Objetivos
En este instructivo, se muestra cómo completar las siguientes tareas:
- Crear dos redes de VPC personalizadas con subredes.
- Crear tres instancias de máquina virtual (VM) (dos VM de consumidor en subredes separadas de una red de VPC y una VM de productor en una segunda red de VPC). Todas las VMs se crean sin una dirección IP externa.
- Instalar el servidor Apache en la VM de productor.
- Crear el intercambio de tráfico entre redes de VPC.
- Crear un Cloud Router y una puerta de enlace de Cloud NAT, que permiten que la VM de productor acceda al Internet público.
- Crear un grupo de direcciones con permiso del proyecto.
- Crear una política de firewall de red global con las siguientes reglas:
- Permitir la conectividad SSH de Identity-Aware Proxy (IAP) a las VMs.
- Permitir el tráfico de la VM de consumidor permitida a la VM de productor mediante el grupo de direcciones con permiso del proyecto.
- Prueba la conexión.
En el siguiente diagrama, se muestra el tráfico entre las VMs de productor y consumidor en la región us-central1 dentro de dos redes de VPC personalizadas. Una política de firewall de red global usa una regla de grupo de direcciones con permiso del proyecto para permitir el tráfico de entrada entre las VMs vm-consumer-allowed y vm-producer.
El tráfico entre la VM vm-consumer-blocked y la VM vm-producer se rechaza porque cada VM tiene una regla de firewall de entrada implícita que rechaza todo el tráfico.
Antes de comenzar
- Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
- Habilita la API de Compute Engine para tu proyecto.
- Asegúrate de tener el rol de Administrador de red de Compute (
roles/compute.networkAdmin). - Habilita la API de Identity-Aware Proxy para tu proyecto.
- Si prefieres trabajar desde la línea de comandos, instala Google Cloud CLI. Para obtener información conceptual y de instalación sobre la herramienta, consulta Descripción general de gcloud CLI.
Nota: Si no ejecutaste Google Cloud CLI antes, ejecuta el comando
gcloud initpara inicializar el directorio de gcloud CLI.
Crea una red de VPC de consumidor con subredes
En esta sección, crearás una red de VPC de consumidor con dos subredes IPv4: subnet-consumer-allowed y subnet-consumer-blocked.
Console
En la consola de Google Cloud, ve a la página Redes de VPC.
Haz clic en Crear red de VPC.
En Nombre, ingresa
vpc-consumer.En Modo de creación de subred, selecciona Personalizado.
En la sección Subred nueva, especifica los siguientes parámetros de configuración para una subred:
- Nombre:
subnet-consumer-allowed - Región:
us-central1 - Rango IPv4:
192.168.10.0/29
- Nombre:
Haz clic en Listo.
Haz clic en Agregar subred y especifica los siguientes parámetros de configuración:
- Nombre:
subnet-consumer-blocked - Región:
us-central1 - Rango IPv4:
192.168.20.0/29
- Nombre:
Haz clic en Listo.
Haz clic en Crear.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
Para crear una red de VPC, ejecuta el siguiente comando:
gcloud compute networks create vpc-consumer \ --subnet-mode=custom
En el diálogo Autorizar Cloud Shell, haz clic en Autorizar.
Para crear una subred, ejecuta el siguiente comando:
gcloud compute networks subnets create subnet-consumer-allowed \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.10.0/29
Para crear otra subred, ejecuta el siguiente comando:
gcloud compute networks subnets create subnet-consumer-blocked \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.20.0/29
Crea una red de VPC de productor con subred
En esta sección, crearás una red de VPC de productor con una subred IPv4.
Console
En la consola de Google Cloud, ve a la página Redes de VPC.
Haz clic en Crear red de VPC.
En Nombre, ingresa
vpc-producer.En Modo de creación de subred, selecciona Personalizado.
En la sección Subred nueva, especifica los siguientes parámetros de configuración para una subred:
- Nombre:
subnet-vpc-producer - Región:
us-central1 - Rango IPv4:
172.16.10.0/29
- Nombre:
Haz clic en Listo.
Haz clic en Crear.
gcloud
Para crear una red de VPC, ejecuta el siguiente comando:
gcloud compute networks create vpc-producer \ --subnet-mode=custom
Para crear la subred, ejecuta el siguiente comando:
gcloud compute networks subnets create subnet-vpc-producer \ --network=vpc-producer \ --region=us-central1 \ --range=172.16.10.0/29
Crea un Cloud Router y una puerta de enlace de Cloud NAT
Para permitir que la VM vm-producer acceda a la Internet pública, debes crear un Cloud Router y una puerta de enlace de Cloud NAT.
Console
En la consola de Google Cloud, ve a la página de Cloud NAT.
Haz clic en Comenzar o Crear la puerta de enlace NAT.
En Nombre de la puerta de enlace, ingresa
nat-gateway-addressgrp.Para Tipo de NAT, selecciona Pública.
En la sección Seleccionar Cloud Router, especifica los siguientes parámetros de configuración:
- Red:
vpc-producer - Región:
us-central1 (lowa) - Cloud Router: haz clic en Crear router nuevo.
- En Nombre, ingresa
router-addressgrp. - Haz clic en Crear.
- En Nombre, ingresa
- Red:
Haz clic en Crear.
gcloud
Para crear un Cloud Router, ejecuta el siguiente comando:
gcloud compute routers create router-addressgrp \ --network=vpc-producer \ --region=us-central1
Para crear una puerta de enlace de Cloud NAT, ejecuta el siguiente comando:
gcloud compute routers nats create nat-gateway-addressgrp \ --router=router-addressgrp \ --region=us-central1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
Crea las VM
En cada subred de la red de VPC que creaste en la sección anterior, crea VMs sin una dirección IP externa.
Crea una VM para la red de VPC permitida por el consumidor
Crea una VM en la subred subnet-consumer-allowed.
Console
En la consola de Google Cloud, ve a la página Crea una instancia.
En Nombre, ingresa
vm-consumer-allowed.En Región, selecciona
us-central1 (Iowa).Expande Opciones avanzadas y, luego, Herramientas de redes.
En la sección Interfaces de red, expande configuración predeterminada y especifica los siguientes parámetros de configuración:
- Red:
vpc-consumer - Subred:
subnet-consumer-allowed IPv4 (192.168.10.0/29) - Dirección IPv4 externa: ninguna
- Red:
Haz clic en Listo.
Haz clic en Crear.
gcloud
gcloud compute instances create vm-consumer-allowed \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-allowed
Crea una VM para la red de VPC bloqueada por el consumidor
En esta sección, crearás una instancia de VM en la subred subnet-consumer-blocked.
Console
En la consola de Google Cloud, ve a la página Crea una instancia.
En Nombre, ingresa
vm-consumer-blocked.En Región, selecciona
us-central1 (Iowa).Expande Opciones avanzadas y, luego, Herramientas de redes.
En la sección Interfaces de red, expande configuración predeterminada y especifica los siguientes parámetros de configuración:
- Red:
vpc-consumer - Subred:
subnet-consumer-blocked IPv4 (192.168.20.0/29) - Dirección IPv4 externa: ninguna
- Red:
Haz clic en Listo.
Haz clic en Crear.
gcloud
gcloud compute instances create vm-consumer-blocked \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-blocked
Crea una VM para la red de VPC de productor
Crea una VM en la subred subnet-vpc-producer y, luego, instala un servidor Apache en ella.
Console
En la consola de Google Cloud, ve a la página Crea una instancia.
En Nombre, ingresa
vm-producer.En Región, selecciona
us-central1 (Iowa).Expande Opciones avanzadas y, luego, Herramientas de redes.
En la sección Interfaces de red, expande configuración predeterminada y especifica los siguientes parámetros de configuración:
- Red:
vpc-producer - Subred:
subnet-vpc-producer IPv4 (172.16.10.0/29)
- Red:
Haz clic en Listo.
Expande la sección Administración.
En la sección Automatización, ingresa la siguiente secuencia de comandos en el campo Secuencia de comandos de inicio:
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl # Read VM network configuration: md_vm="http://169.254.169.254/computeMetadata/v1/instance/" vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )" filter="{print \$NF}" vm_network="$(curl $md_vm/network-interfaces/0/network \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" vm_zone="$(curl $md_vm/zone \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" # Apache configuration: echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \ tee /var/www/html/index.html systemctl restart apache2La secuencia de comandos anterior implementa y, luego, inicia un servidor web Apache en esta VM.
Haz clic en Crear.
gcloud
Para crear una VM de productor, ejecuta el siguiente comando:
gcloud compute instances create vm-producer \
--network=vpc-producer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-vpc-producer \
--image-project=debian-cloud \
--image-family=debian-10 \
--metadata=startup-script='#! /bin/bash
apt-get update
apt-get install apache2 -y
a2ensite default-ssl
a2enmod ssl
# Read VM network configuration:
md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
filter="{print \$NF}"
vm_network="$(curl $md_vm/network-interfaces/0/network \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
vm_zone="$(curl $md_vm/zone \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
# Apache configuration:
echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2'
Crea una conexión de intercambio de tráfico entre redes de VPC
Para conectar de forma privada tus redes de VPC vpc-consumer y vpc-producer en el mismo proyecto, usa el intercambio de tráfico entre redes de VPC. El intercambio de tráfico entre redes de VPC permite la conectividad de direcciones IP internas entre dos redes de VPC, independientemente de si las redes de VPC pertenecen al mismo proyecto o a la misma organización.
Intercambia tráfico entre vpc-consumer y vpc-producer
Para establecer intercambios de tráfico entre redes de VPC de manera correcta, debes configurar la asociación de intercambio de tráfico de manera independiente para las redes vpc-consumer y vpc-producer.
Console
Para crear un intercambio de tráfico entre redes de VPC entre las redes vpc-consumer y vpc-producer, sigue estos pasos:
En la consola de Google Cloud, ve a la página Intercambio de tráfico entre redes de VPC.
Haz clic en Crear conexión.
Haz clic en Continuar.
En el campo Nombre, ingresa
peering-cp.En Tu red de VPC, selecciona
vpc-consumer.En Nombre de la red de VPC, selecciona
vpc-producer.Haz clic en Crear.
gcloud
Para crear el intercambio de tráfico entre redes de VPC entre vpc-consumer y vpc-producer, ejecuta el siguiente comando:
gcloud compute networks peerings create peering-cp \
--network=vpc-consumer \
--peer-network=vpc-producer \
--stack-type=IPV4_ONLY
Realiza un intercambio de tráfico entre la red vpc-producer y la red vpc-consumer
Console
Para crear un intercambio de tráfico entre redes de VPC entre vpc-producer y vpc-consumer, sigue estos pasos:
En la consola de Google Cloud, ve a la página Intercambio de tráfico entre redes de VPC.
Haz clic en Crear conexión.
Haz clic en Continuar.
En el campo Nombre, ingresa
peering-pc.En Tu red de VPC, selecciona
vpc-producer.En Nombre de la red de VPC, selecciona
vpc-consumer.Haz clic en Crear.
gcloud
Para crear el intercambio de tráfico entre redes de VPC entre vpc-producer y vpc-consumer, ejecuta el siguiente comando:
gcloud compute networks peerings create peering-pc \
--network=vpc-producer \
--peer-network=vpc-consumer \
--stack-type=IPV4_ONLY
Crea una política de firewall de red global para habilitar IAP
Para habilitar IAP, crea una política de firewall de red global y agrega una regla de firewall. IAP permite el acceso de administrador a las instancias de VM.
La regla de firewall incluye las siguientes características.
- Tráfico de entrada del rango de IP
35.235.240.0/20. Este rango contiene todas las direcciones IP que IAP usa para el reenvío de TCP. Una conexión a todos los puertos a los que deseas acceder mediante el reenvío IAP de TCP, por ejemplo, el puerto
22para SSH.
Console
Para permitir el acceso de IAP a todas las instancias de VM en las redes vpc-consumer y vpc-producer, sigue estos pasos:
En la consola de Google Cloud, ve a la página Políticas de firewall.
Haz clic en Crear política de firewall.
En la sección Configurar la política, en Nombre de la política, ingresa
fw-policy-addressgrp.En Permiso de la implementación, selecciona Global y haz clic en Continuar.
Para crear reglas para tu política, en la sección Agregar reglas, haz clic en Agregar regla.
- En Prioridad, ingresa
100. - En Dirección del tráfico, selecciona Ingress.
- En Acción en caso de coincidencia, selecciona Permitir.
- En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.
- En la sección Origen, en Rangos de IP, ingresa
35.235.240.0/20. - En la sección Protocol y puertos, selecciona Protocolos y puertos especificados.
- Selecciona la casilla de verificación TCP y, en Puertos, ingresa
22. - Haz clic en Crear.
- En Prioridad, ingresa
Haz clic en Continuar.
Para asociar una red de VPC con la política, en la sección Asociar política con redes de VPC, haz clic en Asociar.
Selecciona las casillas de verificación de
vpc-produceryvpc-consumery, luego, haz clic en Asociar.Haz clic en Continuar.
Haz clic en Crear.
gcloud
Para permitir que IAP acceda a las instancias de VM en la red vpc-producer, ejecuta el siguiente comando:
Para crear una política de firewall, ejecuta el siguiente comando:
gcloud compute network-firewall-policies create fw-policy-addressgrp \ --globalPara crear una regla de firewall que permita el tráfico a todos los destinos y que habilite los registros, ejecute el siguiente comando:
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy=fw-policy-addressgrp \ --direction=INGRESS \ --action=ALLOW \ --layer4-configs=tcp:22 \ --src-ip-ranges=35.235.240.0/20 \ --global-firewall-policyPara asociar la política de firewall con productor de la red de VPC, ejecuta el siguiente comando:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-producer \ --name=pol-association-vpc-producer \ --global-firewall-policyPara asociar la política de firewall con la red de VPC de consumidor, ejecuta el siguiente comando:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-consumer \ --name=pol-association-vpc-consumer \ --global-firewall-policy
Crear un grupo de direcciones con permiso del proyecto
Crea un grupo de direcciones con permiso del proyecto que use la dirección IP asignada a la subred subnet-consumer-allowed de la red de VPC vpc-consumer.
Para obtener más información sobre los grupos de direcciones con permiso del proyecto, consulta Usa grupos de direcciones en las políticas de firewall.
Si usas la terminal de Cloud Shell por primera vez, haz clic en
Activar Cloud Shell en la consola de Google Cloud.Para crear un grupo de direcciones, ejecuta el siguiente comando:
gcloud network-security address-groups create address-group-pc \ --type IPv4 \ --capacity 1000 \ --location globalSi usas la terminal de Cloud Shell por primera vez, en el cuadro de diálogo Autorizar Cloud Shell, haz clic en Autorizar.
Para agregar un elemento a un grupo de direcciones, ejecuta el siguiente comando:
gcloud network-security address-groups add-items address-group-pc \ --items 192.168.10.0/29 \ --location globalRecuerda que el rango de IP
192.168.10.0/29se asigna a la subredsubnet-consumer-allowedde la red de VPCvpc-consumer.
Agrega una regla de firewall para permitir el tráfico a un grupo de direcciones
Para permitir conexiones de entrada desde la VM vm-consumer-allowed, crea una regla de firewall que agregue el grupo de direcciones con permiso del proyecto address-group-pc como la dirección IP de origen.
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En la sección Políticas de firewall de red, haz clic en
fw-policy-addressgrp.Haz clic en Crear regla.
En Prioridad, ingresa
150.En Dirección del tráfico, selecciona Ingress.
En Acción en caso de coincidencia, selecciona Permitir.
En Registros, selecciona Activar.
En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.
En la sección Fuente, en Grupo de direcciones, elige
address-group-pc (PROJECT_ID)y haz clic en Aceptar.Recuerda que el grupo de direcciones IP
address-group-pctiene un rango de IP de192.168.10.0/29que se asigna a la subredsubnet-consumer-allowedde la red de VPC de consumidor.Haz clic en Crear.
gcloud
Para actualizar la política de firewall, ejecuta el siguiente comando:
gcloud compute network-firewall-policies rules create 150 \
--firewall-policy=fw-policy-addressgrp \
--direction=INGRESS \
--action=ALLOW \
--src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
--layer4-configs=all \
--global-firewall-policy \
--enable-logging
Prueba la conexión
Prueba la conexión de la VM vm-consumer-allowed a la VM vm-producer y de la VM vm-consumer-blocked a la VM vm-producer.
Prueba el tráfico de la VM de vm-consumer-allowed a la VM de vm-producer
Console
En la consola de Google Cloud, ve a la página Instancias de VM.
En la columna IP interna de la VM de
vm-producer, copia la dirección IP interna de la VM.En la columna Conectar de la VM de
vm-consumer-allowed, haz clic en SSH.En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.
Para verificar la conexión, ejecuta el siguiente comando:
curl INTERNAL_IP -m 2
Reemplaza
INTERNAL_IPpor la dirección IP de la VM devm-producer.El resultado es similar al siguiente:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Cierra el cuadro de diálogo SSH en el navegador.
gcloud
Para ver la dirección IP interna de la VM
vm-producer, ejecuta el siguiente comando:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
Cuando se te solicite, presiona n para confirmar y, luego, Intro. Asegúrate de anotar la dirección IP interna de la VM de
vm-producer.Si quieres usar SSH para conectarte a la VM
vm-consumer-allowed, ejecuta el siguiente comando:gcloud compute ssh vm-consumer-allowed \ --zone=us-central1-a \ --tunnel-through-iap
Para verificar la conexión, ejecuta el siguiente comando:
curl INTERNAL_IP -m 2
Reemplaza
INTERNAL_IPpor la dirección IP interna de la VM devm-producer.El mensaje de respuesta esperado es el siguiente:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Para salir de la conexión SSH, ingresa
exit.
Prueba el tráfico de la VM de vm-consumer-blocked a la VM de vm-producer
Console
En la consola de Google Cloud, ve a la página Instancias de VM.
En la columna IP interna de la VM de
vm-producer, copia la dirección IP interna de la VM.En la columna Conectar de la VM de
vm-consumer-blocked, haz clic en SSH.En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.
Para verificar la conexión, ejecuta el siguiente comando:
curl INTERNAL_IP -m 2
Reemplaza
INTERNAL_IPpor la dirección IP de la VM devm-producer.Se espera el mensaje
Connection timed outporque cada VM crea una regla de firewall de entrada implícita que deniega todo el tráfico. Para permitir el tráfico, agrega una regla de entrada a la política de firewall.Cierra el cuadro de diálogo SSH en el navegador.
gcloud
Para ver la dirección IP interna de la VM
vm-producer, ejecuta el siguiente comando:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
Cuando se te solicite, presiona n para confirmar y, luego, Intro. Asegúrate de anotar la dirección IP interna de la VM de
vm-producer.Si quieres usar SSH para conectarte a la VM
vm-consumer-blocked, ejecuta el siguiente comando:gcloud compute ssh vm-consumer-blocked \ --zone=us-central1-a \ --tunnel-through-iap
Para verificar la conexión, ejecuta el siguiente comando:
curl INTERNAL_IP -m 2
Reemplaza
INTERNAL_IPpor la dirección IP interna de la VM devm-producer.Se espera el mensaje
Connection timed outporque cada VM crea una regla de firewall de entrada implícita que deniega todo el tráfico. Para permitir el tráfico, agrega una regla de entrada a la política de firewall.Para salir de la conexión SSH, ingresa
exit.
Consulta los registros
Para verificar que las reglas de firewall del grupo de direcciones se aplicaron al tráfico de entrada, accede a los registros. Para ver los detalles del registro, sigue estos pasos:
En la consola de Google Cloud, ve a la página Políticas de firewall.
En la sección Políticas de firewall de red, haz clic en el nombre
fw-policy-addressgrp.En la columna Recuento de aciertos, selecciona el número de la regla que creaste durante Agrega una regla de firewall para permitir el tráfico a un grupo de direcciones. Se abrirá la página Explorador de registros.
Para ver la regla de firewall aplicada al tráfico de entrada, expande el registro individual. Puedes ver los detalles de la regla, la disposición y los detalles de la instancia.
Limpia
Para evitar que se apliquen cargos a su cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.
Para borrar los recursos que se crearon en este instructivo, completa los siguientes pasos:
Borra un grupo de direcciones
Para borrar la regla de firewall asociada con el grupo de direcciones IP
address-group-pc, ejecuta el siguiente comando:gcloud compute network-firewall-policies rules delete 150 \ --firewall-policy fw-policy-addressgrp \ --global-firewall-policy
Para quitar un elemento existente de un grupo de direcciones, ejecuta el siguiente comando:
gcloud network-security address-groups remove-items address-group-pc \ --items 192.168.10.0/29 \ --location global
Para borrar un grupo de direcciones IP, ejecuta el siguiente comando:
gcloud network-security address-groups delete address-group-pc \ --location global
Cuando se te solicite, presiona Y para confirmar y, luego, Intro.
Borra la política de firewall
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En la sección Políticas de firewall de red, haz clic en el nombre
fw-policy-addressgrp.Haz clic en la pestaña Asociaciones.
Selecciona la casilla de verificación de la VM
vpc-producery la VMvpc-consumery, luego, haz clic en Quitar asociación.En el cuadro de diálogo Quitar una asociación de política de firewall, haz clic en Quitar.
Junto al título
fw-policy-addressgrp, haz clic en Borrar.En el cuadro de diálogo Borrar una política de firewall, haz clic en Borrar.
gcloud
Quita la asociación entre la política de firewall y la red de VPC de productor.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-producer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
Quita la asociación entre la política de firewall y la red de VPC de consumidor.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-consumer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
Borra la política de firewall.
gcloud compute network-firewall-policies delete fw-policy-addressgrp \ --global
Borra el intercambio de tráfico entre redes de VPC.
Console
En la consola de Google Cloud, ve a la página Intercambio de tráfico entre redes de VPC.
Selecciona las casillas de verificación de
peering-cpypeering-pc.Haz clic en Borrar.
En el cuadro de diálogo ¿Quieres borrar 2 intercambios de tráfico?, haz clic en Borrar.
gcloud
Para borrar el intercambio de tráfico entre la VPC de consumidor y la VPC de productor, ejecuta el siguiente comando:
gcloud compute networks peerings delete peering-cp \ --network=vpc-consumerPara borrar el intercambio de tráfico entre la VPC de productor y la VPC de consumidor, ejecuta el siguiente comando:
gcloud compute networks peerings delete peering-pc \ --network=vpc-producer
Borra la puerta de enlace de Cloud NAT y Cloud Router
Console
En la consola de Google Cloud, ve a la página Cloud Routers.
Selecciona la casilla de verificación
router-addressgrp.Haz clic en Borrar.
En el cuadro de diálogo Borrar router-addressgrp, haz clic en Borrar.
Cuando borras un Cloud Router, también se borra la puerta de enlace de Cloud NAT asociada.
gcloud
Para borrar el Cloud Router router-addressgrp, ejecuta el siguiente comando:
gcloud compute routers delete router-addressgrp \
--region=us-central1
Cuando se te solicite, presiona Y para confirmar y, luego, Intro.
Cuando borras un Cloud Router, también se borra la puerta de enlace de Cloud NAT asociada.
Borra las VMs
Console
En la consola de Google Cloud, ve a la página Instancias de VM.
Elige las casillas de verificación de las VMs
vm-consumer-allowed,vm-consumer-blockedyvm-producer.Haz clic en Borrar.
En el cuadro de diálogo ¿Quieres borrar 3 instancias?, haz clic en Borrar.
gcloud
Para borrar todas las VMs, ejecuta el siguiente comando:
gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \ --zone=us-central1-aCuando se te solicite, presiona Y para confirmar y, luego, Intro.
Borra la red de VPC de consumidor y sus subredes
Console
En la consola de Google Cloud, ve a la página Redes de VPC.
En la columna Nombre, haz clic en
vpc-consumer.Haz clic en Borrar la red de VPC.
En el diálogo Borrar una red, haz clic en Borrar.
Cuando borras una VPC, también se borran sus subredes.
gcloud
Para borrar las subredes de la red de VPC
vpc-consumer, ejecuta el siguiente comando:gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \ --region=us-central1
Cuando se te solicite, presiona Y para confirmar y, luego, Intro.
Para borrar la red de VPC
vpc-consumer, ejecuta el siguiente comando:gcloud compute networks delete vpc-consumer
Cuando se te solicite, presiona Y para confirmar y, luego, Intro.
Borra la red de VPC de productor y su subred
Console
En la consola de Google Cloud, ve a la página Redes de VPC.
En la columna Nombre, haz clic en
vpc-producer.Haz clic en Borrar la red de VPC.
En el diálogo Borrar una red, haz clic en Borrar.
Cuando borras una VPC, también se borran sus subredes.
gcloud
Para borrar las subredes de la red de VPC de
vpc-producer, ejecuta el siguiente comando:gcloud compute networks subnets delete subnet-vpc-producer \ --region=us-central1
Cuando se te solicite, presiona Y para confirmar y presiona Intro.
Para borrar la red de VPC
vpc-producer, ejecuta el siguiente comando:gcloud compute networks delete vpc-producer
Cuando se te solicite, presiona Y para confirmar y, luego, Intro.
¿Qué sigue?
- Para obtener información conceptual sobre las políticas de firewall, consulta Políticas de firewall.
- Para obtener información conceptual sobre las reglas de política de firewall, consulta Reglas de política de firewall.
- Para crear, actualizar, supervisar y borrar reglas de firewall de VPC, consulta Usa reglas de firewall de VPC.
- Para determinar los costos, consulta Precios de Cloud NGFW.