL Server como o mecanismo de banco de dados.

4.1.4 Configure as informações básicas da instância

Configure os detalhes básicos conforme abaixo.

● Instance ID: insira um nome exclusivo Exemplo: ema-db

● Password: crie uma senha. Observe que o nome de usuário padrão do administrador do serviço é 'sqlserver'.

● Region: use a mesma região que sua sub-rede.

● Zone: Any

4.1.5 Configure o tipo de máquina e armazenamento

Em Configuration options, configure Machine type and storage conforme abaixo.

● Database version and edition: SQL Server 2017 Standard

● Machine type: Standard

O armazenamento pode ficar com os valores padrão, a menos que você tenha necessidades específicas.

Consulte o Guia de instalação do servidor Intel® Endpoint Management Assistant para obter os requisitos do sistema.

4.1.6 Configure a conectividade

Em Configuration options, configure Connectivity conforme abaixo.

● Private IP: habilitado

○ Confirme a janela pop-up para habilitar a API Service Networking do Google, caso a veja.

○ Associated networking: selecione a VPC que você criou anteriormente

○ Selecione o intervalo IP que você anexou anteriormente à VPC para o acesso privado do Google.

○ Clique no botão Conectar. Quando a subseção “Managed service network connection” desaparecer, você pode continuar.

● Public IP: desabilitado

Clique no botão Close para fechar a seção Connectivity.

4.1.7 Configure backups, recuperação e alta disponibilidade

Em Configuration options, configure Backups, recovery, and high availability conforme abaixo.

As configurações de backup ficam a seu critério.

Recomenda-se habilitar High availability para implantações de produção.

Clique no botão Create para finalizar a criação do banco de dados.

4.1.8 Obtenha o endereço IP do banco de dados

Uma vez que o banco de dados tenha sido criado, a página Overview exibirá seu endereço IP privado na seção “Connect to this instance”.

5 Implantação da máquina virtual

5.1 Visão geral O Google Compute Engine (GCE) oferece a flexibilidade de virtualização de computação sem precisar comprar e manter o hardware físico que o executa. No entanto, você ainda é responsável por manter o sistema operacional convidado e o software executado nele.

Ao criar uma instância em um projeto, especifique a zona, o sistema operacional e o tipo de máquina dessa instância. Quando você excluir uma instância, ela será removida do projeto. O tipo de máquina é o que determina a CPU e a memória a serem alocadas às máquinas virtuais (VMs) do GCE no momento da criação, onde o armazenamento é uma opção separada, mas você também pode alterar o tipo de máquina de uma instância interrompida ou aumentar a quantidade de armazenamento em um outro momento.

Cada instância do Compute Engine pertence a uma rede VPC. Instâncias na mesma rede se comunicam umas com as outras através de um protocolo de rede local. Uma instância usa a internet para se comunicar com qualquer máquina, virtual ou física, fora de sua própria rede.

Para obter mais informações sobre o Google Compute Engine, acesse os seguintes links: https://cloud.google.com/compute https://cloud.google.com/compute/docs/concepts

5.2 Crie uma instância de VM do GCE

No menu de serviços, acesse Compute > Compute Engine > VM instances.

Clique no botão Create.

5.2.1 Configure os detalhes básicos da VM

Configure os detalhes básicos da VM conforme abaixo.

● Name: insira um nome exclusivo

Exemplo: ema-server-1

● Region: selecione a mesma região que já usamos anteriormente.

● Zone: escolha uma zona diferente da outra VM do EMA

5.2.2 Configure o tipo de máquina da VM

Escolha o tipo de máquina apropriado. Consulte o Guia de instalação do servidor Intel® Endpoint Management Assistant para obter os requisitos do sistema.

Você pode alterar esses dados em um momento posterior, quando a VM estiver desligada.

5.2.3 Configure a imagem de inicialização da VM

Configure Boot disk para a versão mais recente do Windows* Server Datacenter suportado pelo Intel EMA.

Consulte o Guia de instalação do servidor Intel® Endpoint Management Assistant para saber quais são os sistemas operacionais suportados.

5.2.4 Configure o acesso à VM e firewall

Na seção Identity and API access, você pode deixar os valores padrão que dão permissão à VM para gravar registros no Google Cloud Logging, entre outras ações.

Na seção Firewall, ambas as caixas de seleção devem estar desativadas, porque vamos permitir o acesso à rede usando tags de rede, que serão configuradas na próxima etapa.

Clique no link Management, security, disks, networking para expandir essa seção antes de avançar para a próxima etapa.

5.2.5 Configure a rede da VM

Selecione a aba Networking.

Configure as seguintes Network tags:

Clique no ícone de lápis na interface de rede antes de avançar para a próxima etapa.

5.2.6 Configure a interface de rede da VM (implantação de servidor único)

Configure Primary internal IP para Reserve static internal IP address

Insira um nome exclusivo para a reserva de IP Exemplo: ema-server-1-private-ip

Clique no botão Reserve.

Configure External IP para criar o endereço IP.

Insira um nome exclusivo para a reserva de IP Exemplo: ema-server-1-public-ip

Clique no botão Reserve.

Clique no botão Done.

5.2.7 Configure a interface de rede da VM (implantação de servidor distribuído)

Configure Primary internal IP para Reserve static internal IP address

Insira um nome exclusivo para a reserva de IP Exemplo: ema-server-1-private-ip

Clique no botão Reserve.

Configure External IP para None.

Clique no botão Done.

5.2.8 Finalize a criação da VM Clique no botão Create na parte inferior da tela para finalizar a criação da VM.

5.2.9 Configure a senha do Windows

Depois que a VM for criada a partir da lista de instâncias da VM, você pode clicar no botão de seta Connect para definir uma senha do Windows para ela.

5.3 Crie uma segunda instância da VM do GCE (apenas para implantação de servidor distribuído)

Para uma implantação de servidor distribuído, repita as etapas anteriores para criar outra VM. É recomendado que você implante em uma zona diferente, para mitigar o impacto de uma interrupção de zona.

5.4 Registro em máquinas virtuais com RDP Para as máquinas virtuais que possuem um endereço IP público, esta seção descreve um método de tunelamento de uma conexão do RDP com suas VMs, usando o Identity-Aware Proxy (IAP) do Google.

Esta seção requer que você tenha o Cloud SDK instalado para obter acesso ao utilitário de linha de comando do gcloud. Para instruções de instalação, acesse https://cloud.google.com/sdk/docs/install

Após ter o utilitário gcloud instalado e configurado, você poderá iniciar um túnel de IAP até sua máquina virtual para encaminhar uma porta local de sua escolha até a porta do RDP da VM. Exemplo de comando:

gcloud compute start-iap-tunnel ema-server-1 3389 --local-host-port=localhost:33389 --zone=us-central1-a

Você precisará ajustar o comando para ter o nome do servidor e a zona corretos.

Para obter mais informações sobre o uso de IAP para o encaminhamento de TCP, acesse o seguinte link: https://cloud.google.com/iap/docs/using-tcp-forwarding

6 Implantação do balanceador de carga (apenas para implantação de servidor distribuído)

Um balanceador de carga distribui o tráfego do usuário em várias instâncias das suas aplicações. Ao espalhar a carga, o balanceamento de carga reduz o risco de que suas aplicações se tornem sobrecarregadas, lentas ou não funcionais.

Usaremos um balanceador de carga HTTPS para tráfego da Web, e um balanceador de carga do proxy TCP para o tráfego swarm. Você precisará ter um certificado SSL/TLS durante a criação do balanceador de carga HTTPS.

O back-end do balanceador de carga é um grupo de instância. Nossas máquinas virtuais precisam de configuração manual e, portanto, não dão suporte ao escalonamento automático; então, usaremos grupos de instância não gerenciados. Estes são recursos zonais, por isso precisamos criar grupos de instância individuais para cada zona onde você implantou as VMs do Intel EMA.

Uma outra observação importante é que o balanceador de carga TCP que estamos usando apenas aceita o tráfego em certas portas conhecidas no front-end; isso exigirá a atualização de algumas configurações após instalar o Intel EMA no servidor. As instruções sobre como fazer isso constam no Guia de instalação do servidor Intel EMA.

Para obter mais informações sobre o balanceamento de carga do Google, acesse o seguinte link: https://cloud.google.com/load-balancing/docs

6.1 Crie grupo(s) de instância não gerenciado(s)

6.1.1 Navegue até os grupos de instância

No menu de serviços, acesse Compute > Compute Engine > VM instances.

6.1.2 Crie um grupo de instância não gerenciado

Clique no botão Create Instance Group.

Configure o grupo de instância conforme abaixo:

• Name: insira um nome exclusivo para o grupo de instância Exemplo: ema-usc1a

• Description (optional): Instâncias do Intel EMA na zona us-central1-a

• Location: escolha sua região e zona preferenciais Exemplo: us-central1-a

• Port name mapping: adicione os seguintes itens

o web : 443

o redirection : 8084

o swarm : 8080

• Network: selecione sua rede VPC

• Subnetwork: selecione sua sub-rede

• VM instances: selecione todas as VMs nesta zona. Deve haver pelo menos uma.

Clique no botão Create

6.1.3 Crie grupos de instância adicionais Siga as etapas anteriores para criar um grupo de instância não gerenciado para uma outra zona na qual você implantou uma VM do Intel EMA.

6.2 Crie verificações de integridade Precisamos criar verificações de integridade para que os balanceadores de carga possam determinar quais instâncias têm integridade e podem receber tráfego.

6.2.1 Crie uma verificação de integridade para o back-end da Web

Na barra lateral do Compute Engine, selecione Health checks.

Clique em Create Health Check.

Configure a verificação de integridade conforme abaixo:

• Name: insira um nome exclusivo para a verificação de integridade Exemplo: ema-web

• Scope: Global

• Protocol: HTTPS

• Porta: 443

Você pode aceitar o resto dos valores padrão.

Clique em Create para finalizar a verificação de integridade

6.2.2 Crie uma verificação de integridade para o back-end de Swarm

Na barra lateral do Compute Engine, selecione Health checks.

Clique em Create Health Check.

Configure a verificação de integridade conforme abaixo:

• Name: insira um nome exclusivo para a verificação de integridade Exemplo: ema-swarm

• Scope: Global

• Protocol: TCP

• Port: 8080

Você pode aceitar o resto dos valores padrão.

Clique em Create para finalizar a verificação de integridade

6.3 Navegue até o balanceamento de carga

No menu de serviços, acesse Networking > Network services > Load Balancing

6.4 Crie o balanceador de carga HTTPS

6.4.1 Escolha o balanceamento de carga HTTP(S)

Clique em Create load balancer.

Em HTTP(S) Load Balancing, clique no botão Start configuration.

Selecione “From Internet to my VMs”.

Clique no botão Continue.

6.4.2 Configure um nome para o balanceador de carga

Insira um nome exclusivo para o balanceador de carga Exemplo: ema-web-lb

6.4.3 Configuração de serviços de back-end

6.4.3.1 Crie um serviço de back-end

Clique em Backend configuration

No menu suspenso, navegue até Backend services > Create a backend service.

6.4.3.2 Configure o serviço de back-end, detalhes básicos

Configure o serviço de back-end conforme abaixo:

• Name: insira um nome exclusivo para o serviço de back-end Exemplo: ema-web-backend

• Backend type: Instance group

• Protocol: HTTPS

• Named port: web

6.4.3.3 Adicione back-ends

Na seção New backend, selecione o primeiro grupo de instância que você criou anteriormente.

Você verá uma janela pop-up perguntando se deseja usar uma porta denominada existente. Selecione web (port 443) e clique em Use Selected Port Name.

Clique em Done.

Para cada grupo de instância não gerenciada que você criou anteriormente, clique no botão Add Backend e, em seguida, repita essas instruções.

6.4.3.4 Configure a verificação de integridade

No menu suspenso Health check, selecione a verificação de integridade ema-web (HTTPS) que você criou anteriormente.

6.4.3.5 Habilitar afinidade de sessão

Clique em Advanced configurations para mostrar opções adicionais.

Configure Sessional affinity para Generated cookie.

Clique no botão Create.

6.4.4 Configuração de front-end

Clique em Frontend configuration.

Configure a front-end conforme abaixo:

• Name: insira um nome exclusivo para a front-end Exemplo: ema-web-frontend

• Protocol: HTTPS

• IP address: selecione “Create IP address” no menu

o Insira um nome exclusivo para o endereço IP Exemplo: ema-web-lb-ip

o Clique em Reserve

• Port: 443

• Certificate: selecione “Create new certificate” e insira as informações do seu certificado SSL

Clique no botão Done.

6.4.5 Analise e finalize

Clique em Review and finalize.

Analise as informações na tela e clique no botão Create.

6.5 Crie o balanceador de carga TCP

6.5.1 Escolha o balanceamento de carga TCP

Clique em Create load balancer.

Em TCP Load Balancing, clique no botão Start configuration.

Selecione “From Internet to my VMs”.

Selecione “Multiple regions”

Clique no botão Continue.

6.5.2 Configure um nome para o balanceador de carga

Insira um nome exclusivo para este balanceador de carga. Exemplo: ema-swarm-lb

6.5.3 Configuração de serviços de back-end

6.5.3.1 Configure o serviço de back-end, detalhes básicos

Configure o serviço de back-end conforme abaixo:

• Backend type: Instance group

• Protocol: TCP

• Named port: swarm

6.5.3.2 Adicione back-ends

Na seção New backend, selecione o primeiro grupo de instância que você criou anteriormente.

Você verá uma janela pop-up perguntando se deseja usar uma porta denominada existente. Selecione swarm (port 8080) e clique em Use Selected Port Name.

O resto das configurações podem ficar nos valores padrão.

Clique em Done.

Para cada grupo de instância não gerenciada que você criou anteriormente, clique no botão Add Backend e, em seguida, repita essas instruções.

6.5.3.3 Configure a verificação de integridade

No menu suspenso Health check, selecione a verificação de integridade ema-web que você criou anteriormente.

6.5.4 Configuração de front-end

Clique em Frontend configuration.

Configure a front-end conforme abaixo:

• Name: insira um nome exclusivo para a front-end Exemplo: ema-swarm-frontend

• Protocol: TCP

• IP address: selecione “Create IP address” no menu

o Insira um nome exclusivo para o endereço IP Exemplo: ema-swarm-lb-ip

o Clique em Reserve

• Port: 9092 Você pode escolher uma porta alternativa na lista. O importante é que você siga as instruções no Guia de instalação do servidor Intel EMA posteriormente para informar ao servidor para anunciar a porta correspondente.

Clique no botão Done.

6.5.5 Analise e finalize

Clique em Review and finalize.

Analise as informações na tela e clique no botão Create.

6.6 DNS para seu servidor do Intel EMA Para uma implantação de servidor único, se você tiver seu próprio domínio, você precisará criar um registro de DNS que aponte para o endereço IP público que foi reservado para a máquina virtual do Intel EMA.

Para uma implantação de servidor distribuído, você precisará criar registros de DNS que apontem para os endereços IP públicos dos balanceadores de carga.

Consulte seu administrador de DNS sobre esta tarefa.

7 Apêndice B — Notas sobre a integração do Active Directory* A partir de fevereiro de 2020, o serviço gerenciado para o Microsoft AD* tornou-se disponível globalmente. Não testamos uma implantação do Intel EMA usando este novo serviço, mas alguns links para leitura adicional estão incluídos aqui.

https://cloud.google.com/blog/products/identity-security/managed-service-for-microsoft-active-directory-is-gahttps://cloud.google.com/managed-microsoft-ad/?hl=en_US