Configura i gruppi di indirizzi per i criteri firewall

Questo tutorial descrive come creare e configurare gruppi di indirizzi per i criteri di firewall nella tua rete. Descrive in dettaglio un esempio di creazione di un Virtual Private Cloud (VPC) rete con subnet, creando un gruppo di indirizzi con ambito a livello di progetto, configurando criterio firewall che utilizza il gruppo di indirizzi con regole firewall e quindi testerai le regole firewall. Per ulteriori informazioni, consulta Gruppi di indirizzi per i criteri firewall.

Obiettivi

Questo tutorial mostra come completare le seguenti attività:

  • Crea due reti VPC personalizzate con subnet.
  • Crea tre istanze di macchine virtuali (VM): due VM consumer in sottoreti distinte di una rete VPC e una VM producer in una seconda rete VPC. Tutte le VM vengono create senza un indirizzo IP esterno.
  • Installa il server Apache sulla VM del produttore.
  • Crea il peering di rete VPC.
  • Crea un router Cloud e un gateway Cloud NAT, che consentono alla VM del produttore di accedere alla rete internet pubblica.
  • Crea un gruppo di indirizzi basato sul progetto.
  • Crea un criterio firewall di rete globale con le seguenti regole:
    • Consenti la connettività SSH di Identity-Aware Proxy (IAP) alle VM.
    • Consenti il traffico dalla VM consumer consentita alla VM producer utilizzando il gruppo di indirizzi a livello di progetto.
  • Testa la connessione.

Il seguente diagramma mostra il traffico tra le VM producer e consumer nella regione us-central1 all'interno di due reti VPC personalizzate. Un criterio firewall di rete globale utilizza una regola del gruppo di indirizzi basata sul progetto per consentire il traffico in entrata tra le VM vm-consumer-allowed e vm-producer. Il traffico tra la VM vm-consumer-blocked e la VM vm-producer viene negato perché ogni VM ha una regola firewall in entrata implicita che nega tutto il traffico.

Un criterio firewall di rete globale che consente il traffico in entrata da una subnet a una VM di destinazione in un'altra rete VPC.
Un criterio del firewall di rete globale che consente il traffico in entrata da una sottorete a una VM di destinazione in un'altra rete VPC (fai clic per ingrandire).

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Attiva il API Compute Engine per il tuo progetto.
  7. Assicurati di avere Ruolo Amministratore rete Compute (roles/compute.networkAdmin).
  8. Abilita l'API Identity-Aware Proxy per il tuo progetto.
  9. Se preferisci lavorare dalla riga di comando, installa Google Cloud CLI. Per informazioni concettuali e di installazione sullo strumento, consulta la panoramica dell'interfaccia a riga di comando gcloud.

    Nota:se non hai già eseguito Google Cloud CLI, inizializza alla directory gcloud CLI eseguendo Comando gcloud init.

Crea una rete VPC consumer con subnet

In questa sezione creerai una rete VPC consumer con due Subnet IPv4: subnet-consumer-allowed e subnet-consumer-blocked.

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic su Crea rete VPC.

  3. In Nome, inserisci vpc-consumer.

  4. In Modalità di creazione subnet, seleziona Personalizzata.

  5. Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per una subnet:

    • Nome: subnet-consumer-allowed
    • Regione: us-central1
    • Intervallo IPv4: 192.168.10.0/29

  6. Fai clic su Fine.

  7. Fai clic su Aggiungi subnet e specifica i seguenti parametri di configurazione:

    • Nome: subnet-consumer-blocked
    • Regione: us-central1
    • Intervallo IPv4: 192.168.20.0/29

  8. Fai clic su Fine.

  9. Fai clic su Crea.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  2. Per creare una rete VPC, esegui questo comando:

    gcloud compute networks create vpc-consumer \
  --subnet-mode=custom

  3. Nella finestra di dialogo Autorizza Cloud Shell, fai clic su Autorizza.

  4. Per creare una subnet, esegui il comando seguente:

    gcloud compute networks subnets create subnet-consumer-allowed \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.10.0/29

  5. Per creare un'altra subnet, esegui questo comando:

    gcloud compute networks subnets create subnet-consumer-blocked \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.20.0/29

Crea una rete VPC producer con subnet

In questa sezione, crei una rete VPC producer con una subnet IPv4.

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic su Crea rete VPC.

  3. In Nome, inserisci vpc-producer.

  4. In Modalità di creazione subnet, seleziona Personalizzata.

  5. Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per una subnet:

    • Nome: subnet-vpc-producer
    • Regione: us-central1
    • Intervallo IPv4: 172.16.10.0/29

  6. Fai clic su Fine.

  7. Fai clic su Crea.

gcloud

  1. Per creare una rete VPC, esegui questo comando:

    gcloud compute networks create vpc-producer \
  --subnet-mode=custom

  2. Per creare la subnet, esegui questo comando:

    gcloud compute networks subnets create subnet-vpc-producer \
  --network=vpc-producer \
  --region=us-central1 \
  --range=172.16.10.0/29

Crea un router Cloud e un gateway Cloud NAT

Per consentire alla VM vm-producer di accedere alla rete internet pubblica, devi creare una un router Cloud e un gateway Cloud NAT.

Console

  1. Nella console Google Cloud, vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic su Inizia o Crea gateway Cloud NAT.

  3. In Nome gateway, inserisci nat-gateway-addressgrp.

  4. Per Tipo NAT, seleziona Pubblico.

  5. Nella sezione Seleziona router cloud, specifica i seguenti parametri di configurazione:

    • Rete: vpc-producer
    • Regione: us-central1 (lowa)
    • Router Cloud: fai clic su Crea nuovo router.
      1. In Nome, inserisci router-addressgrp.
      2. Fai clic su Crea.

  6. Fai clic su Crea.

gcloud

  1. Per creare un router cloud, esegui il seguente comando:

    gcloud compute routers create router-addressgrp \
  --network=vpc-producer \
  --region=us-central1

  2. Per creare un gateway Cloud NAT, esegui questo comando:

    gcloud compute routers nats create nat-gateway-addressgrp \
  --router=router-addressgrp \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

Creare VM

In ogni subnet della rete VPC creata nella sezione precedente, crea VM senza un indirizzo IP esterno.

Crea una VM per la rete VPC consentita dal consumatore

Crea una VM nella subnet subnet-consumer-allowed.

Console

  1. Nella console Google Cloud, vai alla pagina Crea un'istanza.

    Vai a Crea un'istanza

  2. In Nome, inserisci vm-consumer-allowed.

  3. In Regione, seleziona us-central1 (Iowa).

  4. Espandi Opzioni avanzate ed espandi Networking.

  5. Nella sezione Interfacce di rete, espandi default e specifica la i seguenti parametri di configurazione:

    • Rete: vpc-consumer
    • Subnet: subnet-consumer-allowed IPv4 (192.168.10.0/29)
    • Indirizzo IPv4 esterno: Nessuno

  6. Fai clic su Fine.

  7. Fai clic su Crea.

gcloud 

gcloud compute instances create vm-consumer-allowed \
     --network=vpc-consumer \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-consumer-allowed

Crea una VM per la rete VPC bloccata dal consumer

In questa sezione, crei una VM nella subnet subnet-consumer-blocked.

Console

  1. Nella console Google Cloud, vai alla pagina Crea un'istanza.

    Vai a Crea un'istanza

  2. In Nome, inserisci vm-consumer-blocked.

  3. In Regione, seleziona us-central1 (Iowa).

  4. Espandi Opzioni avanzate ed espandi Networking.

  5. Nella sezione Interfacce di rete, espandi default e specifica la i seguenti parametri di configurazione:

    • Rete: vpc-consumer
    • Subnet: subnet-consumer-blocked IPv4 (192.168.20.0/29)
    • Indirizzo IPv4 esterno: Nessuno

  6. Fai clic su Fine.

  7. Fai clic su Crea.

gcloud 

gcloud compute instances create vm-consumer-blocked \
    --network=vpc-consumer \
    --zone=us-central1-a \
    --stack-type=IPV4_ONLY \
    --no-address \
    --subnet=subnet-consumer-blocked

Crea una VM per la rete VPC del producer

Crea una VM nella sottorete subnet-vpc-producer e installa un server Apache.

Console

  1. Nella console Google Cloud, vai alla pagina Crea un'istanza.

    Vai a Crea un'istanza

  2. In Nome, inserisci vm-producer.

  3. In Regione, seleziona us-central1 (Iowa).

  4. Espandi Opzioni avanzate ed espandi Networking.

  5. Nella sezione Interfacce di rete, espandi default e specifica la i seguenti parametri di configurazione:

    • Rete: vpc-producer
    • Subnet: subnet-vpc-producer IPv4 (172.16.10.0/29)

  6. Fai clic su Fine.

  7. Espandi la sezione Gestione.

  8. Nella sezione Automazione, inserisci lo script seguente nel Campo Script di avvio:

      #! /bin/bash
  apt-get update
  apt-get install apache2 -y
  a2ensite default-ssl
  a2enmod ssl
  # Read VM network configuration:
  md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
  vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
  filter="{print \$NF}"
  vm_network="$(curl $md_vm/network-interfaces/0/network \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  vm_zone="$(curl $md_vm/zone \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  # Apache configuration:
  echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
  tee /var/www/html/index.html
  systemctl restart apache2

    Lo script precedente esegue il deployment e avvia un server web Apache in questa VM.

  9. Fai clic su Crea.

gcloud

Per creare una VM producer, esegui questo comando:

  gcloud compute instances create vm-producer \
      --network=vpc-producer \
      --zone=us-central1-a \
      --stack-type=IPV4_ONLY \
      --no-address \
      --subnet=subnet-vpc-producer \
      --image-project=debian-cloud \
      --image-family=debian-10 \
      --metadata=startup-script='#! /bin/bash
        apt-get update
        apt-get install apache2 -y
        a2ensite default-ssl
        a2enmod ssl
        # Read VM network configuration:
        md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
        vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
        filter="{print \$NF}"
        vm_network="$(curl $md_vm/network-interfaces/0/network \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        vm_zone="$(curl $md_vm/zone \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        # Apache configuration:
        echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
        tee /var/www/html/index.html
        systemctl restart apache2'

Crea una connessione di peering di rete VPC

Per connettere privatamente il tuo VPC vpc-consumer e vpc-producer nello stesso progetto, usano il peering di rete VPC. Il peering di rete VPC consente la connettività degli indirizzi IP interni tra due reti VPC, indipendentemente dal fatto che appartengano allo stesso progetto o alla stessa organizzazione.

Concorrente vpc-consumer con vpc-producer

Per stabilire correttamente il peering di rete VPC, devi configurare separatamente l'associazione di peering per vpc-consumer e vpc-producer reti.

Console

Per creare un peering di rete VPC tra le reti vpc-consumer e vpc-producer:

  1. Nella console Google Cloud, vai alla pagina Peering di reti VPC.

    Vai al peering di rete VPC

  2. Fai clic su Crea connessione.

  3. Fai clic su Continua.

  4. Nel campo Nome, inserisci peering-cp.

  5. In La tua rete VPC, seleziona vpc-consumer.

  6. In Nome rete VPC, seleziona vpc-producer.

  7. Fai clic su Crea.

gcloud

Per creare un peering di rete VPC tra vpc-consumer e vpc-producer, esegui il seguente comando:

gcloud compute networks peerings create peering-cp \
    --network=vpc-consumer \
    --peer-network=vpc-producer \
    --stack-type=IPV4_ONLY

Esegui il peering della rete vpc-producer con la rete vpc-consumer

Console

Per creare un peering di rete VPC tra vpc-producer e vpc-consumer, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Peering di reti VPC.

    Vai al peering di rete VPC

  2. Fai clic su Crea connessione.

  3. Fai clic su Continua.

  4. Nel campo Nome, inserisci peering-pc.

  5. In La tua rete VPC, seleziona vpc-producer.

  6. In Nome rete VPC, seleziona vpc-consumer.

  7. Fai clic su Crea.

gcloud

Per creare il peering di rete VPC tra vpc-producer e vpc-consumer, esegui questo comando:

gcloud compute networks peerings create peering-pc \
    --network=vpc-producer \
    --peer-network=vpc-consumer \
    --stack-type=IPV4_ONLY

Crea un criterio firewall di rete globale per abilitare IAP

Per attivare l'IAP, crea un criterio firewall di rete globale e aggiungi una regola firewall. IAP consente l'accesso amministrativo alla VM di Compute Engine.

La regola firewall include le seguenti caratteristiche.

  • Traffico in entrata dall'intervallo IP 35.235.240.0/20. Questo intervallo contiene tutte Indirizzi IP utilizzati da IAP per l'inoltro TCP.

  • Una connessione a tutte le porte che vuoi rendere accessibili utilizzando l'inoltro TCP di IAP, ad esempio la porta 22 per SSH.

Console

Per consentire l'accesso IAP a tutte le istanze VM nelle reti vpc-consumer e vpc-producer:

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Fai clic su Crea criterio firewall.

  3. Nella sezione Configura criterio, in Nome criterio, inserisci fw-policy-addressgrp.

  4. In Ambito di deployment, seleziona Globale e fai clic su Continua.

  5. Per creare regole per il criterio, fai clic su Aggiungi regola nella sezione Aggiungi regole.

    1. In Priorità, inserisci 100.
    2. In Direzione del traffico, seleziona In entrata.
    3. Per Azione in caso di corrispondenza, seleziona Consenti.
    4. Nella sezione Target, per Tipo di destinazione, seleziona Tutte le istanze nella rete.
    5. Nella sezione Origine, inserisci 35.235.240.0/20 in Intervalli IP.
    6. Nella sezione Protocollo e porte, seleziona Protocolli e porte specificati.
    7. Seleziona la casella di controllo TCP e inserisci 22 in Porte.
    8. Fai clic su Crea.

  6. Fai clic su Continua.

  7. Per associare una rete VPC al criterio, fai clic su Associa nella sezione Associa criterio a reti VPC.

  8. Seleziona le caselle di controllo vpc-producer e vpc-consumer, quindi fai clic su Associa.

  9. Fai clic su Continua.

  10. Fai clic su Crea.

gcloud

Per consentire a IAP di accedere alle istanze VM nella retevpc-producer, esegui il seguente comando:

  1. Per creare un criterio firewall, esegui questo comando:

    gcloud compute network-firewall-policies create fw-policy-addressgrp \
    --global

  2. Per creare una regola firewall che consenta il traffico verso tutte le destinazioni e abilita i log, esegui questo comando:

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy

  3. ad associare il criterio firewall al VPC del producer. di rete, esegui questo comando:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-producer \
    --name=pol-association-vpc-producer \
    --global-firewall-policy

  4. ad associare il criterio firewall al VPC consumer. di rete, esegui questo comando:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-consumer \
    --name=pol-association-vpc-consumer \
    --global-firewall-policy

Creare un gruppo di indirizzi basato su un progetto

Crea un gruppo di indirizzi con ambito a livello di progetto che utilizzi l'indirizzo IP assegnato al subnet-consumer-allowed subnet della vpc-consumerrete VPC.

Per ulteriori informazioni sui gruppi di indirizzi basati sul progetto, consulta Utilizzare i gruppi di indirizzi nei criteri firewall.

Console

  1. Nella console Google Cloud, vai alla pagina Gruppi di indirizzi.

    Vai a Gruppi di indirizzi

  2. Fai clic su Crea gruppo di indirizzi.

  3. Nel campo Nome, inserisci address-group-pc.

  4. In Ambito, scegli Globale.

  5. In Tipo, seleziona IPv4.

  6. Nel campo Capacità, inserisci 1000.

  7. Nel campo Indirizzi IP, inserisci 192.168.10.0/29.

  8. Fai clic su Crea.

gcloud

  1. Se è la prima volta che utilizzi il terminale Cloud Shell, fai clic su alt='' Attiva Cloud Shell nella console Google Cloud.

  2. Per creare un gruppo di indirizzi, esegui il seguente comando:

    gcloud network-security address-groups create address-group-pc \
    --type IPv4 \
    --capacity 1000 \
    --location global

  3. Nella finestra di dialogo Autorizza Cloud Shell, fai clic su Autorizza.

  4. Per aggiungere un elemento a un gruppo di indirizzi, esegui il seguente comando:

    gcloud network-security address-groups add-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

    Ricorda che l'intervallo IP 192.168.10.0/29 è assegnato al subnet-consumer-allowed subnet di vpc-consumer rete VPC.

Aggiungi una regola firewall per consentire il traffico verso un gruppo di indirizzi

Per consentire le connessioni in entrata dalla VM vm-consumer-allowed, crea una una regola firewall che aggiunge gruppo di indirizzi con ambito a livello di progetto address-group-pc come indirizzo IP di origine.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nella sezione Criteri firewall di rete, fai clic su fw-policy-addressgrp.

  3. Fai clic su Crea regola.

  4. In Priorità, inserisci 150.

  5. In Direzione del traffico, seleziona In entrata.

  6. Per Azione in caso di corrispondenza, seleziona Consenti.

  7. In Log, seleziona On.

  8. Nella sezione Target, per Tipo di target, seleziona Tutte le istanze nella rete.

  9. Nella sezione Origine, per Gruppo di indirizzi, seleziona address-group-pc (PROJECT_ID) e fai clic su OK.

    Ricorda che il gruppo di indirizzi IP address-group-pc ha un intervallo IP di 192.168.10.0/29 che viene assegnato alla subnet subnet-consumer-allowed della rete VPC del consumatore.

  10. Fai clic su Crea.

gcloud

Per aggiornare il criterio del firewall, esegui il comando seguente:

gcloud compute network-firewall-policies rules create 150 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Testa la connessione

Testa la connessione dalla VM vm-consumer-allowed alla VM vm-producer. e dalla VM vm-consumer-blocked alla VM vm-producer.

Testa il traffico dalla VM vm-consumer-allowed alla VM vm-producer

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Dalla colonna IP interno della VM vm-producer, copia l'indirizzo IP interno della VM.

  3. Nella colonna Connetti della VM vm-consumer-allowed, fai clic su SSH.

  4. Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che la connessione venga stabilita.

  5. Per verificare la connessione, esegui questo comando:

    curl INTERNAL_IP -m 2

    Sostituisci INTERNAL_IP con l'indirizzo IP del vm-producer

    L'output è simile al seguente:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Chiudi la finestra di dialogo SSH nel browser.

gcloud

  1. Per visualizzare l'indirizzo IP interno della VM vm-producer, esegui seguente comando:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Quando richiesto, premi N per confermare, quindi premi Invio. Assicurati di prendere nota dell'indirizzo IP interno della VM vm-producer.

  2. Per utilizzare SSH per connetterti alla VM vm-consumer-allowed, esegui il seguente comando:

    gcloud compute ssh vm-consumer-allowed \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Per verificare la connessione, esegui il seguente comando:

    curl INTERNAL_IP -m 2

    Sostituisci INTERNAL_IP con l'indirizzo IP interno della VM vm-producer.

    Il messaggio di risposta previsto è il seguente:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. Per uscire dalla connessione SSH, inserisci exit.

Testa il traffico dalla VM vm-consumer-blocked alla VM vm-producer

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Dalla colonna IP interno della VM vm-producer, copia l'indirizzo IP interno della VM.

  3. Nella colonna Connetti della VM vm-consumer-blocked, fai clic su SSH.

  4. Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che connessione da stabilire.

  5. Per verificare la connessione, esegui questo comando:

    curl INTERNAL_IP -m 2

    Sostituisci INTERNAL_IP con l'indirizzo IP del vm-producer

    Il messaggio Connection timed out è previsto perché ogni VM crea una regola firewall in entrata implicita che nega tutto il traffico. Per consentire il traffico, aggiungi una regola di ingresso al criterio firewall.

  6. Chiudi la finestra di dialogo SSH nel browser.

gcloud

  1. Per visualizzare l'indirizzo IP interno della VM vm-producer, esegui seguente comando:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Quando richiesto, premi n per confermare e poi Invio. Assicurati di prendere nota dell'indirizzo IP interno della VM vm-producer.

  2. Per utilizzare SSH per connetterti alla VM vm-consumer-blocked, esegui questo comando :

    gcloud compute ssh vm-consumer-blocked \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Per verificare la connessione, esegui questo comando:

    curl INTERNAL_IP -m 2

    Sostituisci INTERNAL_IP con l'indirizzo IP interno della VM vm-producer.

    Il messaggio Connection timed out è previsto perché ogni VM crea una regola firewall di ingresso implicita che nega tutto il traffico. A se consenti il traffico, aggiungi una regola in entrata al criterio firewall.

  4. Per uscire dalla connessione SSH, inserisci exit.

Visualizza i log

Per verificare che le regole firewall del gruppo di indirizzi siano state applicate al server traffico in entrata, accedere ai log. Per visualizzare i dettagli del log, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nella sezione Criteri firewall di rete, fai clic sul nome di fw-policy-addressgrp.

  3. Nella colonna Conteggio hit, seleziona il numero per la regola creata durante la procedura Aggiungere una regola firewall per consentire il traffico verso un gruppo di indirizzi. Viene visualizzata la pagina Esplora log.

  4. Per visualizzare la regola firewall applicata al traffico in entrata, espandi il singolo log. Puoi visualizzare i dettagli della regola, la disposizione e i dettagli dell'istanza.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse usati in questo tutorial, elimina il progetto che contiene le risorse, o mantenere il progetto ed eliminare le singole risorse.

Per eliminare le risorse create in questo tutorial, completa quanto segue.

Eliminare un gruppo di indirizzi

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nella sezione Criteri firewall di rete, fai clic su fw-policy-addressgrp.

  3. Nella sezione Regole firewall, seleziona la casella di controllo regola 150.

  4. Fai clic su Elimina.

  5. Nella console Google Cloud, vai alla pagina Gruppi di indirizzi.

    Vai a Gruppi di indirizzi

  6. Nella sezione Gruppi di indirizzi, seleziona la casella di controllo accanto a address-group-pc.

  7. Fai clic su Elimina e quindi fai di nuovo clic su Elimina per confermare.

gcloud

  1. Eliminare la regola firewall associata all'indirizzo IP address-group-pc esegui questo comando:

    gcloud compute network-firewall-policies rules delete 150 \
    --firewall-policy fw-policy-addressgrp \
    --global-firewall-policy

  2. Per rimuovere un elemento esistente da un gruppo di indirizzi, esegui il seguente comando:

    gcloud network-security address-groups remove-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

  3. Per eliminare un gruppo di indirizzi IP, esegui il seguente comando:

    gcloud network-security address-groups delete address-group-pc \
    --location global

    Quando richiesto, premi Y per confermare, quindi premi Invio.

Elimina il criterio firewall

Console

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Nella sezione Criteri firewall di rete, fai clic sul nome fw-policy-addressgrp.

  3. Fai clic sulla scheda Associazioni.

  4. Seleziona la casella di controllo della VM vpc-producer e della VM vpc-consumer VM e fai clic su Rimuovi associazione.

  5. Nella finestra di dialogo Rimuovi un'associazione dei criteri firewall, fai clic su Rimuovi.

  6. Accanto al titolo fw-policy-addressgrp, fai clic su Elimina.

  7. Nella finestra di dialogo Elimina un criterio firewall, fai clic su Elimina.

gcloud

  1. Rimuovi l'associazione tra il criterio firewall e il Rete VPC producer.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-producer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  2. Rimuovi l'associazione tra il criterio firewall e la rete consumer VPC.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-consumer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  3. Elimina il criterio firewall.

    gcloud compute network-firewall-policies delete fw-policy-addressgrp \
    --global

Elimina peering di rete VPC

Console

  1. Nella console Google Cloud, vai alla pagina Peering di rete VPC.

    Vai al peering di rete VPC

  2. Seleziona le caselle di controllo peering-cp e peering-pc.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo Eliminare 2 peering?, fai clic su Elimina.

gcloud

  1. Per eliminare il peering tra la VPC del consumatore e la VPC del produttore, esegui il seguente comando:

    gcloud compute networks peerings delete peering-cp \
    --network=vpc-consumer

  2. elimina il peering tra il VPC del producer e il consumer. VPC , esegui questo comando:

    gcloud compute networks peerings delete peering-pc \
    --network=vpc-producer

Elimina il gateway Cloud NAT e il router Cloud

Console

  1. Nella console Google Cloud, vai alla pagina Router Cloud.

    Vai a Router Cloud

  2. Seleziona la casella di controllo router-addressgrp.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo Elimina router-addressgrp, fai clic su Elimina.

Quando elimini un router Cloud, il servizio Cloud NAT associato viene eliminato anche il gateway VPN.

gcloud

Per eliminare il router Cloud router-addressgrp, esegui questo comando :

gcloud compute routers delete router-addressgrp \
    --region=us-central1

Quando richiesto, premi Y per confermare, quindi premi Invio.

Quando elimini un router Cloud, il servizio Cloud NAT associato viene eliminato anche il gateway VPN.

Elimina le VM

Console

  1. Nella console Google Cloud, vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Seleziona le caselle di controllo delle VM vm-consumer-allowed, vm-consumer-blocked e vm-producer.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo Eliminare tre istanze?, fai clic su Elimina.

gcloud

  1. Per eliminare tutte le VM, esegui questo comando:

    gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \
    --zone=us-central1-a

    Quando richiesto, premi Y per confermare e poi Invio.

Elimina la rete VPC consumer e le rispettive subnet

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai alle reti VPC

  2. Nella colonna Nome, fai clic su vpc-consumer.

  3. Fai clic su Elimina rete VPC.

  4. Nella finestra di dialogo Elimina una rete, fai clic su Elimina.

Quando elimini un VPC, vengono eliminate anche le relative subnet.

gcloud

  1. Per eliminare le subnet di vpc-consumer rete VPC, esegui questo comando:

    gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \
   --region=us-central1

    Quando richiesto, premi Y per confermare, quindi premi Invio.

  2. Per eliminare la rete VPC vpc-consumer, esegui il seguente comando:

    gcloud compute networks delete vpc-consumer

    Quando richiesto, premi Y per confermare, quindi premi Invio.

Elimina la rete VPC del producer e la rispettiva subnet

Console

  1. Nella console Google Cloud, vai alla pagina Reti VPC.

    Vai alle reti VPC

  2. Nella colonna Nome, fai clic su vpc-producer.

  3. Fai clic su Elimina rete VPC.

  4. Nella finestra di dialogo Elimina una rete, fai clic su Elimina.

Quando elimini un VPC, vengono eliminate anche le relative subnet.

gcloud

  1. Per eliminare la subnet della rete VPC vpc-producer, esegui il seguente comando:

    gcloud compute networks subnets delete subnet-vpc-producer \
   --region=us-central1

    Quando richiesto, premi Y per confermare e premi Invio.

  2. Per eliminare la rete VPC vpc-producer, esegui questo comando:

    gcloud compute networks delete vpc-producer

    Quando richiesto, premi Y per confermare, quindi premi Invio.

Passaggi successivi