Configura grupos de direcciones para políticas de firewall

En este instructivo, se describe cómo crear y configurar grupos de direcciones para políticas de firewall en tu red. Se explica un ejemplo de cómo crear una red de nube privada virtual (VPC) con subredes, crear un grupo de direcciones con permiso del proyecto y configurar una política de firewall que use el grupo de direcciones con reglas de firewall, y, luego, probar las reglas de firewall. A fin de obtener más información, consulta Grupos de direcciones para políticas de firewall.

Objetivos

En este instructivo, se muestra cómo completar las siguientes tareas:

  • Crear dos redes de VPC personalizadas con subredes.
  • Crear tres instancias de máquina virtual (VM) (dos VM de consumidor en subredes separadas de una red de VPC y una VM de productor en una segunda red de VPC). Todas las VMs se crean sin una dirección IP externa.
  • Instalar el servidor Apache en la VM de productor.
  • Crear el intercambio de tráfico entre redes de VPC.
  • Crear un Cloud Router y una puerta de enlace de Cloud NAT, que permiten que la VM de productor acceda al Internet público.
  • Crear un grupo de direcciones con permiso del proyecto.
  • Crear una política de firewall de red global con las siguientes reglas:
    • Permitir la conectividad SSH de Identity-Aware Proxy (IAP) a las VMs.
    • Permitir el tráfico de la VM de consumidor permitida a la VM de productor mediante el grupo de direcciones con permiso del proyecto.
  • Prueba la conexión.

En el siguiente diagrama, se muestra el tráfico entre las VMs de productor y consumidor en la región us-central1 dentro de dos redes de VPC personalizadas. Una política de firewall de red global usa una regla de grupo de direcciones con permiso del proyecto para permitir el tráfico de entrada entre las VMs vm-consumer-allowed y vm-producer. El tráfico entre la VM vm-consumer-blocked y la VM vm-producer se rechaza porque cada VM tiene una regla de firewall de entrada implícita que rechaza todo el tráfico.

Una política de firewall de red global que permite el tráfico de entrada de una subred a una VM de destino en otra red de VPC.
Una política de firewall de red global que permite el tráfico de entrada de una subred a una VM de destino en otra red de VPC (haz clic para ampliar).

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Habilita la API de Compute Engine para tu proyecto.
  7. Asegúrate de tener el rol de Administrador de red de Compute (roles/compute.networkAdmin).
  8. Habilita la API de Identity-Aware Proxy para tu proyecto.
  9. Si prefieres trabajar desde la línea de comandos, instala Google Cloud CLI. Para obtener información conceptual y de instalación sobre la herramienta, consulta Descripción general de gcloud CLI.

    Nota: Si no ejecutaste Google Cloud CLI antes, ejecuta el comando gcloud init para inicializar el directorio de gcloud CLI.

Crea una red de VPC de consumidor con subredes

En esta sección, crearás una red de VPC de consumidor con dos subredes IPv4: subnet-consumer-allowed y subnet-consumer-blocked.

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en Crear red de VPC.

  3. En Nombre, ingresa vpc-consumer.

  4. En Modo de creación de subred, selecciona Personalizado.

  5. En la sección Subred nueva, especifica los siguientes parámetros de configuración para una subred:

    • Nombre: subnet-consumer-allowed
    • Región: us-central1
    • Rango IPv4: 192.168.10.0/29

  6. Haz clic en Listo.

  7. Haz clic en Agregar subred y especifica los siguientes parámetros de configuración:

    • Nombre: subnet-consumer-blocked
    • Región: us-central1
    • Rango IPv4: 192.168.20.0/29

  8. Haz clic en Listo.

  9. Haz clic en Crear.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  2. Para crear una red de VPC, ejecuta el siguiente comando:

    gcloud compute networks create vpc-consumer \
  --subnet-mode=custom

  3. En el diálogo Autorizar Cloud Shell, haz clic en Autorizar.

  4. Para crear una subred, ejecuta el siguiente comando:

    gcloud compute networks subnets create subnet-consumer-allowed \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.10.0/29

  5. Para crear otra subred, ejecuta el siguiente comando:

    gcloud compute networks subnets create subnet-consumer-blocked \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.20.0/29

Crea una red de VPC de productor con subred

En esta sección, crearás una red de VPC de productor con una subred IPv4.

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en Crear red de VPC.

  3. En Nombre, ingresa vpc-producer.

  4. En Modo de creación de subred, selecciona Personalizado.

  5. En la sección Subred nueva, especifica los siguientes parámetros de configuración para una subred:

    • Nombre: subnet-vpc-producer
    • Región: us-central1
    • Rango IPv4: 172.16.10.0/29

  6. Haz clic en Listo.

  7. Haz clic en Crear.

gcloud

  1. Para crear una red de VPC, ejecuta el siguiente comando:

    gcloud compute networks create vpc-producer \
  --subnet-mode=custom

  2. Para crear la subred, ejecuta el siguiente comando:

    gcloud compute networks subnets create subnet-vpc-producer \
  --network=vpc-producer \
  --region=us-central1 \
  --range=172.16.10.0/29

Crea un Cloud Router y una puerta de enlace de Cloud NAT

Para permitir que la VM vm-producer acceda a la Internet pública, debes crear un Cloud Router y una puerta de enlace de Cloud NAT.

Console

  1. En la consola de Google Cloud, ve a la página de Cloud NAT.

    Ir a Cloud NAT

  2. Haz clic en Comenzar o Crear la puerta de enlace NAT.

  3. En Nombre de la puerta de enlace, ingresa nat-gateway-addressgrp.

  4. Para Tipo de NAT, selecciona Pública.

  5. En la sección Seleccionar Cloud Router, especifica los siguientes parámetros de configuración:

    • Red: vpc-producer
    • Región: us-central1 (lowa)
    • Cloud Router: haz clic en Crear router nuevo.
      1. En Nombre, ingresa router-addressgrp.
      2. Haz clic en Crear.

  6. Haz clic en Crear.

gcloud

  1. Para crear un Cloud Router, ejecuta el siguiente comando:

    gcloud compute routers create router-addressgrp \
  --network=vpc-producer \
  --region=us-central1

  2. Para crear una puerta de enlace de Cloud NAT, ejecuta el siguiente comando:

    gcloud compute routers nats create nat-gateway-addressgrp \
  --router=router-addressgrp \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

Crea las VM

En cada subred de la red de VPC que creaste en la sección anterior, crea VMs sin una dirección IP externa.

Crea una VM para la red de VPC permitida por el consumidor

Crea una VM en la subred subnet-consumer-allowed.

Console

  1. En la consola de Google Cloud, ve a la página Crea una instancia.

    Ir a Crear una instancia

  2. En Nombre, ingresa vm-consumer-allowed.

  3. En Región, selecciona us-central1 (Iowa).

  4. Expande Opciones avanzadas y, luego, Herramientas de redes.

  5. En la sección Interfaces de red, expande configuración predeterminada y especifica los siguientes parámetros de configuración:

    • Red: vpc-consumer
    • Subred: subnet-consumer-allowed IPv4 (192.168.10.0/29)
    • Dirección IPv4 externa: ninguna

  6. Haz clic en Listo.

  7. Haz clic en Crear.

gcloud 

gcloud compute instances create vm-consumer-allowed \
     --network=vpc-consumer \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-consumer-allowed

Crea una VM para la red de VPC bloqueada por el consumidor

En esta sección, crearás una instancia de VM en la subred subnet-consumer-blocked.

Console

  1. En la consola de Google Cloud, ve a la página Crea una instancia.

    Ir a Crear una instancia

  2. En Nombre, ingresa vm-consumer-blocked.

  3. En Región, selecciona us-central1 (Iowa).

  4. Expande Opciones avanzadas y, luego, Herramientas de redes.

  5. En la sección Interfaces de red, expande configuración predeterminada y especifica los siguientes parámetros de configuración:

    • Red: vpc-consumer
    • Subred: subnet-consumer-blocked IPv4 (192.168.20.0/29)
    • Dirección IPv4 externa: ninguna

  6. Haz clic en Listo.

  7. Haz clic en Crear.

gcloud 

gcloud compute instances create vm-consumer-blocked \
    --network=vpc-consumer \
    --zone=us-central1-a \
    --stack-type=IPV4_ONLY \
    --no-address \
    --subnet=subnet-consumer-blocked

Crea una VM para la red de VPC de productor

Crea una VM en la subred subnet-vpc-producer y, luego, instala un servidor Apache en ella.

Console

  1. En la consola de Google Cloud, ve a la página Crea una instancia.

    Ir a Crear una instancia

  2. En Nombre, ingresa vm-producer.

  3. En Región, selecciona us-central1 (Iowa).

  4. Expande Opciones avanzadas y, luego, Herramientas de redes.

  5. En la sección Interfaces de red, expande configuración predeterminada y especifica los siguientes parámetros de configuración:

    • Red: vpc-producer
    • Subred: subnet-vpc-producer IPv4 (172.16.10.0/29)

  6. Haz clic en Listo.

  7. Expande la sección Administración.

  8. En la sección Automatización, ingresa la siguiente secuencia de comandos en el campo Secuencia de comandos de inicio:

      #! /bin/bash
  apt-get update
  apt-get install apache2 -y
  a2ensite default-ssl
  a2enmod ssl
  # Read VM network configuration:
  md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
  vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
  filter="{print \$NF}"
  vm_network="$(curl $md_vm/network-interfaces/0/network \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  vm_zone="$(curl $md_vm/zone \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  # Apache configuration:
  echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
  tee /var/www/html/index.html
  systemctl restart apache2

    La secuencia de comandos anterior implementa y, luego, inicia un servidor web Apache en esta VM.

  9. Haz clic en Crear.

gcloud

Para crear una VM de productor, ejecuta el siguiente comando:

  gcloud compute instances create vm-producer \
      --network=vpc-producer \
      --zone=us-central1-a \
      --stack-type=IPV4_ONLY \
      --no-address \
      --subnet=subnet-vpc-producer \
      --image-project=debian-cloud \
      --image-family=debian-10 \
      --metadata=startup-script='#! /bin/bash
        apt-get update
        apt-get install apache2 -y
        a2ensite default-ssl
        a2enmod ssl
        # Read VM network configuration:
        md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
        vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
        filter="{print \$NF}"
        vm_network="$(curl $md_vm/network-interfaces/0/network \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        vm_zone="$(curl $md_vm/zone \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        # Apache configuration:
        echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
        tee /var/www/html/index.html
        systemctl restart apache2'

Crea una conexión de intercambio de tráfico entre redes de VPC

Para conectar de forma privada tus redes de VPC vpc-consumer y vpc-producer en el mismo proyecto, usa el intercambio de tráfico entre redes de VPC. El intercambio de tráfico entre redes de VPC permite la conectividad de direcciones IP internas entre dos redes de VPC, independientemente de si las redes de VPC pertenecen al mismo proyecto o a la misma organización.

Intercambia tráfico entre vpc-consumer y vpc-producer

Para establecer intercambios de tráfico entre redes de VPC de manera correcta, debes configurar la asociación de intercambio de tráfico de manera independiente para las redes vpc-consumer y vpc-producer.

Console

Para crear un intercambio de tráfico entre redes de VPC entre las redes vpc-consumer y vpc-producer, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Intercambio de tráfico entre redes de VPC.

    Ir a Intercambio de tráfico entre redes de VPC

  2. Haz clic en Crear conexión.

  3. Haz clic en Continuar.

  4. En el campo Nombre, ingresa peering-cp.

  5. En Tu red de VPC, selecciona vpc-consumer.

  6. En Nombre de la red de VPC, selecciona vpc-producer.

  7. Haz clic en Crear.

gcloud

Para crear el intercambio de tráfico entre redes de VPC entre vpc-consumer y vpc-producer, ejecuta el siguiente comando:

gcloud compute networks peerings create peering-cp \
    --network=vpc-consumer \
    --peer-network=vpc-producer \
    --stack-type=IPV4_ONLY

Realiza un intercambio de tráfico entre la red vpc-producer y la red vpc-consumer

Console

Para crear un intercambio de tráfico entre redes de VPC entre vpc-producer y vpc-consumer, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Intercambio de tráfico entre redes de VPC.

    Ir a Intercambio de tráfico entre redes de VPC

  2. Haz clic en Crear conexión.

  3. Haz clic en Continuar.

  4. En el campo Nombre, ingresa peering-pc.

  5. En Tu red de VPC, selecciona vpc-producer.

  6. En Nombre de la red de VPC, selecciona vpc-consumer.

  7. Haz clic en Crear.

gcloud

Para crear el intercambio de tráfico entre redes de VPC entre vpc-producer y vpc-consumer, ejecuta el siguiente comando:

gcloud compute networks peerings create peering-pc \
    --network=vpc-producer \
    --peer-network=vpc-consumer \
    --stack-type=IPV4_ONLY

Crea una política de firewall de red global para habilitar IAP

Para habilitar IAP, crea una política de firewall de red global y agrega una regla de firewall. IAP permite el acceso de administrador a las instancias de VM.

La regla de firewall incluye las siguientes características.

  • Tráfico de entrada del rango de IP 35.235.240.0/20. Este rango contiene todas las direcciones IP que IAP usa para el reenvío de TCP.

  • Una conexión a todos los puertos a los que deseas acceder mediante el reenvío IAP de TCP, por ejemplo, el puerto 22 para SSH.

Console

Para permitir el acceso de IAP a todas las instancias de VM en las redes vpc-consumer y vpc-producer, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. Haz clic en Crear política de firewall.

  3. En la sección Configurar la política, en Nombre de la política, ingresa fw-policy-addressgrp.

  4. En Permiso de la implementación, selecciona Global y haz clic en Continuar.

  5. Para crear reglas para tu política, en la sección Agregar reglas, haz clic en Agregar regla.

    1. En Prioridad, ingresa 100.
    2. En Dirección del tráfico, selecciona Ingress.
    3. En Acción en caso de coincidencia, selecciona Permitir.
    4. En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.
    5. En la sección Origen, en Rangos de IP, ingresa 35.235.240.0/20.
    6. En la sección Protocol y puertos, selecciona Protocolos y puertos especificados.
    7. Selecciona la casilla de verificación TCP y, en Puertos, ingresa 22.
    8. Haz clic en Crear.

  6. Haz clic en Continuar.

  7. Para asociar una red de VPC con la política, en la sección Asociar política con redes de VPC, haz clic en Asociar.

  8. Selecciona las casillas de verificación de vpc-producer y vpc-consumer y, luego, haz clic en Asociar.

  9. Haz clic en Continuar.

  10. Haz clic en Crear.

gcloud

Para permitir que IAP acceda a las instancias de VM en la red vpc-producer, ejecuta el siguiente comando:

  1. Para crear una política de firewall, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies create fw-policy-addressgrp \
    --global

  2. Para crear una regla de firewall que permita el tráfico a todos los destinos y que habilite los registros, ejecute el siguiente comando:

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy

  3. Para asociar la política de firewall con productor de la red de VPC, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-producer \
    --name=pol-association-vpc-producer \
    --global-firewall-policy

  4. Para asociar la política de firewall con la red de VPC de consumidor, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-consumer \
    --name=pol-association-vpc-consumer \
    --global-firewall-policy

Crear un grupo de direcciones con permiso del proyecto

Crea un grupo de direcciones con permiso del proyecto que use la dirección IP asignada a la subred subnet-consumer-allowed de la red de VPC vpc-consumer.

Para obtener más información sobre los grupos de direcciones con permiso del proyecto, consulta Usa grupos de direcciones en las políticas de firewall.

Console

  1. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones

  2. Haz clic en Crear grupo de direcciones.

  3. En el campo Nombre, ingresa address-group-pc.

  4. En Alcance, elige Global.

  5. En Tipo, selecciona IPv4.

  6. En el campo Capacidad, ingresa 1000.

  7. En el campo Direcciones IP, ingresa 192.168.10.0/29.

  8. Haz clic en Crear.

gcloud

  1. Si usas la terminal de Cloud Shell por primera vez, haz clic en alt='' Activar Cloud Shell en la consola de Google Cloud.

  2. Para crear un grupo de direcciones, ejecuta el siguiente comando:

    gcloud network-security address-groups create address-group-pc \
    --type IPv4 \
    --capacity 1000 \
    --location global

  3. En el diálogo Autorizar Cloud Shell, haz clic en Autorizar.

  4. Para agregar un elemento a un grupo de direcciones, ejecuta el siguiente comando:

    gcloud network-security address-groups add-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

    Recuerda que el rango de IP 192.168.10.0/29 se asigna a la subred subnet-consumer-allowed de la red de VPC vpc-consumer.

Agrega una regla de firewall para permitir el tráfico a un grupo de direcciones

Para permitir conexiones de entrada desde la VM vm-consumer-allowed, crea una regla de firewall que agregue el grupo de direcciones con permiso del proyecto address-group-pc como la dirección IP de origen.

Console

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la sección Políticas de firewall de red, haz clic en fw-policy-addressgrp.

  3. Haz clic en Crear regla.

  4. En Prioridad, ingresa 150.

  5. En Dirección del tráfico, selecciona Ingress.

  6. En Acción en caso de coincidencia, selecciona Permitir.

  7. En Registros, selecciona Activar.

  8. En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.

  9. En la sección Fuente, en Grupo de direcciones, elige address-group-pc (PROJECT_ID) y haz clic en Aceptar.

    Recuerda que el grupo de direcciones IP address-group-pc tiene un rango de IP de 192.168.10.0/29 que se asigna a la subred subnet-consumer-allowed de la red de VPC de consumidor.

  10. Haz clic en Crear.

gcloud

Para actualizar la política de firewall, ejecuta el siguiente comando:

gcloud compute network-firewall-policies rules create 150 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Prueba la conexión

Prueba la conexión de la VM vm-consumer-allowed a la VM vm-producer y de la VM vm-consumer-blocked a la VM vm-producer.

Prueba el tráfico de la VM de vm-consumer-allowed a la VM de vm-producer

Console

  1. En la consola de Google Cloud, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. En la columna IP interna de la VM de vm-producer, copia la dirección IP interna de la VM.

  3. En la columna Conectar de la VM de vm-consumer-allowed, haz clic en SSH.

  4. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

  5. Para verificar la conexión, ejecuta el siguiente comando:

    curl INTERNAL_IP -m 2

    Reemplaza INTERNAL_IP por la dirección IP de la VM de vm-producer.

    El resultado es similar al siguiente:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Cierra el cuadro de diálogo SSH en el navegador.

gcloud

  1. Para ver la dirección IP interna de la VM vm-producer, ejecuta el siguiente comando:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Cuando se te solicite, presiona n para confirmar y, luego, Intro. Asegúrate de anotar la dirección IP interna de la VM de vm-producer.

  2. Si quieres usar SSH para conectarte a la VM vm-consumer-allowed, ejecuta el siguiente comando:

    gcloud compute ssh vm-consumer-allowed \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Para verificar la conexión, ejecuta el siguiente comando:

    curl INTERNAL_IP -m 2

    Reemplaza INTERNAL_IP por la dirección IP interna de la VM de vm-producer.

    El mensaje de respuesta esperado es el siguiente:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. Para salir de la conexión SSH, ingresa exit.

Prueba el tráfico de la VM de vm-consumer-blocked a la VM de vm-producer

Console

  1. En la consola de Google Cloud, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. En la columna IP interna de la VM de vm-producer, copia la dirección IP interna de la VM.

  3. En la columna Conectar de la VM de vm-consumer-blocked, haz clic en SSH.

  4. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

  5. Para verificar la conexión, ejecuta el siguiente comando:

    curl INTERNAL_IP -m 2

    Reemplaza INTERNAL_IP por la dirección IP de la VM de vm-producer.

    Se espera el mensaje Connection timed out porque cada VM crea una regla de firewall de entrada implícita que deniega todo el tráfico. Para permitir el tráfico, agrega una regla de entrada a la política de firewall.

  6. Cierra el cuadro de diálogo SSH en el navegador.

gcloud

  1. Para ver la dirección IP interna de la VM vm-producer, ejecuta el siguiente comando:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Cuando se te solicite, presiona n para confirmar y, luego, Intro. Asegúrate de anotar la dirección IP interna de la VM de vm-producer.

  2. Si quieres usar SSH para conectarte a la VM vm-consumer-blocked, ejecuta el siguiente comando:

    gcloud compute ssh vm-consumer-blocked \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Para verificar la conexión, ejecuta el siguiente comando:

    curl INTERNAL_IP -m 2

    Reemplaza INTERNAL_IP por la dirección IP interna de la VM de vm-producer.

    Se espera el mensaje Connection timed out porque cada VM crea una regla de firewall de entrada implícita que deniega todo el tráfico. Para permitir el tráfico, agrega una regla de entrada a la política de firewall.

  4. Para salir de la conexión SSH, ingresa exit.

Consulta los registros

Para verificar que las reglas de firewall del grupo de direcciones se aplicaron al tráfico de entrada, accede a los registros. Para ver los detalles del registro, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la sección Políticas de firewall de red, haz clic en el nombre fw-policy-addressgrp.

  3. En la columna Recuento de aciertos, selecciona el número de la regla que creaste durante Agrega una regla de firewall para permitir el tráfico a un grupo de direcciones. Se abrirá la página Explorador de registros.

  4. Para ver la regla de firewall aplicada al tráfico de entrada, expande el registro individual. Puedes ver los detalles de la regla, la disposición y los detalles de la instancia.

Realiza una limpieza

Para evitar que se apliquen cargos a su cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

Para borrar los recursos que se crearon en este instructivo, completa los siguientes pasos:

Borra un grupo de direcciones

Console

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la sección Políticas de firewall de red, haz clic en fw-policy-addressgrp.

  3. En la sección Reglas de firewall, selecciona la casilla de verificación de la regla de firewall 150.

  4. Haz clic en Borrar.

  5. En la consola de Google Cloud, ve a la página Grupos de direcciones.

    Ve a Grupos de direcciones

  6. En la sección Grupos de direcciones, selecciona la casilla de verificación junto a address-group-pc.

  7. Haz clic en Borrar y, luego, en Borrar de nuevo para confirmar.

gcloud

  1. Para borrar la regla de firewall asociada con el grupo de direcciones IP address-group-pc, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies rules delete 150 \
    --firewall-policy fw-policy-addressgrp \
    --global-firewall-policy

  2. Para quitar un elemento existente de un grupo de direcciones, ejecuta el siguiente comando:

    gcloud network-security address-groups remove-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

  3. Para borrar un grupo de direcciones IP, ejecuta el siguiente comando:

    gcloud network-security address-groups delete address-group-pc \
    --location global

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

Borra la política de firewall

Console

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la sección Políticas de firewall de red, haz clic en el nombre fw-policy-addressgrp.

  3. Haz clic en la pestaña Asociaciones.

  4. Selecciona la casilla de verificación de la VM vpc-producer y la VM vpc-consumer y, luego, haz clic en Quitar asociación.

  5. En el cuadro de diálogo Quitar una asociación de política de firewall, haz clic en Quitar.

  6. Junto al título fw-policy-addressgrp, haz clic en Borrar.

  7. En el cuadro de diálogo Borrar una política de firewall, haz clic en Borrar.

gcloud

  1. Quita la asociación entre la política de firewall y la red de VPC de productor.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-producer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  2. Quita la asociación entre la política de firewall y la red de VPC de consumidor.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-consumer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  3. Borra la política de firewall.

    gcloud compute network-firewall-policies delete fw-policy-addressgrp \
    --global

Borra el intercambio de tráfico entre redes de VPC.

Console

  1. En la consola de Google Cloud, ve a la página Intercambio de tráfico entre redes de VPC.

    Ir a Intercambio de tráfico entre redes de VPC

  2. Selecciona las casillas de verificación de peering-cp y peering-pc.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo ¿Quieres borrar 2 intercambios de tráfico?, haz clic en Borrar.

gcloud

  1. Para borrar el intercambio de tráfico entre la VPC de consumidor y la VPC de productor, ejecuta el siguiente comando:

    gcloud compute networks peerings delete peering-cp \
    --network=vpc-consumer

  2. Para borrar el intercambio de tráfico entre la VPC de productor y la VPC de consumidor, ejecuta el siguiente comando:

    gcloud compute networks peerings delete peering-pc \
    --network=vpc-producer

Borra la puerta de enlace de Cloud NAT y Cloud Router

Console

  1. En la consola de Google Cloud, ve a la página Cloud Routers.

    Ir a Cloud Routers

  2. Selecciona la casilla de verificación router-addressgrp.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo Borrar router-addressgrp, haz clic en Borrar.

Cuando borras un Cloud Router, también se borra la puerta de enlace de Cloud NAT asociada.

gcloud

Para borrar el Cloud Router router-addressgrp, ejecuta el siguiente comando:

gcloud compute routers delete router-addressgrp \
    --region=us-central1

Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

Cuando borras un Cloud Router, también se borra la puerta de enlace de Cloud NAT asociada.

Borra las VMs

Console

  1. En la consola de Google Cloud, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Elige las casillas de verificación de las VMs vm-consumer-allowed, vm-consumer-blocked y vm-producer.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo ¿Quieres borrar 3 instancias?, haz clic en Borrar.

gcloud

  1. Para borrar todas las VMs, ejecuta el siguiente comando:

    gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \
    --zone=us-central1-a

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

Borra la red de VPC de consumidor y sus subredes

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. En la columna Nombre, haz clic en vpc-consumer.

  3. Haz clic en Borrar la red de VPC.

  4. En el diálogo Borrar una red, haz clic en Borrar.

Cuando borras una VPC, también se borran sus subredes.

gcloud

  1. Para borrar las subredes de la red de VPC vpc-consumer, ejecuta el siguiente comando:

    gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \
   --region=us-central1

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

  2. Para borrar la red de VPC vpc-consumer, ejecuta el siguiente comando:

    gcloud compute networks delete vpc-consumer

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

Borra la red de VPC de productor y su subred

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. En la columna Nombre, haz clic en vpc-producer.

  3. Haz clic en Borrar la red de VPC.

  4. En el diálogo Borrar una red, haz clic en Borrar.

Cuando borras una VPC, también se borran sus subredes.

gcloud

  1. Para borrar las subredes de la red de VPC de vpc-producer, ejecuta el siguiente comando:

    gcloud compute networks subnets delete subnet-vpc-producer \
   --region=us-central1

    Cuando se te solicite, presiona Y para confirmar y presiona Intro.

  2. Para borrar la red de VPC vpc-producer, ejecuta el siguiente comando:

    gcloud compute networks delete vpc-producer

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

¿Qué sigue?