Nutzer-VPC-Netzwerk mit Subnetzen erstellen
In diesem Abschnitt erstellen Sie ein Nutzer-VPC-Netzwerk mit zwei IPv4-Subnetzen: subnet-consumer-allowed und subnet-consumer-blocked.
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie auf VPC-Netzwerk erstellen.
Geben Sie für Name
vpc-consumerein.Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.
Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:
- Name:
subnet-consumer-allowed - Region:
us-central1 - IPv4-Bereich:
192.168.10.0/29
- Name:
Klicken Sie auf Fertig.
Klicken Sie auf Subnetz hinzufügen und geben Sie folgende Konfigurationsparameter an:
- Name:
subnet-consumer-blocked - Region:
us-central1 - IPv4-Bereich:
192.168.20.0/29
- Name:
Klicken Sie auf Fertig.
Klicken Sie auf Erstellen.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
Führen Sie den folgenden Befehl aus, um ein VPC-Netzwerk zu erstellen:
gcloud compute networks create vpc-consumer \ --subnet-mode=custom
Klicken Sie im Dialogfeld Cloud Shell autorisieren auf Autorisieren.
Führen Sie folgenden Befehl aus, um ein Subnetz zu erstellen:
gcloud compute networks subnets create subnet-consumer-allowed \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.10.0/29
Führen Sie folgenden Befehl aus, um ein weiteres Subnetz zu erstellen:
gcloud compute networks subnets create subnet-consumer-blocked \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.20.0/29
Ersteller-VPC-Netzwerk mit Subnetz erstellen
In diesem Abschnitt erstellen Sie ein Ersteller-VPC-Netzwerk mit einem IPv4-Subnetz.
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie auf VPC-Netzwerk erstellen.
Geben Sie für Name
vpc-producerein.Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.
Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:
- Name:
subnet-vpc-producer - Region:
us-central1 - IPv4-Bereich:
172.16.10.0/29
- Name:
Klicken Sie auf Fertig.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um ein VPC-Netzwerk zu erstellen:
gcloud compute networks create vpc-producer \ --subnet-mode=custom
Führen Sie folgenden Befehl aus, um das Subnetz zu erstellen:
gcloud compute networks subnets create subnet-vpc-producer \ --network=vpc-producer \ --region=us-central1 \ --range=172.16.10.0/29
Cloud Router und Cloud NAT-Gateway erstellen
Damit die vm-producer-VM auf das öffentliche Internet zugreifen kann, erstellen Sie einen Cloud Router und ein Cloud NAT-Gateway.
Console
Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.
Geben Sie als Gatewayname
nat-gateway-addressgrpein.Wählen Sie als NAT-Typ Öffentlich aus.
Geben Sie im Bereich Cloud Router wählen folgende Konfigurationsparameter an:
- Netz:
vpc-producer - Region:
us-central1 (lowa) - Cloud Router: Klicken Sie auf Neuen Router erstellen.
- Geben Sie für Name
router-addressgrpein. - Klicken Sie auf Erstellen.
- Geben Sie für Name
- Netz:
Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:
gcloud compute routers create router-addressgrp \ --network=vpc-producer \ --region=us-central1
Führen Sie folgenden Befehl aus, um ein Cloud NAT-Gateway zu erstellen:
gcloud compute routers nats create nat-gateway-addressgrp \ --router=router-addressgrp \ --region=us-central1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
VMs erstellen
Erstellen Sie in jedem Subnetz des VPC-Netzwerks, das Sie im vorherigen Abschnitt erstellt haben, VMs ohne externe IP-Adressen.
VM für das vom Nutzer zugelassene VPC-Netzwerk erstellen
Erstellen Sie eine VM im subnet-consumer-allowed-Subnetz.
Console
Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.
Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:
- Geben Sie für Name
vm-consumer-allowedein. - Wählen Sie bei Region die Option
us-central1 (Iowa)aus.
- Geben Sie für Name
Klicken Sie im Navigationsmenü auf Netzwerk.
- Klicken Sie im Bereich Netzwerkschnittstellen auf
defaultund geben Sie die folgenden Konfigurationsparameter an:- Netz:
vpc-consumer - Subnetzwerk:
subnet-consumer-allowed IPv4 (192.168.10.0/29) - Externe IPv4-Adresse: Keine
- Netz:
- Klicken Sie auf Fertig.
- Klicken Sie im Bereich Netzwerkschnittstellen auf
Klicken Sie auf Erstellen.
gcloud
gcloud compute instances create vm-consumer-allowed \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-allowed
VM für das vom Nutzer blockierte VPC-Netzwerk erstellen
In diesem Abschnitt erstellen Sie eine VM im subnet-consumer-blocked-Subnetz.
Console
Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.
Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:
- Geben Sie für Name
vm-consumer-blockedein. - Wählen Sie bei Region die Option
us-central1 (Iowa)aus.
- Geben Sie für Name
Klicken Sie im Navigationsmenü auf Netzwerk.
- Klicken Sie im Bereich Netzwerkschnittstellen auf
defaultund geben Sie die folgenden Konfigurationsparameter an:- Netz:
vpc-consumer - Subnetzwerk:
subnet-consumer-blocked IPv4 (192.168.20.0/29) - Externe IPv4-Adresse: Keine
- Netz:
- Klicken Sie auf Fertig.
- Klicken Sie im Bereich Netzwerkschnittstellen auf
Klicken Sie auf Erstellen.
gcloud
gcloud compute instances create vm-consumer-blocked \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-blocked
VM für das Ersteller-VPC-Netzwerk erstellen
Erstellen Sie eine VM im Subnetz subnet-vpc-producer und installieren Sie einen Apache-Server darauf.
Console
Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.
Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:
- Geben Sie für Name
vm-producerein. - Wählen Sie bei Region die Option
us-central1 (Iowa)aus.
- Geben Sie für Name
Klicken Sie im Navigationsmenü auf Netzwerk.
- Klicken Sie im Bereich Netzwerkschnittstellen auf
defaultund geben Sie die folgenden Konfigurationsparameter an:- Netz:
vpc-producer - Subnetzwerk:
subnet-vpc-producer IPv4 (172.16.10.0/29)
- Netz:
- Klicken Sie auf Fertig.
- Klicken Sie im Bereich Netzwerkschnittstellen auf
Klicken Sie im Navigationsmenü auf Erweitert und geben Sie das folgende Skript in das Feld Startskript ein:
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl # Read VM network configuration: md_vm="http://169.254.169.254/computeMetadata/v1/instance/" vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )" filter="{print \$NF}" vm_network="$(curl $md_vm/network-interfaces/0/network \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" vm_zone="$(curl $md_vm/zone \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" # Apache configuration: echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \ tee /var/www/html/index.html systemctl restart apache2Mit dem vorherigen Skript wird ein Apache-Webserver auf dieser VM bereitgestellt und gestartet.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um eine Ersteller-VM zu erstellen:
gcloud compute instances create vm-producer \
--network=vpc-producer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-vpc-producer \
--image-project=debian-cloud \
--image-family=debian-10 \
--metadata=startup-script='#! /bin/bash
apt-get update
apt-get install apache2 -y
a2ensite default-ssl
a2enmod ssl
# Read VM network configuration:
md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
filter="{print \$NF}"
vm_network="$(curl $md_vm/network-interfaces/0/network \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
vm_zone="$(curl $md_vm/zone \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
# Apache configuration:
echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2'
Erstellen Sie eine VPC-Netzwerk-Peering-Verbindung
Wenn Sie Ihre vpc-consumer- und vpc-producer-VPC-Netzwerke im selben Projekt privat verbinden möchten, verwenden Sie VPC-Netzwerk-Peering. Das VPC-Netzwerk-Peering ermöglicht interne IP-Adressen-Konnektivität zwischen zwei VPC-Netzwerken, unabhängig davon, ob die VPC-Netzwerke zum selben Projekt oder zur selben Organisation gehören.
Peering von vpc-consumer mit vpc-producer
Damit das VPC-Netzwerk-Peering erfolgreich eingerichtet werden kann, müssen Sie die Peering-Verknüpfung für das Netzwerk vpc-consumer und das Netzwerk vpc-producer separat konfigurieren.
Console
So erstellen Sie das VPC-Netzwerk-Peering zwischen den Netzwerken vpc-consumer und vpc-producer:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
Klicken Sie auf Verbindung erstellen.
Klicken Sie auf Weiter.
Geben Sie im Feld Name
peering-cpein.Wählen Sie unter Mein VPC-Netzwerk die Option
vpc-consumeraus.Wählen Sie unter VPC-Netzwerkname die Option
vpc-producer.Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um das VPC-Netzwerk-Peering zwischen vpc-consumer und vpc-producer zu erstellen:
gcloud compute networks peerings create peering-cp \
--network=vpc-consumer \
--peer-network=vpc-producer \
--stack-type=IPV4_ONLY
Peering des vpc-producer-Netzwerks mit dem vpc-consumer-Netzwerk
Console
So erstellen Sie das VPC-Netzwerk-Peering zwischen vpc-producer und vpc-consumer:
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf .
Klicken Sie auf Verbindung erstellen.
Klicken Sie auf Weiter.
Geben Sie im Feld Name
peering-pcein.Wählen Sie unter Mein VPC-Netzwerk die Option
vpc-produceraus.Wählen Sie unter VPC-Netzwerkname die Option
vpc-consumer.Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um das VPC-Netzwerk-Peering zwischen vpc-producer und vpc-consumer zu erstellen:
gcloud compute networks peerings create peering-pc \
--network=vpc-producer \
--peer-network=vpc-consumer \
--stack-type=IPV4_ONLY
Globale Netzwerk-Firewallrichtlinie erstellen, um IAP zu aktivieren
Wenn Sie IAP aktivieren möchten, erstellen Sie eine globale Netzwerk-Firewallrichtlinie und fügen eine Firewallregel hinzu. IAP ermöglicht den Administratorzugriff auf die VM-Instanzen.
Die Firewallregel hat die folgenden Merkmale.
- Eingehender Traffic aus dem IP-Bereich
35.235.240.0/20. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet. Eine Verbindung zu allen Ports, die über die IAP-TCP-Weiterleitung zugänglich sein sollen, z. B. Port
22für SSH.
Console
So gewähren Sie IAP-Zugriff auf alle VM-Instanzen im vpc-consumer- und vpc-producer-Netzwerk:
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Klicken Sie auf Firewallrichtlinie erstellen.
Geben Sie im Abschnitt Richtlinie konfigurieren unter Richtlinienname
fw-policy-addressgrpein.Wählen Sie unter Bereitstellungsbereich Global aus und klicken Sie auf Weiter.
Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie im Bereich Regeln hinzufügen auf Regel hinzufügen.
- Geben Sie
100als Priorität ein. - Wählen Sie für Traffic-Richtung die Option Eingehend aus.
- Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
- Wählen Sie im Abschnitt Ziel als Zieltyp Alle Instanzen im Netzwerk aus.
- Geben Sie im Abschnitt Quelle unter IP-Bereiche
35.235.240.0/20ein. - Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.
- Markieren Sie das Kästchen TCP und geben Sie unter TCP
22ein. - Klicken Sie auf Erstellen.
- Geben Sie
Klicken Sie auf Weiter.
Wenn Sie ein VPC-Netzwerk mit der Richtlinie verknüpfen möchten, klicken Sie im Bereich Richtlinie mit VPC-Netzwerken verknüpfen auf Verknüpfen.
Markieren Sie die Kästchen
vpc-producerundvpc-consumerund klicken Sie dann auf Verknüpfen.Klicken Sie auf Weiter.
Klicken Sie auf Erstellen.
gcloud
Führen Sie folgenden Befehl aus, um IAP den Zugriff auf die VM-Instanzen im Netzwerk vpc-producer zu ermöglichen:
Führen Sie folgenden Befehl aus, um eine Firewallrichtlinie zu erstellen:
gcloud compute network-firewall-policies create fw-policy-addressgrp \ --globalFühren Sie folgenden Befehl aus, um eine Firewallregel zu erstellen, die Traffic an alle Ziele zulässt und Logs aktiviert:
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy=fw-policy-addressgrp \ --direction=INGRESS \ --action=ALLOW \ --layer4-configs=tcp:22 \ --src-ip-ranges=35.235.240.0/20 \ --global-firewall-policyFühren Sie folgenden Befehl aus, um die Firewallrichtlinie mit dem Ersteller-VPC-Netzwerk zu verknüpfen:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-producer \ --name=pol-association-vpc-producer \ --global-firewall-policyFühren Sie folgenden Befehl aus, um die Firewallrichtlinie mit dem Nutzer-VPC-Netzwerk zu verknüpfen:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-consumer \ --name=pol-association-vpc-consumer \ --global-firewall-policy
Projektbezogene Adressgruppe erstellen
Erstellen Sie eine projektbezogene Adressgruppe, die die dem subnet-consumer-allowedSubnetz des VPC-Netzwerks vpc-consumer zugewiesene IP-Adresse verwendet.
Weitere Informationen zu projektbezogenen Adressgruppen finden Sie unter Adressgruppen in Firewallrichtlinien verwenden.
Console
Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.
Klicken Sie auf Adressengruppe erstellen.
Geben Sie im Feld Name
address-group-pcein.Wählen Sie unter Umfang die Option Global aus.
Wählen Sie unter Typ die Option IPv4 aus.
Geben Sie im Feld Capacity (Kapazität) den Wert
1000ein.Geben Sie im Feld IP-Adressen
192.168.10.0/29ein.Klicken Sie auf Erstellen.
gcloud
Wenn Sie das Cloud Shell-Terminal zum ersten Mal verwenden, klicken Sie in der Google Cloud Console auf
Cloud Shell aktivieren.Führen Sie den folgenden Befehl aus, um eine Adressgruppe zu erstellen:
gcloud network-security address-groups create address-group-pc \ --type IPv4 \ --capacity 1000 \ --location globalKlicken Sie im Dialogfeld Cloud Shell autorisieren auf Autorisieren.
Führen Sie den folgenden Befehl aus, um einer Adressgruppe ein Element hinzuzufügen:
gcloud network-security address-groups add-items address-group-pc \ --items 192.168.10.0/29 \ --location globalBeachten Sie, dass der IP-Bereich
192.168.10.0/29demsubnet-consumer-allowed-Subnetz des VPC-Netzwerksvpc-consumerzugewiesen ist.
Firewallregel zum Zulassen von Traffic zu einer Adressgruppe hinzufügen
Wenn Sie eingehende Verbindungen von der vm-consumer-allowed-VM zulassen möchten, erstellen Sie eine Firewallregel, die die Adressgruppe auf Projektebene address-group-pc als Quell-IP-Adresse hinzufügt.
Console
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf
fw-policy-addressgrp.Klicken Sie auf Regel erstellen.
Geben Sie
150als Priorität ein.Wählen Sie für Traffic-Richtung die Option Eingehend aus.
Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
Wählen Sie für Logs Ein aus.
Wählen Sie im Abschnitt Ziel als Zieltyp Alle Instanzen im Netzwerk aus.
Wählen Sie im Abschnitt Quelle für Adressgruppe die Option
address-group-pc (PROJECT_ID)aus und klicken Sie auf OK.Denken Sie daran, dass die IP-Adressgruppe
address-group-pceinen IP-Bereich von192.168.10.0/29hat, der dem Subnetzsubnet-consumer-alloweddes VPC-Netzwerks des Nutzers zugewiesen ist.Klicken Sie auf Erstellen.
gcloud
Führen Sie folgenden Befehl aus, um die Firewallrichtlinie zu aktualisieren:
gcloud compute network-firewall-policies rules create 150 \
--firewall-policy=fw-policy-addressgrp \
--direction=INGRESS \
--action=ALLOW \
--src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
--layer4-configs=all \
--global-firewall-policy \
--enable-logging
Verbindung testen
Testen Sie die Verbindung von der vm-consumer-allowed-VM zur vm-producer-VM und von der vm-consumer-blocked-VM zur vm-producer-VM.
Traffic von der vm-consumer-allowed-VM zur vm-producer-VM testen
Console
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:
Kopieren Sie in der Spalte Interne IP-Adresse der
vm-producer-VM die interne IP-Adresse der VM.Klicken Sie in der Spalte Verbinden der
vm-consumer-allowed-VM auf SSH.Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.
Führen Sie folgenden Befehl aus, um die Verbindung zu prüfen:
curl INTERNAL_IP -m 2
Ersetzen Sie
INTERNAL_IPdurch die IP-Adresse dervm-producer-VM.Die Ausgabe sieht in etwa so aus:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Schließen Sie das Dialogfeld SSH-in-browser.
gcloud
Führen Sie den folgenden Befehl aus, um die interne IP-Adresse der
vm-producer-VM aufzurufen:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste. Notieren Sie sich die interne IP-Adresse Ihrer
vm-producer-VM.Führen Sie den folgenden Befehl aus, um über SSH eine Verbindung zur
vm-consumer-allowed-VM herzustellen:gcloud compute ssh vm-consumer-allowed \ --zone=us-central1-a \ --tunnel-through-iap
Führen Sie folgenden Befehl aus, um die Verbindung zu prüfen:
curl INTERNAL_IP -m 2
Ersetzen Sie
INTERNAL_IPdurch die interne IP-Adresse dervm-producer-VM.Die erwartete Antwort lautet:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Geben Sie
exitein, um die SSH-Verbindung zu beenden.
Traffic von der vm-consumer-blocked-VM zur vm-producer-VM testen
Console
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:
Kopieren Sie in der Spalte Interne IP-Adresse der
vm-producer-VM die interne IP-Adresse der VM.Klicken Sie in der Spalte Verbinden der
vm-consumer-blocked-VM auf SSH.Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.
Führen Sie folgenden Befehl aus, um die Verbindung zu prüfen:
curl INTERNAL_IP -m 2
Ersetzen Sie
INTERNAL_IPdurch die IP-Adresse dervm-producer-VM.Die
Connection timed out-Nachricht wird erwartet, da jede VM eine implizite Firewallregel für eingehenden Traffic erstellt, die jeden Traffic ablehnt. Wenn Sie den Traffic zulassen möchten, fügen Sie der Firewallrichtlinie eine Regel für eingehenden Traffic hinzu.Schließen Sie das Dialogfeld SSH-in-browser.
gcloud
Führen Sie den folgenden Befehl aus, um die interne IP-Adresse der
vm-producer-VM aufzurufen:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste. Notieren Sie sich die interne IP-Adresse Ihrer
vm-producer-VM.Führen Sie den folgenden Befehl aus, um über SSH eine Verbindung zur
vm-consumer-blocked-VM herzustellen:gcloud compute ssh vm-consumer-blocked \ --zone=us-central1-a \ --tunnel-through-iap
Führen Sie folgenden Befehl aus, um die Verbindung zu prüfen:
curl INTERNAL_IP -m 2
Ersetzen Sie
INTERNAL_IPdurch die interne IP-Adresse dervm-producer-VM.Die
Connection timed out-Nachricht wird erwartet, da jede VM eine implizite Firewallregel für eingehenden Traffic erstellt, die jeden Traffic ablehnt. Wenn Sie den Traffic zulassen möchten, fügen Sie der Firewallrichtlinie eine Regel für eingehenden Traffic hinzu.Geben Sie
exitein, um die SSH-Verbindung zu beenden.
Logs ansehen
Sie können anhand der Logs prüfen, ob die Firewallregeln für Adressgruppen auf den eingehenden Traffic angewendet wurden. Rufen Sie die Anmeldedaten mit den folgenden Schritten auf:
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen
fw-policy-addressgrp.Wählen Sie in der Spalte Trefferzahl die Nummer für die Regel aus, die Sie beim Hinzufügen einer Firewallregel zum Zulassen von Traffic zu einer Adressgruppe erstellt haben. Die Seite Log-Explorer wird geöffnet.
Wenn Sie die auf den eingehenden Traffic angewendete Firewallregel aufrufen möchten, maximieren Sie das relevante Log. Sie können die Regeldetails, die Anordnung und die Instanzdetails aufrufen.
Bereinigen
Damit Ihrem Google Cloud -Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.
Führen Sie die folgenden Schritte aus, um die in dieser Anleitung erstellten Ressourcen zu löschen:
Adressgruppen löschen
Console
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf
fw-policy-addressgrp.Klicken Sie im Bereich Firewallregeln das Kästchen der Firewallregel
150an.Klicken Sie auf Löschen.
Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.
Klicken Sie im Bereich Adressgruppen das Kästchen neben
address-group-pcan.Klicken Sie auf Löschen und dann erneut auf Löschen, um den Löschvorgang zu bestätigen.
gcloud
Führen Sie den folgenden Befehl aus, um die Firewallregel zu löschen, die mit der IP‑Adressgruppe
address-group-pcverknüpft ist:gcloud compute network-firewall-policies rules delete 150 \ --firewall-policy fw-policy-addressgrp \ --global-firewall-policyFühren Sie den folgenden Befehl aus, um ein vorhandenes Element aus einer Adressgruppe zu entfernen:
gcloud network-security address-groups remove-items address-group-pc \ --items 192.168.10.0/29 \ --location globalFühren Sie den folgenden Befehl aus, um eine IP-Adressgruppe zu löschen:
gcloud network-security address-groups delete address-group-pc \ --location globalWenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Firewallrichtlinie löschen
Console
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen
fw-policy-addressgrp.Klicken Sie auf den Tab Verknüpfungen.
Markieren Sie die Kästchen der
vpc-producer-VM und dervpc-consumer-VM und klicken Sie dann auf Verknüpfung entfernen.Klicken Sie im Dialogfeld Firewallrichtlinien-Verknüpfung entfernen auf Entfernen.
Klicken Sie neben dem Titel
fw-policy-addressgrpauf Löschen.Klicken Sie im Dialogfeld Firewallrichtlinie löschen auf Löschen.
gcloud
Entfernen Sie die Verknüpfung zwischen der Firewallrichtlinie und dem VPC-Produzentennetzwerk.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-producer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
Entfernen Sie die Verknüpfung zwischen der Firewallrichtlinie und dem VPC-Nutzer-Netzwerk.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-consumer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
Löschen Sie die Firewallrichtlinie.
gcloud compute network-firewall-policies delete fw-policy-addressgrp \ --global
VPC-Netzwerk-Peering löschen
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
Markieren Sie die Kästchen für
peering-cpundpeering-pc.Klicken Sie auf Löschen.
Klicken Sie im Dialogfeld Möchten Sie 2 Peerings löschen? auf Löschen.
gcloud
Führen Sie folgenden Befehl aus, um das Peering zwischen der Nutzer-VPC und der Producer-VPC zu löschen:
gcloud compute networks peerings delete peering-cp \ --network=vpc-consumerFühren Sie den folgenden Befehl aus , um das Peering zwischen der Ersteller-VPC und der Consumer-VPC zu löschen:
gcloud compute networks peerings delete peering-pc \ --network=vpc-producer
Cloud NAT-Gateway und Cloud Router löschen
Console
Rufen Sie in der Google Cloud Console die Seite Cloud Router auf.
Markieren Sie das
router-addressgrp-Kästchen.Klicken Sie auf Löschen.
Klicken Sie im Dialogfeld router-addressgrp löschen auf Löschen.
Wenn Sie einen Cloud Router löschen, wird auch das zugehörige Cloud NAT-Gateway gelöscht.
gcloud
Führen Sie den folgenden Befehl aus, um den Cloud Router router-addressgrp zu löschen:
gcloud compute routers delete router-addressgrp \
--region=us-central1
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Wenn Sie einen Cloud Router löschen, wird auch das zugehörige Cloud NAT-Gateway gelöscht.
VMs löschen
Console
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:
Markieren Sie die Kästchen für die VMs
vm-consumer-allowed,vm-consumer-blockedundvm-producer.Klicken Sie auf Löschen.
Klicken Sie im Dialogfeld Möchten Sie 3 Instanzen löschen? auf Löschen.
gcloud
Führen Sie den folgenden Befehl aus, um alle VMs zu löschen:
gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \ --zone=us-central1-aWenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Nutzer-VPC-Netzwerk und dessen Subnetze löschen
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie in der Spalte Name auf
vpc-consumer.Klicken Sie auf VPC-Netzwerk löschen.
Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.
Wenn Sie eine VPC löschen, werden auch deren Subnetze gelöscht.
gcloud
Führen Sie folgenden Befehl aus, um die Subnetze des VPC-Netzwerks
vpc-consumerzu löschen:gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \ --region=us-central1
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Führen Sie folgenden Befehl aus, um das VPC-Netzwerk
vpc-consumerzu löschen:gcloud compute networks delete vpc-consumer
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Produzenten-VPC-Netzwerk und dessen Subnetz löschen
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie in der Spalte Name auf
vpc-producer.Klicken Sie auf VPC-Netzwerk löschen.
Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.
Wenn Sie eine VPC löschen, werden auch deren Subnetze gelöscht.
gcloud
Führen Sie folgenden Befehl aus, um das Subnetz des VPC-Netzwerks
vpc-producerzu löschen:gcloud compute networks subnets delete subnet-vpc-producer \ --region=us-central1
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Führen Sie folgenden Befehl aus, um das VPC-Netzwerk
vpc-producerzu löschen:gcloud compute networks delete vpc-producer
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.