Objetivos
Este tutorial mostra como concluir as seguintes tarefas:
- Crie duas redes VPC personalizadas com sub-redes.
- Crie três instâncias de máquinas virtuais (VMs) (duas VMs de consumidor em sub-redes separadas de uma rede VPC e uma VM de produtor numa segunda rede VPC). Todas as VMs são criadas sem um endereço IP externo.
- Instale o servidor Apache na VM do produtor.
- Crie um intercâmbio da rede da VPC.
- Crie um Cloud Router e um gateway Cloud NAT que permitam à VM produtora aceder à Internet pública.
- Crie um grupo de endereços ao nível do projeto.
- Crie uma política de firewall de rede global com as seguintes regras:
- Permita a conetividade SSH do Identity-Aware Proxy (IAP) às VMs.
- Permita o tráfego da VM de consumidor permitida para a VM de produtor através do grupo de endereços com âmbito do projeto.
- Teste a ligação.
O diagrama seguinte mostra o tráfego entre VMs produtoras e consumidoras
na região us-central1 em duas redes VPC personalizadas. Uma política de firewall de rede global usa uma regra de grupo de endereços com âmbito do projeto para permitir o tráfego de entrada entre as VMs vm-consumer-allowed e vm-producer.
O tráfego entre a VM vm-consumer-blocked e a VM vm-producer é recusado porque todas as VMs têm uma regra de firewall de entrada implícita que recusa todo o tráfego.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
- Ative a API Compute Engine para o seu projeto.
- Certifique-se de que tem a
função de administrador de rede de computação (
roles/compute.networkAdmin). - Ative a API Identity-Aware Proxy para o seu projeto.
- Se preferir trabalhar a partir da linha de comandos, instale a CLI do Google Cloud. Para ver informações conceptuais e de instalação sobre a ferramenta,
consulte a vista geral da CLI gcloud.
Nota: se não tiver executado a CLI gcloud anteriormente, inicialize o diretório da CLI gcloud executando o comando
gcloud init.
Crie uma rede VPC de consumidor com sub-redes
Nesta secção, cria uma rede VPC de consumidor com duas sub-redes IPv4: subnet-consumer-allowed e subnet-consumer-blocked.
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Clique em Criar rede de VPC.
Em Nome, introduza
vpc-consumer.Para o Modo de criação de sub-rede, selecione Personalizado.
Na secção Nova sub-rede, especifique os seguintes parâmetros de configuração para uma sub-rede:
- Nome:
subnet-consumer-allowed - Região:
us-central1 - Intervalo IPv4:
192.168.10.0/29
- Nome:
Clique em Concluído.
Clique em Adicionar sub-rede e especifique os seguintes parâmetros de configuração:
- Nome:
subnet-consumer-blocked - Região:
us-central1 - Intervalo IPv4:
192.168.20.0/29
- Nome:
Clique em Concluído.
Clique em Criar.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
Para criar uma rede VPC, execute o seguinte comando:
gcloud compute networks create vpc-consumer \ --subnet-mode=custom
Na caixa de diálogo Autorizar Cloud Shell, clique em Autorizar.
Para criar uma sub-rede, execute o seguinte comando:
gcloud compute networks subnets create subnet-consumer-allowed \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.10.0/29
Para criar outra sub-rede, execute o seguinte comando:
gcloud compute networks subnets create subnet-consumer-blocked \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.20.0/29
Crie uma rede de VPC do produtor com sub-rede
Nesta secção, cria uma rede de VPC do produtor com uma sub-rede IPv4.
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Clique em Criar rede de VPC.
Em Nome, introduza
vpc-producer.Para o Modo de criação de sub-rede, selecione Personalizado.
Na secção Nova sub-rede, especifique os seguintes parâmetros de configuração para uma sub-rede:
- Nome:
subnet-vpc-producer - Região:
us-central1 - Intervalo IPv4:
172.16.10.0/29
- Nome:
Clique em Concluído.
Clique em Criar.
gcloud
Para criar uma rede VPC, execute o seguinte comando:
gcloud compute networks create vpc-producer \ --subnet-mode=custom
Para criar a sub-rede, execute o seguinte comando:
gcloud compute networks subnets create subnet-vpc-producer \ --network=vpc-producer \ --region=us-central1 \ --range=172.16.10.0/29
Crie um Cloud Router e um gateway do Cloud NAT
Para permitir que a VM vm-producer aceda à Internet pública, crie um Cloud Router e um gateway Cloud NAT.
Consola
Na Google Cloud consola, aceda à página Cloud NAT.
Clique em Começar ou Criar gateway de NAT da nuvem.
Em Nome da gateway, introduza
nat-gateway-addressgrp.Para Tipo de NAT, selecione Público.
Na secção Selecionar router na nuvem, especifique os seguintes parâmetros de configuração:
- Rede:
vpc-producer - Região:
us-central1 (lowa) - Cloud Router: clique em Criar novo router.
- Em Nome, introduza
router-addressgrp. - Clique em Criar.
- Em Nome, introduza
- Rede:
Clique em Criar.
gcloud
Para criar um Cloud Router, execute o seguinte comando:
gcloud compute routers create router-addressgrp \ --network=vpc-producer \ --region=us-central1
Para criar um gateway NAT da Cloud, execute o seguinte comando:
gcloud compute routers nats create nat-gateway-addressgrp \ --router=router-addressgrp \ --region=us-central1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
Crie VMs
Em cada sub-rede da rede VPC que criou na secção anterior, crie VMs sem um endereço IP externo.
Crie uma VM para a rede VPC permitida pelo consumidor
Crie uma VM na sub-rede subnet-consumer-allowed.
Consola
Na Google Cloud consola, aceda à página Criar uma instância.
No painel Configuração da máquina, faça o seguinte:
- Em Nome, introduza
vm-consumer-allowed. - Para Região, selecione
us-central1 (Iowa).
- Em Nome, introduza
No menu de navegação, clique em Rede.
- Na secção Interfaces de rede, clique em
defaulte especifique os seguintes parâmetros de configuração:- Rede:
vpc-consumer - Subnetwork:
subnet-consumer-allowed IPv4 (192.168.10.0/29) - Endereço IPv4 externo: Nenhum
- Rede:
- Clique em Concluído.
- Na secção Interfaces de rede, clique em
Clique em Criar.
gcloud
gcloud compute instances create vm-consumer-allowed \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-allowed
Crie uma VM para a rede VPC bloqueada do consumidor
Nesta secção, cria uma VM na sub-rede subnet-consumer-blocked.
Consola
Na Google Cloud consola, aceda à página Criar uma instância.
No painel Configuração da máquina, faça o seguinte:
- Em Nome, introduza
vm-consumer-blocked. - Para Região, selecione
us-central1 (Iowa).
- Em Nome, introduza
No menu de navegação, clique em Rede.
- Na secção Interfaces de rede, clique em
defaulte especifique os seguintes parâmetros de configuração:- Rede:
vpc-consumer - Subnetwork:
subnet-consumer-blocked IPv4 (192.168.20.0/29) - Endereço IPv4 externo: Nenhum
- Rede:
- Clique em Concluído.
- Na secção Interfaces de rede, clique em
Clique em Criar.
gcloud
gcloud compute instances create vm-consumer-blocked \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-blocked
Crie uma VM para a rede de VPC do produtor
Crie uma VM na sub-rede subnet-vpc-producer e instale um servidor Apache na mesma.
Consola
Na Google Cloud consola, aceda à página Criar uma instância.
No painel Configuração da máquina, faça o seguinte:
- Em Nome, introduza
vm-producer. - Para Região, selecione
us-central1 (Iowa).
- Em Nome, introduza
No menu de navegação, clique em Rede.
- Na secção Interfaces de rede, clique em
defaulte especifique os seguintes parâmetros de configuração:- Rede:
vpc-producer - Subnetwork:
subnet-vpc-producer IPv4 (172.16.10.0/29)
- Rede:
- Clique em Concluído.
- Na secção Interfaces de rede, clique em
No menu de navegação, clique em Avançadas e introduza o seguinte script no campo Script de arranque:
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl # Read VM network configuration: md_vm="http://169.254.169.254/computeMetadata/v1/instance/" vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )" filter="{print \$NF}" vm_network="$(curl $md_vm/network-interfaces/0/network \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" vm_zone="$(curl $md_vm/zone \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" # Apache configuration: echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \ tee /var/www/html/index.html systemctl restart apache2O script anterior implementa e inicia um servidor Web Apache nesta VM.
Clique em Criar.
gcloud
Para criar uma VM de produtor, execute o seguinte comando:
gcloud compute instances create vm-producer \
--network=vpc-producer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-vpc-producer \
--image-project=debian-cloud \
--image-family=debian-10 \
--metadata=startup-script='#! /bin/bash
apt-get update
apt-get install apache2 -y
a2ensite default-ssl
a2enmod ssl
# Read VM network configuration:
md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
filter="{print \$NF}"
vm_network="$(curl $md_vm/network-interfaces/0/network \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
vm_zone="$(curl $md_vm/zone \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
# Apache configuration:
echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2'
Crie uma ligação de intercâmbio de rede da VPC
Para ligar de forma privada as redes VPC vpc-consumer e vpc-producer no mesmo projeto, use o peering de redes VPC. O intercâmbio da rede da VPC permite a conetividade de endereços IP internos em duas redes da VPC, independentemente de as redes da VPC pertencerem ao mesmo projeto ou organização.
Sincronize o dispositivo vpc-consumer com o dispositivo vpc-producer
Para estabelecer com êxito o peering de redes VPC, tem de configurar separadamente a associação de peering para as redes vpc-consumer e vpc-producer.
Consola
Para criar uma interligação de redes VPC entre a rede vpc-consumer e a rede vpc-producer, siga estes passos:
Na Google Cloud consola, aceda à página Interligação de redes VPC.
Clique em Criar associação.
Clique em Continuar.
No campo Nome, introduza
peering-cp.Em A sua rede de VPC, selecione
vpc-consumer.Em Nome da rede de VPC, selecione
vpc-producer.Clique em Criar.
gcloud
Para criar o intercâmbio da rede da VPC entre vpc-consumer e vpc-producer, execute o seguinte comando:
gcloud compute networks peerings create peering-cp \
--network=vpc-consumer \
--peer-network=vpc-producer \
--stack-type=IPV4_ONLY
Estabeleça uma relação de peering entre a rede vpc-producer e a rede vpc-consumer
Consola
Para criar o intercâmbio da rede da VPC entre vpc-producer e vpc-consumer,
siga estes passos:
Na Google Cloud consola, aceda à página Interligação de redes VPC .
Clique em Criar associação.
Clique em Continuar.
No campo Nome, introduza
peering-pc.Em A sua rede de VPC, selecione
vpc-producer.Em Nome da rede de VPC, selecione
vpc-consumer.Clique em Criar.
gcloud
Para criar o intercâmbio da rede da VPC entre vpc-producer e vpc-consumer, execute o seguinte comando:
gcloud compute networks peerings create peering-pc \
--network=vpc-producer \
--peer-network=vpc-consumer \
--stack-type=IPV4_ONLY
Crie uma política de firewall de rede global para ativar o IAP
Para ativar o IAP, crie uma política de firewall de rede global e adicione uma regra de firewall. O IAP permite o acesso administrativo às instâncias de VM.
A regra de firewall inclui as seguintes caraterísticas.
- Tráfego de entrada do intervalo de IP
35.235.240.0/20. Este intervalo contém todos os endereços IP que o IAP usa para o encaminhamento TCP. Uma ligação a todas as portas às quais quer aceder através do encaminhamento TCP do IAP, por exemplo, a porta
22para SSH.
Consola
Para permitir o acesso do IAP a todas as instâncias de VM nas redes vpc-consumer e vpc-producer, siga estes passos:
Na Google Cloud consola, aceda à página Políticas de firewall.
Clique em Criar política de firewall.
Na secção Configurar política, em Nome da política, introduza
fw-policy-addressgrp.Em Âmbito de implementação, selecione Global e clique em Continuar.
Para criar regras para a sua política, na secção Adicionar regras, clique em Adicionar regra.
- Para Prioridade, introduza
100. - Para Direção do tráfego, selecione Entrada.
- Para Ação em caso de correspondência, selecione Permitir.
- Na secção Segmentar, para Tipo de segmentação, selecione Todas as instâncias na rede.
- Na secção Origem, para Intervalos IP, introduza
35.235.240.0/20. - Na secção Protocolo e portas, selecione Protocolos e portas especificados.
- Selecione a caixa de verificação TCP e, para Portas, introduza
22. - Clique em Criar.
- Para Prioridade, introduza
Clique em Continuar.
Para associar uma rede VPC à política, na secção Associar política a redes VPC, clique em Associar.
Selecione as caixas de verificação de
vpc-producerevpc-consumere, de seguida, clique em Associar.Clique em Continuar.
Clique em Criar.
gcloud
Para permitir que o IAP aceda às instâncias de VM na rede vpc-producer, execute o seguinte comando:
Para criar uma política de firewall, execute o seguinte comando:
gcloud compute network-firewall-policies create fw-policy-addressgrp \ --globalPara criar uma regra de firewall que permita o tráfego para todos os destinos e ative os registos, execute o seguinte comando:
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy=fw-policy-addressgrp \ --direction=INGRESS \ --action=ALLOW \ --layer4-configs=tcp:22 \ --src-ip-ranges=35.235.240.0/20 \ --global-firewall-policyPara associar a política de firewall à rede VPC do produtor, execute o seguinte comando:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-producer \ --name=pol-association-vpc-producer \ --global-firewall-policyPara associar a política de firewall à rede VPC do consumidor, execute o seguinte comando:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-consumer \ --name=pol-association-vpc-consumer \ --global-firewall-policy
Crie um grupo de endereços com âmbito do projeto
Crie um grupo de endereços ao nível do projeto que use o endereço IP atribuído à sub-rede da rede VPC.subnet-consumer-allowedvpc-consumer
Para mais informações sobre os grupos de endereços ao nível do projeto, consulte o artigo Use grupos de endereços em políticas de firewall.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
Clique em Criar grupo de endereços.
No campo Nome, introduza
address-group-pc.Para Âmbito, escolha Global.
Em Tipo, selecione IPv4.
No campo Capacidade, introduza
1000.No campo Endereços IP, introduza
192.168.10.0/29.Clique em Criar.
gcloud
Se estiver a usar o terminal do Cloud Shell pela primeira vez, clique em
Ativar Cloud Shell
na Google Cloud consola.Para criar um grupo de endereços, execute o seguinte comando:
gcloud network-security address-groups create address-group-pc \ --type IPv4 \ --capacity 1000 \ --location globalNa caixa de diálogo Autorizar Cloud Shell, clique em Autorizar.
Para adicionar um item a um grupo de endereços, execute o seguinte comando:
gcloud network-security address-groups add-items address-group-pc \ --items 192.168.10.0/29 \ --location globalLembre-se de que o intervalo de IP
192.168.10.0/29é atribuído à sub-redesubnet-consumer-allowedda rede VPCvpc-consumer.
Adicione uma regra de firewall para permitir tráfego para um grupo de endereços
Para permitir ligações de entrada da VM vm-consumer-allowed, crie uma regra de firewall que adicione o grupo de endereços ao nível do projeto
address-group-pc como o endereço IP de origem.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na secção Políticas de firewall de rede, clique em
fw-policy-addressgrp.Clique em Criar regra.
Para Prioridade, introduza
150.Para Direção do tráfego, selecione Entrada.
Para Ação em caso de correspondência, selecione Permitir.
Para Registos, selecione Ativar.
Na secção Segmentar, para Tipo de segmentação, selecione Todas as instâncias na rede.
Na secção Origem, para Grupo de endereços, selecione
address-group-pc (PROJECT_ID)e clique em OK.Lembre-se de que o grupo de endereços IP
address-group-pctem um intervalo de IPs de192.168.10.0/29, que é atribuído à sub-redesubnet-consumer-allowedda rede VPC do consumidor.Clique em Criar.
gcloud
Para atualizar a política de firewall, execute o seguinte comando:
gcloud compute network-firewall-policies rules create 150 \
--firewall-policy=fw-policy-addressgrp \
--direction=INGRESS \
--action=ALLOW \
--src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
--layer4-configs=all \
--global-firewall-policy \
--enable-logging
Teste a ligação
Teste a ligação da VM vm-consumer-allowed para a VM vm-producer e da VM vm-consumer-blocked para a VM vm-producer.
Teste o tráfego da VM vm-consumer-allowed para a VM vm-producer
Consola
Na Google Cloud consola, aceda à página Instâncias de VM.
Na coluna IP interno da VM
vm-producer, copie o endereço IP interno da VM.Na coluna Ligar da VM
vm-consumer-allowed, clique em SSH.Na caixa de diálogo SSH no navegador, clique em Autorizar e aguarde que a ligação seja estabelecida.
Para validar a associação, execute o seguinte comando:
curl INTERNAL_IP -m 2
Substitua
INTERNAL_IPpelo endereço IP da VMvm-producer.O resultado é semelhante ao seguinte:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Feche a caixa de diálogo SSH no navegador.
gcloud
Para ver o endereço IP interno da VM
vm-producer, execute o seguinte comando:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
Quando lhe for pedido, prima n para confirmar e, em seguida, prima Enter. Certifique-se de que anota o endereço IP interno da sua
vm-producerVM.Para usar o SSH para estabelecer ligação à VM
vm-consumer-allowed, execute o seguinte comando:gcloud compute ssh vm-consumer-allowed \ --zone=us-central1-a \ --tunnel-through-iap
Para validar a associação, execute o seguinte comando:
curl INTERNAL_IP -m 2
Substitua
INTERNAL_IPpelo endereço IP interno da VMvm-producer.A mensagem de resposta esperada é a seguinte:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Para sair da ligação SSH, introduza
exit.
Teste o tráfego da VM vm-consumer-blocked para a VM vm-producer
Consola
Na Google Cloud consola, aceda à página Instâncias de VM.
Na coluna IP interno da VM
vm-producer, copie o endereço IP interno da VM.Na coluna Ligar da VM
vm-consumer-blocked, clique em SSH.Na caixa de diálogo SSH no navegador, clique em Autorizar e aguarde que a ligação seja estabelecida.
Para validar a associação, execute o seguinte comando:
curl INTERNAL_IP -m 2
Substitua
INTERNAL_IPpelo endereço IP da VMvm-producer.A mensagem
Connection timed outé esperada porque cada VM cria uma regra de firewall de entrada implícita que nega todo o tráfego. Para permitir o tráfego, adicione uma regra de entrada à política de firewall.Feche a caixa de diálogo SSH no navegador.
gcloud
Para ver o endereço IP interno da VM
vm-producer, execute o seguinte comando:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
Quando lhe for pedido, prima n para confirmar e, em seguida, prima Enter. Certifique-se de que anota o endereço IP interno da sua
vm-producerVM.Para usar o SSH para estabelecer ligação à VM
vm-consumer-blocked, execute o seguinte comando:gcloud compute ssh vm-consumer-blocked \ --zone=us-central1-a \ --tunnel-through-iap
Para validar a associação, execute o seguinte comando:
curl INTERNAL_IP -m 2
Substitua
INTERNAL_IPpelo endereço IP interno da VMvm-producer.A mensagem
Connection timed outé esperada porque cada VM cria uma regra de firewall de entrada implícita que nega todo o tráfego. Para permitir tráfego, adicione uma regra de entrada à política de firewall.Para sair da ligação SSH, introduza
exit.
Ver os registos
Para verificar se as regras de firewall do grupo de endereços foram aplicadas ao tráfego de entrada, aceda aos registos. Para ver os detalhes do registo, siga estes passos:
Na Google Cloud consola, aceda à página Políticas de firewall.
Na secção Políticas de firewall de rede, clique no nome
fw-policy-addressgrp.Na coluna Contagem de resultados, selecione o número da regra que criou durante o passo Adicione uma regra de firewall para permitir tráfego para um grupo de endereços. É apresentada a página Explorador de registos.
Para ver a regra de firewall aplicada ao tráfego de entrada, expanda o registo individual. Pode ver os detalhes da regra, a disposição e os detalhes da instância.
Limpar
Para evitar incorrer em custos na sua Google Cloud conta pelos recursos usados neste tutorial, elimine o projeto que contém os recursos ou mantenha o projeto e elimine os recursos individuais.
Para eliminar os recursos criados neste tutorial, conclua os seguintes passos.
Elimine um grupo de endereços
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na secção Políticas de firewall de rede, clique em
fw-policy-addressgrp.Na secção Regras da firewall, selecione a caixa de verificação da regra da firewall
150.Clique em Eliminar.
Na Google Cloud consola, aceda à página Grupos de endereços.
Na secção Grupos de moradas, selecione a caixa de verificação junto a
address-group-pc.Clique em Eliminar e, em seguida, clique novamente em Eliminar para confirmar.
gcloud
Para eliminar a regra de firewall associada ao grupo de endereços IP
address-group-pc, execute o seguinte comando:gcloud compute network-firewall-policies rules delete 150 \ --firewall-policy fw-policy-addressgrp \ --global-firewall-policyPara remover um item existente de um grupo de endereços, execute o seguinte comando:
gcloud network-security address-groups remove-items address-group-pc \ --items 192.168.10.0/29 \ --location globalPara eliminar um grupo de endereços IP, execute o seguinte comando:
gcloud network-security address-groups delete address-group-pc \ --location globalQuando lhe for pedido, prima Y para confirmar e, em seguida, prima Enter.
Elimine a política de firewall
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na secção Políticas de firewall de rede, clique no nome
fw-policy-addressgrp.Clique no separador Associações.
Selecione a caixa de verificação da VM
vpc-producere da VMvpc-consumere, de seguida, clique em Remover associação.Na caixa de diálogo Remova uma associação de política de firewall, clique em Remover.
Junto ao título
fw-policy-addressgrp, clique em Eliminar.Na caixa de diálogo Eliminar uma política de firewall, clique em Eliminar.
gcloud
Remova a associação entre a política de firewall e a rede de produção da VPC.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-producer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
Remova a associação entre a política de firewall e a rede do consumidor da VPC.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-consumer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
Elimine a política de firewall.
gcloud compute network-firewall-policies delete fw-policy-addressgrp \ --global
Elimine o intercâmbio de redes da VPC
Consola
Na Google Cloud consola, aceda à página Interligação de redes VPC.
Selecione as caixas de verificação de
peering-cpepeering-pc.Clique em Eliminar.
Na caixa de diálogo Eliminar 2 relações de intercâmbio?, clique em Eliminar.
gcloud
Para eliminar a interligação entre a VPC do consumidor e a VPC do produtor, execute o seguinte comando:
gcloud compute networks peerings delete peering-cp \ --network=vpc-consumerPara eliminar a interligação entre a VPC do produtor e a VPC do consumidor , execute o seguinte comando:
gcloud compute networks peerings delete peering-pc \ --network=vpc-producer
Elimine a gateway do Cloud NAT e o Cloud Router
Consola
Na Google Cloud consola, aceda à página Routers na nuvem.
Selecione a caixa de verificação
router-addressgrp.Clique em Eliminar.
Na caixa de diálogo Delete router-addressgrp, clique em Delete.
Quando elimina um Cloud Router, o gateway Cloud NAT associado também é eliminado.
gcloud
Para eliminar o router-addressgrp Cloud Router, execute o seguinte comando:
gcloud compute routers delete router-addressgrp \
--region=us-central1
Quando lhe for pedido, prima Y para confirmar e, em seguida, prima Enter.
Quando elimina um Cloud Router, o gateway Cloud NAT associado também é eliminado.
Elimine as VMs
Consola
Na Google Cloud consola, aceda à página Instâncias de VM.
Selecione as caixas de verificação das VMs
vm-consumer-allowed,vm-consumer-blockedevm-producer.Clique em Eliminar.
Na caixa de diálogo Eliminar 3 instâncias?, clique em Eliminar.
gcloud
Para eliminar todas as VMs, execute o seguinte comando:
gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \ --zone=us-central1-aQuando lhe for pedido, prima Y para confirmar e, em seguida, prima Enter.
Elimine a rede VPC do consumidor e as respetivas sub-redes
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Na coluna Nome, clique em
vpc-consumer.Clique em Eliminar rede de VPC.
Na caixa de diálogo Eliminar uma rede, clique em Eliminar.
Quando elimina uma VPC, as respetivas sub-redes também são eliminadas.
gcloud
Para eliminar as sub-redes da rede VPC, execute o seguinte comando:
vpc-consumergcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \ --region=us-central1
Quando lhe for pedido, prima Y para confirmar e, em seguida, prima Enter.
Para eliminar a rede de VPC
vpc-consumer, execute o seguinte comando:gcloud compute networks delete vpc-consumer
Quando lhe for pedido, prima Y para confirmar e, em seguida, prima Enter.
Elimine a rede de VPC do produtor e a respetiva sub-rede
Consola
Na Google Cloud consola, aceda à página Redes VPC.
Na coluna Nome, clique em
vpc-producer.Clique em Eliminar rede de VPC.
Na caixa de diálogo Eliminar uma rede, clique em Eliminar.
Quando elimina uma VPC, as respetivas sub-redes também são eliminadas.
gcloud
Para eliminar a sub-rede da rede VPC, execute o seguinte comando:
vpc-producergcloud compute networks subnets delete subnet-vpc-producer \ --region=us-central1
Quando lhe for pedido, prima Y para confirmar e prima Enter.
Para eliminar a rede de VPC
vpc-producer, execute o seguinte comando:gcloud compute networks delete vpc-producer
Quando lhe for pedido, prima Y para confirmar e, em seguida, prima Enter.
O que se segue?
- Para informações conceptuais sobre as políticas de firewall, consulte o artigo Políticas de firewall.
- Para informações conceptuais sobre as regras de política de firewall, consulte o artigo Regras de política de firewall.
- Para criar, atualizar, monitorizar e eliminar regras de firewall de VPC, consulte o artigo Use regras de firewall de VPC.
- Para determinar os custos, consulte os preços do Cloud NGFW.