Obiettivi
Questo tutorial mostra come completare le seguenti attività:
- Crea due reti VPC personalizzate con subnet.
- Crea tre istanze di macchine virtuali (VM): due VM consumer in sottoreti distinte di una rete VPC e una VM producer in una seconda rete VPC. Tutte le VM vengono create senza un indirizzo IP esterno.
- Installa il server Apache sulla VM del produttore.
- Crea un peering di rete VPC.
- Crea un router Cloud e un gateway Cloud NAT, che consentono alla VM del produttore di accedere alla rete internet pubblica.
- Crea un gruppo di indirizzi basato sul progetto.
- Crea una policy del firewall di rete globale con le seguenti regole:
- Consenti la connettività SSH di Identity-Aware Proxy (IAP) alle VM.
- Consenti il traffico dalla VM consumer consentita alla VM producer utilizzando il gruppo di indirizzi a livello di progetto.
- Testa la connessione.
Il seguente diagramma mostra il traffico tra le VM producer e consumer nella regione us-central1 all'interno di due reti VPC personalizzate. Un
criterio firewall di rete globale utilizza una regola del gruppo di indirizzi basata sul progetto per
consentire il traffico in entrata tra le VM vm-consumer-allowed e vm-producer.
Il traffico tra la VM vm-consumer-blocked e la VM vm-producer viene negato
perché ogni VM ha una regola firewall in entrata implicita che nega tutto il traffico.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Abilita l'API Compute Engine per il tuo progetto.
- Assicurati di disporre del
ruolo Amministratore rete Compute (
roles/compute.networkAdmin). - Abilita l'API Identity-Aware Proxy per il tuo progetto.
- Se preferisci lavorare dalla riga di comando, installa Google Cloud CLI. Per informazioni concettuali e di installazione sullo strumento, consulta la panoramica dell'interfaccia a riga di comando gcloud.
Nota: se non hai mai eseguito Google Cloud CLI, inizializza la directory gcloud CLI eseguendo il comando
gcloud init.
Crea una rete VPC consumer con subnet
In questa sezione, crei una rete VPC per i consumatori con due
subnet IPv4: subnet-consumer-allowed e subnet-consumer-blocked.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic su Crea rete VPC.
In Nome, inserisci
vpc-consumer.In Modalità di creazione subnet, seleziona Personalizzata.
Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per una subnet:
- Nome:
subnet-consumer-allowed - Regione:
us-central1 - Intervallo IPv4:
192.168.10.0/29
- Nome:
Fai clic su Fine.
Fai clic su Aggiungi subnet e specifica i seguenti parametri di configurazione:
- Nome:
subnet-consumer-blocked - Regione:
us-central1 - Intervallo IPv4:
192.168.20.0/29
- Nome:
Fai clic su Fine.
Fai clic su Crea.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
Per creare una rete VPC, esegui il comando seguente:
gcloud compute networks create vpc-consumer \ --subnet-mode=custom
Nella finestra di dialogo Autorizza Cloud Shell, fai clic su Autorizza.
Per creare una subnet, esegui il seguente comando:
gcloud compute networks subnets create subnet-consumer-allowed \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.10.0/29
Per creare un'altra subnet, esegui il comando seguente:
gcloud compute networks subnets create subnet-consumer-blocked \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.20.0/29
Crea una rete VPC producer con subnet
In questa sezione, crei una rete VPC producer con una subnet IPv4.
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Fai clic su Crea rete VPC.
In Nome, inserisci
vpc-producer.In Modalità di creazione subnet, seleziona Personalizzata.
Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per una subnet:
- Nome:
subnet-vpc-producer - Regione:
us-central1 - Intervallo IPv4:
172.16.10.0/29
- Nome:
Fai clic su Fine.
Fai clic su Crea.
gcloud
Per creare una rete VPC, esegui il comando seguente:
gcloud compute networks create vpc-producer \ --subnet-mode=custom
Per creare la subnet, esegui il comando seguente:
gcloud compute networks subnets create subnet-vpc-producer \ --network=vpc-producer \ --region=us-central1 \ --range=172.16.10.0/29
Crea un router Cloud e un gateway Cloud NAT
Per consentire alla VM vm-producer di accedere alla rete internet pubblica, crea un router cloud e un gateway Cloud NAT.
Console
Nella console Google Cloud, vai alla pagina Cloud NAT.
Fai clic su Inizia o Crea gateway Cloud NAT.
In Nome gateway, inserisci
nat-gateway-addressgrp.In Tipo NAT, seleziona Pubblico.
Nella sezione Seleziona router cloud, specifica i seguenti parametri di configurazione:
- Rete:
vpc-producer - Regione:
us-central1 (lowa) - Router Cloud: fai clic su Crea nuovo router.
- In Nome, inserisci
router-addressgrp. - Fai clic su Crea.
- In Nome, inserisci
- Rete:
Fai clic su Crea.
gcloud
Per creare un router cloud, esegui il seguente comando:
gcloud compute routers create router-addressgrp \ --network=vpc-producer \ --region=us-central1
Per creare un gateway Cloud NAT, esegui il seguente comando:
gcloud compute routers nats create nat-gateway-addressgrp \ --router=router-addressgrp \ --region=us-central1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
Creare VM
In ogni subnet della rete VPC creata nella sezione precedente, crea VM senza un indirizzo IP esterno.
Crea una VM per la rete VPC consentita dal consumatore
Crea una VM nella subnet subnet-consumer-allowed.
Console
Nella console Google Cloud, vai alla pagina Crea un'istanza.
Nel riquadro Configurazione macchina, segui questi passaggi:
- In Nome, inserisci
vm-consumer-allowed. - In Regione, seleziona
us-central1 (Iowa).
- In Nome, inserisci
Nel menu di navigazione, fai clic su Networking.
- Nella sezione Interfacce di rete, fai clic su
defaulte specifica i seguenti parametri di configurazione:- Rete:
vpc-consumer - Subnet:
subnet-consumer-allowed IPv4 (192.168.10.0/29) - Indirizzo IPv4 esterno: Nessuno
- Rete:
- Fai clic su Fine.
- Nella sezione Interfacce di rete, fai clic su
Fai clic su Crea.
gcloud
gcloud compute instances create vm-consumer-allowed \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-allowed
Crea una VM per la rete VPC bloccata del consumer
In questa sezione, crei una VM nella subnet subnet-consumer-blocked.
Console
Nella console Google Cloud, vai alla pagina Crea un'istanza.
Nel riquadro Configurazione macchina, segui questi passaggi:
- In Nome, inserisci
vm-consumer-blocked. - In Regione, seleziona
us-central1 (Iowa).
- In Nome, inserisci
Nel menu di navigazione, fai clic su Networking.
- Nella sezione Interfacce di rete, fai clic su
defaulte specifica i seguenti parametri di configurazione:- Rete:
vpc-consumer - Subnet:
subnet-consumer-blocked IPv4 (192.168.20.0/29) - Indirizzo IPv4 esterno: Nessuno
- Rete:
- Fai clic su Fine.
- Nella sezione Interfacce di rete, fai clic su
Fai clic su Crea.
gcloud
gcloud compute instances create vm-consumer-blocked \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-blocked
Crea una VM per la rete VPC del produttore
Crea una VM nella sottorete subnet-vpc-producer e installa un server Apache.
Console
Nella console Google Cloud, vai alla pagina Crea un'istanza.
Nel riquadro Configurazione macchina, segui questi passaggi:
- In Nome, inserisci
vm-producer. - In Regione, seleziona
us-central1 (Iowa).
- In Nome, inserisci
Nel menu di navigazione, fai clic su Networking.
- Nella sezione Interfacce di rete, fai clic su
defaulte specifica i seguenti parametri di configurazione:- Rete:
vpc-producer - Subnet:
subnet-vpc-producer IPv4 (172.16.10.0/29)
- Rete:
- Fai clic su Fine.
- Nella sezione Interfacce di rete, fai clic su
Nel menu di navigazione, fai clic su Avanzate e inserisci il seguente script nel campo Script di avvio:
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl # Read VM network configuration: md_vm="http://169.254.169.254/computeMetadata/v1/instance/" vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )" filter="{print \$NF}" vm_network="$(curl $md_vm/network-interfaces/0/network \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" vm_zone="$(curl $md_vm/zone \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" # Apache configuration: echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \ tee /var/www/html/index.html systemctl restart apache2Lo script precedente esegue il deployment e avvia un server web Apache in questa VM.
Fai clic su Crea.
gcloud
Per creare una VM di produzione, esegui il comando seguente:
gcloud compute instances create vm-producer \
--network=vpc-producer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-vpc-producer \
--image-project=debian-cloud \
--image-family=debian-10 \
--metadata=startup-script='#! /bin/bash
apt-get update
apt-get install apache2 -y
a2ensite default-ssl
a2enmod ssl
# Read VM network configuration:
md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
filter="{print \$NF}"
vm_network="$(curl $md_vm/network-interfaces/0/network \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
vm_zone="$(curl $md_vm/zone \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
# Apache configuration:
echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2'
Crea una connessione di peering di rete VPC
Per connettere in modo privato le reti VPC vpc-consumer e vpc-producer nello stesso progetto, utilizza il peering di rete VPC. Il peering di rete VPC consente la connettività degli indirizzi IP interni tra due reti VPC, indipendentemente dal fatto che appartengano allo stesso progetto o alla stessa organizzazione.
Concorrente vpc-consumer con vpc-producer
Per stabilire correttamente il peering di rete VPC, devi configurare separatamente l'associazione di peering per le reti vpc-consumer e vpc-producer.
Console
Per creare un peering di rete VPC tra le reti vpc-consumer e vpc-producer:
Nella console Google Cloud, vai alla pagina Peering di reti VPC.
Fai clic su Crea connessione.
Fai clic su Continua.
Nel campo Nome, inserisci
peering-cp.In La tua rete VPC, seleziona
vpc-consumer.In Nome rete VPC, seleziona
vpc-producer.Fai clic su Crea.
gcloud
Per creare un peering di rete VPC tra vpc-consumer e vpc-producer,
esegui il seguente comando:
gcloud compute networks peerings create peering-cp \
--network=vpc-consumer \
--peer-network=vpc-producer \
--stack-type=IPV4_ONLY
Esegui il peering della rete vpc-producer con la rete vpc-consumer
Console
Per creare un peering di rete VPC tra vpc-producer e vpc-consumer,
segui questi passaggi:
Nella console Google Cloud, vai alla pagina Peering di reti VPC .
Fai clic su Crea connessione.
Fai clic su Continua.
Nel campo Nome, inserisci
peering-pc.In La tua rete VPC, seleziona
vpc-producer.In Nome rete VPC, seleziona
vpc-consumer.Fai clic su Crea.
gcloud
Per creare un peering di rete VPC tra vpc-producer e vpc-consumer,
esegui il seguente comando:
gcloud compute networks peerings create peering-pc \
--network=vpc-producer \
--peer-network=vpc-consumer \
--stack-type=IPV4_ONLY
Crea una policy del firewall di rete globale per abilitare IAP
Per attivare l'IAP, crea una policy del firewall di rete globale e aggiungi una regola firewall. IAP consente l'accesso amministrativo alle istanze VM.
La regola firewall include le seguenti caratteristiche.
- Traffico in entrata dall'intervallo IP
35.235.240.0/20. Questo intervallo contiene tutti gli indirizzi IP che utilizzati da IAP per l'inoltro TCP. Una connessione a tutte le porte che vuoi rendere accessibili utilizzando l'inoltro TCP di IAP, ad esempio la porta
22per SSH.
Console
Per consentire l'accesso IAP a tutte le istanze VM nelle reti vpc-consumer e vpc-producer:
Nella console Google Cloud, vai alla pagina Policy firewall.
Fai clic su Crea criterio firewall.
Nella sezione Configura criterio, in Nome criterio, inserisci
fw-policy-addressgrp.In Ambito di deployment, seleziona Globale e fai clic su Continua.
Per creare regole per il criterio, fai clic su Aggiungi regola nella sezione Aggiungi regole.
- In Priorità, inserisci
100. - In Direzione del traffico, seleziona In entrata.
- Per Azione in caso di corrispondenza, seleziona Consenti.
- Nella sezione Target, per Tipo di target, seleziona Tutte le istanze nella rete.
- Nella sezione Origine, inserisci
35.235.240.0/20in Intervalli IP. - Nella sezione Protocollo e porte, seleziona Protocolli e porte specificati.
- Seleziona la casella di controllo TCP e inserisci
22in Porte. - Fai clic su Crea.
- In Priorità, inserisci
Fai clic su Continua.
Per associare una rete VPC al criterio, fai clic su Associa nella sezione Associa il criterio alle reti VPC.
Seleziona le caselle di controllo
vpc-producerevpc-consumer, quindi fai clic su Associa.Fai clic su Continua.
Fai clic su Crea.
gcloud
Per consentire a IAP di accedere alle istanze VM nella retevpc-producer, esegui il seguente comando:
Per creare un criterio firewall, esegui il seguente comando:
gcloud compute network-firewall-policies create fw-policy-addressgrp \ --globalPer creare una regola firewall che consenta il traffico verso tutte le destinazioni e attiva i log, esegui il seguente comando:
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy=fw-policy-addressgrp \ --direction=INGRESS \ --action=ALLOW \ --layer4-configs=tcp:22 \ --src-ip-ranges=35.235.240.0/20 \ --global-firewall-policyPer associare il criterio firewall alla rete VPC del produttore, esegui il seguente comando:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-producer \ --name=pol-association-vpc-producer \ --global-firewall-policyPer associare il criterio firewall alla rete VPC del consumatore, esegui il seguente comando:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-consumer \ --name=pol-association-vpc-consumer \ --global-firewall-policy
Creare un gruppo di indirizzi basato su un progetto
Crea un gruppo di indirizzi basato sul progetto che utilizzi l'indirizzo IP assegnato alla
subnet-consumer-allowed subnet della rete VPC vpc-consumer.
Per ulteriori informazioni sui gruppi di indirizzi basati sul progetto, consulta Utilizzare i gruppi di indirizzi nei criteri firewall.
Console
Nella console Google Cloud, vai alla pagina Gruppi di indirizzi.
Fai clic su Crea gruppo di indirizzi.
Nel campo Nome, inserisci
address-group-pc.In Ambito, scegli Globale.
Per Tipo, seleziona IPv4.
Nel campo Capacità, inserisci
1000.Nel campo Indirizzi IP, inserisci
192.168.10.0/29.Fai clic su Crea.
gcloud
Se utilizzi il terminale Cloud Shell per la prima volta, fai clic su
Attiva Cloud Shell
nella console Google Cloud.Per creare un gruppo di indirizzi, esegui il seguente comando:
gcloud network-security address-groups create address-group-pc \ --type IPv4 \ --capacity 1000 \ --location globalNella finestra di dialogo Autorizza Cloud Shell, fai clic su Autorizza.
Per aggiungere un elemento a un gruppo di indirizzi, esegui il seguente comando:
gcloud network-security address-groups add-items address-group-pc \ --items 192.168.10.0/29 \ --location globalRicorda che l'intervallo IP
192.168.10.0/29è assegnato alla subnetsubnet-consumer-alloweddella rete VPCvpc-consumer.
Aggiungere una regola firewall per consentire il traffico a un gruppo di indirizzi
Per consentire le connessioni in entrata dalla VM vm-consumer-allowed, crea una
regola firewall che aggiunga il
gruppo di indirizzi basato sul progetto
address-group-pc come indirizzo IP di origine.
Console
Nella console Google Cloud, vai alla pagina Policy firewall.
Nella sezione Criteri firewall di rete, fai clic su
fw-policy-addressgrp.Fai clic su Crea regola.
In Priorità, inserisci
150.Per Direzione del traffico, seleziona In entrata.
Per Azione in caso di corrispondenza, seleziona Consenti.
Per Log, seleziona On.
Nella sezione Target, per Tipo di target, seleziona Tutte le istanze nella rete.
Nella sezione Origine, per Gruppo di indirizzi, seleziona
address-group-pc (PROJECT_ID)e fai clic su Ok.Ricorda che il gruppo di indirizzi IP
address-group-pcha un intervallo IP di192.168.10.0/29che viene assegnato alla subnetsubnet-consumer-alloweddella rete VPC del consumatore.Fai clic su Crea.
gcloud
Per aggiornare il criterio del firewall, esegui il comando seguente:
gcloud compute network-firewall-policies rules create 150 \
--firewall-policy=fw-policy-addressgrp \
--direction=INGRESS \
--action=ALLOW \
--src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
--layer4-configs=all \
--global-firewall-policy \
--enable-logging
Testa la connessione
Testa la connessione dalla VM vm-consumer-allowed alla VM vm-producer e dalla VM vm-consumer-blocked alla VM vm-producer.
Testa il traffico dalla VM vm-consumer-allowed alla VM vm-producer
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Dalla colonna IP interno della VM
vm-producer, copia l'indirizzo IP interno della VM.Nella colonna Connetti della VM
vm-consumer-allowed, fai clic su SSH.Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che la connessione venga stabilita.
Per verificare la connessione, esegui il seguente comando:
curl INTERNAL_IP -m 2
Sostituisci
INTERNAL_IPcon l'indirizzo IP della VMvm-producer.L'output è simile al seguente:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Chiudi la finestra di dialogo SSH nel browser.
gcloud
Per visualizzare l'indirizzo IP interno della VM
vm-producer, esegui il seguente comando:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
Quando richiesto, premi n per confermare, quindi premi Invio. Assicurati di annotare l'indirizzo IP interno della VM
vm-producer.Per utilizzare SSH per connetterti alla VM
vm-consumer-allowed, esegui il seguente comando:gcloud compute ssh vm-consumer-allowed \ --zone=us-central1-a \ --tunnel-through-iap
Per verificare la connessione, esegui il seguente comando:
curl INTERNAL_IP -m 2
Sostituisci
INTERNAL_IPcon l'indirizzo IP interno della VMvm-producer.Il messaggio di risposta previsto è il seguente:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Per uscire dalla connessione SSH, inserisci
exit.
Testa il traffico dalla VM vm-consumer-blocked alla VM vm-producer
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Dalla colonna IP interno della VM
vm-producer, copia l'indirizzo IP interno della VM.Nella colonna Connetti della VM
vm-consumer-blocked, fai clic su SSH.Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che la connessione venga stabilita.
Per verificare la connessione, esegui il seguente comando:
curl INTERNAL_IP -m 2
Sostituisci
INTERNAL_IPcon l'indirizzo IP della VMvm-producer.Il messaggio
Connection timed outè previsto perché ogni VM crea una regola firewall di ingresso implicita che nega tutto il traffico. Per consentire il traffico, aggiungi una regola di ingresso al criterio firewall.Chiudi la finestra di dialogo SSH nel browser.
gcloud
Per visualizzare l'indirizzo IP interno della VM
vm-producer, esegui il seguente comando:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
Quando richiesto, premi n per confermare e poi Invio. Assicurati di annotare l'indirizzo IP interno della VM
vm-producer.Per utilizzare SSH per connetterti alla VM
vm-consumer-blocked, esegui il seguente comando:gcloud compute ssh vm-consumer-blocked \ --zone=us-central1-a \ --tunnel-through-iap
Per verificare la connessione, esegui il seguente comando:
curl INTERNAL_IP -m 2
Sostituisci
INTERNAL_IPcon l'indirizzo IP interno della VMvm-producer.Il messaggio
Connection timed outè previsto perché ogni VM crea una regola firewall di ingresso implicita che nega tutto il traffico. Per consentire il traffico, aggiungi una regola in entrata al criterio firewall.Per uscire dalla connessione SSH, inserisci
exit.
Visualizza i log
Per verificare che le regole del firewall del gruppo di indirizzi siano state applicate al traffico in entrata, accedi ai log. Per visualizzare i dettagli del log:
Nella console Google Cloud, vai alla pagina Policy firewall.
Nella sezione Criteri firewall di rete, fai clic sul nome di
fw-policy-addressgrp.Nella colonna Conteggio hit, seleziona il numero della regola che hai creato durante la procedura Aggiungere una regola firewall per consentire il traffico a un gruppo di indirizzi. Si apre la pagina Esplora log.
Per visualizzare la regola firewall applicata al traffico in entrata, espandi il singolo log. Puoi visualizzare i dettagli della regola, la disposizione e i dettagli dell'istanza.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
Per eliminare le risorse create in questo tutorial, svolgi i seguenti passaggi.
Eliminare un gruppo di indirizzi
Console
Nella console Google Cloud, vai alla pagina Policy firewall.
Nella sezione Criteri firewall di rete, fai clic su
fw-policy-addressgrp.Nella sezione Regole firewall, seleziona la casella di controllo della regola firewall
150.Fai clic su Elimina.
Nella console Google Cloud, vai alla pagina Gruppi di indirizzi.
Nella sezione Gruppi di indirizzi, seleziona la casella di controllo accanto a
address-group-pc.Fai clic su Elimina, quindi fai di nuovo clic su Elimina per confermare.
gcloud
Per eliminare la regola firewall associata al gruppo di indirizzi IP
address-group-pc, esegui il seguente comando:gcloud compute network-firewall-policies rules delete 150 \ --firewall-policy fw-policy-addressgrp \ --global-firewall-policyPer rimuovere un elemento esistente da un gruppo di indirizzi, esegui il seguente comando:
gcloud network-security address-groups remove-items address-group-pc \ --items 192.168.10.0/29 \ --location globalPer eliminare un gruppo di indirizzi IP, esegui il seguente comando:
gcloud network-security address-groups delete address-group-pc \ --location globalQuando richiesto, premi Y per confermare, quindi premi Invio.
Elimina il criterio firewall
Console
Nella console Google Cloud, vai alla pagina Policy firewall.
Nella sezione Criteri firewall di rete, fai clic sul nome
fw-policy-addressgrp.Fai clic sulla scheda Associazioni.
Seleziona la casella di controllo della VM
vpc-producere della VMvpc-consumer, quindi fai clic su Rimuovi associazione.Nella finestra di dialogo Rimuovi un'associazione dei criteri firewall, fai clic su Rimuovi.
Accanto al titolo
fw-policy-addressgrp, fai clic su Elimina.Nella finestra di dialogo Elimina un criterio firewall, fai clic su Elimina.
gcloud
Rimuovi l'associazione tra il criterio firewall e la rete del produttore VPC.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-producer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
Rimuovi l'associazione tra il criterio firewall e la rete consumer VPC.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-consumer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
Elimina il criterio firewall.
gcloud compute network-firewall-policies delete fw-policy-addressgrp \ --global
Elimina il peering di rete VPC
Console
Nella console Google Cloud, vai alla pagina Peering di reti VPC.
Seleziona le caselle di controllo
peering-cpepeering-pc.Fai clic su Elimina.
Nella finestra di dialogo Eliminare 2 peering?, fai clic su Elimina.
gcloud
Per eliminare il peering tra la VPC del consumatore e la VPC del produttore, esegui il seguente comando:
gcloud compute networks peerings delete peering-cp \ --network=vpc-consumerPer eliminare il peering tra il VPC producer e il VPC consumer , esegui il seguente comando:
gcloud compute networks peerings delete peering-pc \ --network=vpc-producer
Elimina il gateway Cloud NAT e il router Cloud
Console
Nella console Google Cloud, vai alla pagina Router cloud.
Seleziona la casella di controllo
router-addressgrp.Fai clic su Elimina.
Nella finestra di dialogo Elimina router-addressgrp, fai clic su Elimina.
Quando elimini un router Cloud, viene eliminato anche il gateway Cloud NAT associato.
gcloud
Per eliminare il router cloud router-addressgrp, esegui il seguente
comando:
gcloud compute routers delete router-addressgrp \
--region=us-central1
Quando richiesto, premi Y per confermare, quindi premi Invio.
Quando elimini un router Cloud, viene eliminato anche il gateway Cloud NAT associato.
Elimina le VM
Console
Nella console Google Cloud, vai alla pagina Istanze VM.
Seleziona le caselle di controllo delle VM
vm-consumer-allowed,vm-consumer-blockedevm-producer.Fai clic su Elimina.
Nella finestra di dialogo Vuoi eliminare 3 istanze?, fai clic su Elimina.
gcloud
Per eliminare tutte le VM, esegui questo comando:
gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \ --zone=us-central1-aQuando richiesto, premi Y per confermare, quindi premi Invio.
Elimina la rete VPC consumer e le relative subnet
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Nella colonna Nome, fai clic su
vpc-consumer.Fai clic su Elimina rete VPC.
Nella finestra di dialogo Elimina una rete, fai clic su Elimina.
Quando elimini una VPC, vengono eliminate anche le relative sottoreti.
gcloud
Per eliminare le subnet della rete VPC
vpc-consumer, esegui il seguente comando:gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \ --region=us-central1
Quando richiesto, premi Y per confermare, quindi premi Invio.
Per eliminare la rete VPC
vpc-consumer, esegui il seguente comando:gcloud compute networks delete vpc-consumer
Quando richiesto, premi Y per confermare, quindi premi Invio.
Elimina la rete VPC del producer e la relativa subnet
Console
Nella console Google Cloud, vai alla pagina Reti VPC.
Nella colonna Nome, fai clic su
vpc-producer.Fai clic su Elimina rete VPC.
Nella finestra di dialogo Elimina una rete, fai clic su Elimina.
Quando elimini una VPC, vengono eliminate anche le relative sottoreti.
gcloud
Per eliminare la subnet della rete VPC
vpc-producer, esegui il seguente comando:gcloud compute networks subnets delete subnet-vpc-producer \ --region=us-central1
Quando richiesto, premi Y per confermare e premi Invio.
Per eliminare la rete VPC
vpc-producer, esegui il seguente comando:gcloud compute networks delete vpc-producer
Quando richiesto, premi Y per confermare, quindi premi Invio.
Passaggi successivi
- Per informazioni concettuali sui criteri firewall, consulta Criteri firewall.
- Per informazioni concettuali sulle regole dei criteri firewall, consulta Regole dei criteri firewall.
- Per creare, aggiornare, monitorare ed eliminare le regole firewall VPC, consulta Utilizzare le regole firewall VPC.
- Per determinare i costi, consulta la sezione Prezzi di Cloud NGFW.