Configurar grupos de endereços para políticas de firewall

Neste tutorial, descrevemos como criar e configurar grupos de endereços para políticas de firewall na sua rede. Vamos mostrar um exemplo de como criar uma rede de nuvem privada virtual (VPC) com sub-redes, criar um grupo de endereços com escopo de projeto, configurar uma política de firewall que usa o grupo de endereços com regras de firewall e e testar as regras de firewall. Para mais informações, consulte Grupos de endereços para políticas de firewall.

Objetivos

Nesta seção, mostramos como concluir as seguintes tarefas:

  • Criar duas redes VPC personalizadas com sub-redes.
  • Crie três instâncias de máquina virtual (VM) (duas VMs de consumidor em sub-redes separadas de uma rede VPC e uma VM de produtor em uma segunda rede VPC). Todas as VMs são criadas sem um endereço IP externo.
  • Instalar o servidor Apache na VM do servidor.
  • Criar peering de rede VPC.
  • Criar um Cloud Router e um gateway do Cloud NAT, que permitem que a VM do produtor acesse a Internet pública.
  • Crie um grupo de endereços com escopo de projeto.
  • Crie uma política de firewall de rede global com as seguintes regras:
    • Permita a conectividade SSH do Identity-Aware Proxy (IAP) com as VMs.
    • Permita o tráfego da VM do consumidor permitida para a VM do produtor usando o grupo de endereços com escopo do projeto.
  • Teste a conexão.

O diagrama a seguir mostra o tráfego entre as VMs do produtor e do consumidor na região us-central1 em duas redes VPC personalizadas. Uma política de firewall de rede global usa uma regra de grupo de endereços no escopo do projeto para permitir o tráfego de entrada entre as VMs vm-consumer-allowed e vm-producer. O tráfego entre as VMs vm-consumer-blocked e vm-producer é negado porque cada VM tem uma regra de firewall de entrada implícita que nega todo o tráfego.

Uma política de firewall de rede global que permite o tráfego de entrada de uma sub-rede para uma VM de destino em outra rede VPC.
Uma política de firewall de rede global que permite o tráfego de entrada de uma sub-rede para uma VM de destino em outra rede VPC (clique para ampliar).

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  6. Ative a API Compute Engine no projeto.
  7. Verifique se você tem o papel de administrador de rede do Compute (roles/compute.networkAdmin).
  8. Ative a API Identity-Aware Proxy para o projeto.
  9. Se você preferir trabalhar na linha de comando, instale a Google Cloud CLI. Para informações conceituais e de instalação sobre a ferramenta, consulte visão geral da CLI gcloud.

    Observação: caso você ainda não tenha executado a CLI do Google Cloud, inicialize o diretório da gcloud CLI executando o comando gcloud init.

Criar uma rede VPC personalizada com sub-redes

Nesta seção, você cria uma rede VPC de consumidor com duas sub-redes IPv4: subnet-consumer-allowed e subnet-consumer-blocked.

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique em Criar rede VPC.

  3. Em Nome, insira vpc-consumer.

  4. Em Modo de criação da sub-rede, selecione Personalizado.

  5. Na seção Nova sub-rede, especifique os parâmetros de configuração a seguir para uma sub-rede:

    • Name: subnet-consumer-allowed
    • Região: us-central1
    • Intervalo IPv4: 192.168.10.0/29

  6. Clique em Concluído.

  7. Clique em Adicionar sub-rede e especifique os seguintes parâmetros de configuração:

    • Name: subnet-consumer-blocked
    • Região: us-central1
    • Intervalo IPv4: 192.168.20.0/29

  8. Clique em Concluído.

  9. Clique em Criar.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  2. Para criar uma rede VPC, execute o seguinte comando:

    gcloud compute networks create vpc-consumer \
  --subnet-mode=custom

  3. Na caixa de diálogo Autorizar o Cloud Shell, clique em Autorizar.

  4. Para criar uma sub-rede, execute o comando a seguir.

    gcloud compute networks subnets create subnet-consumer-allowed \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.10.0/29

  5. Para criar outra sub-rede, execute o seguinte comando:

    gcloud compute networks subnets create subnet-consumer-blocked \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.20.0/29

Criar uma rede VPC do produtor com a sub-rede

Nesta seção, você criará uma rede VPC do produtor com uma sub-rede IPv4.

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique em Criar rede VPC.

  3. Em Nome, insira vpc-producer.

  4. Em Modo de criação da sub-rede, selecione Personalizado.

  5. Na seção Nova sub-rede, especifique os parâmetros de configuração a seguir para uma sub-rede:

    • Name: subnet-vpc-producer
    • Região: us-central1
    • Intervalo IPv4: 172.16.10.0/29

  6. Clique em Concluído.

  7. Clique em Criar.

gcloud

  1. Para criar uma rede VPC, execute o seguinte comando:

    gcloud compute networks create vpc-producer \
  --subnet-mode=custom

  2. Para criar uma sub-rede, execute o comando a seguir.

    gcloud compute networks subnets create subnet-vpc-producer \
  --network=vpc-producer \
  --region=us-central1 \
  --range=172.16.10.0/29

Criar um Cloud Router e um gateway NAT do Cloud

Para permitir que a VM vm-producer acesse a Internet pública, crie um Cloud Router e um gateway do Cloud NAT.

Console

  1. No Console do Google Cloud, acesse a página do Cloud NAT.

    Acesse o Cloud NAT

  2. Clique em Primeiros passos ou Criar gateway Cloud NAT.

  3. Em Nome do gateway, digite nat-gateway-addressgrp.

  4. Em Tipo de NAT, selecione Public.

  5. Na seção Selecionar o Cloud Router, especifique os seguintes parâmetros de configuração:

    • Rede: vpc-producer
    • Região: us-central1 (lowa)
    • Cloud Router: clique em Criar novo roteador.
      1. Em Nome, insira router-addressgrp.
      2. Clique em Criar.

  6. Clique em Criar.

gcloud

  1. Para criar um Cloud Router, execute o seguinte comando:

    gcloud compute routers create router-addressgrp \
  --network=vpc-producer \
  --region=us-central1

  2. Para criar um gateway do Cloud NAT, execute o seguinte comando:

    gcloud compute routers nats create nat-gateway-addressgrp \
  --router=router-addressgrp \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

Criar VMs

Em cada sub-rede da rede VPC que você criou na seção anterior, crie VMs sem um endereço IP externo.

Criar uma VM para a rede VPC permitida pelo consumidor

Crie uma VM na sub-rede subnet-consumer-allowed.

Console

  1. No console do Google Cloud, acesse a página Criar uma instância.

    Acesse "Criar uma instância"

  2. Em Nome, insira vm-consumer-allowed.

  3. Em Região, selecione us-central1 (Iowa).

  4. Expanda Opções avançadas e depois Rede.

  5. Na seção Interfaces de rede, expanda padrão e especifique os seguintes parâmetros de configuração:

    • Rede: vpc-consumer
    • Sub-rede: subnet-consumer-allowed IPv4 (192.168.10.0/29)
    • Endereço IPv4 externo: nenhum

  6. Clique em Concluído.

  7. Clique em Criar.

gcloud 

gcloud compute instances create vm-consumer-allowed \
     --network=vpc-consumer \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-consumer-allowed

Criar uma VM para a rede VPC bloqueada pelo consumidor

Nesta seção, você criará uma VM na sub-rede subnet-consumer-blocked.

Console

  1. No console do Google Cloud, acesse a página Criar uma instância.

    Acesse "Criar uma instância"

  2. Em Nome, insira vm-consumer-blocked.

  3. Em Região, selecione us-central1 (Iowa).

  4. Expanda Opções avançadas e depois Rede.

  5. Na seção Interfaces de rede, expanda padrão e especifique os seguintes parâmetros de configuração:

    • Rede: vpc-consumer
    • Sub-rede: subnet-consumer-blocked IPv4 (192.168.20.0/29)
    • Endereço IPv4 externo: nenhum

  6. Clique em Concluído.

  7. Clique em Criar.

gcloud 

gcloud compute instances create vm-consumer-blocked \
    --network=vpc-consumer \
    --zone=us-central1-a \
    --stack-type=IPV4_ONLY \
    --no-address \
    --subnet=subnet-consumer-blocked

Criar uma VM para a rede VPC do produtor

Crie uma VM na sub-rede subnet-vpc-producer e instale um servidor Apache.

Console

  1. No console do Google Cloud, acesse a página Criar uma instância.

    Acesse "Criar uma instância"

  2. Em Nome, insira vm-producer.

  3. Em Região, selecione us-central1 (Iowa).

  4. Expanda Opções avançadas e depois Rede.

  5. Na seção Interfaces de rede, expanda padrão e especifique os seguintes parâmetros de configuração:

    • Rede: vpc-producer
    • Sub-rede: subnet-vpc-producer IPv4 (172.16.10.0/29)

  6. Clique em Concluído.

  7. Expanda a seção Gerenciamento.

  8. Na seção Automação, insira o script a seguir no campo Script de inicialização:

      #! /bin/bash
  apt-get update
  apt-get install apache2 -y
  a2ensite default-ssl
  a2enmod ssl
  # Read VM network configuration:
  md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
  vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
  filter="{print \$NF}"
  vm_network="$(curl $md_vm/network-interfaces/0/network \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  vm_zone="$(curl $md_vm/zone \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  # Apache configuration:
  echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
  tee /var/www/html/index.html
  systemctl restart apache2

    O script anterior implanta e inicia um servidor da Web Apache nesta VM.

  9. Clique em Criar.

gcloud

Para criar uma VM do produtor, execute o seguinte comando:

  gcloud compute instances create vm-producer \
      --network=vpc-producer \
      --zone=us-central1-a \
      --stack-type=IPV4_ONLY \
      --no-address \
      --subnet=subnet-vpc-producer \
      --image-project=debian-cloud \
      --image-family=debian-10 \
      --metadata=startup-script='#! /bin/bash
        apt-get update
        apt-get install apache2 -y
        a2ensite default-ssl
        a2enmod ssl
        # Read VM network configuration:
        md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
        vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
        filter="{print \$NF}"
        vm_network="$(curl $md_vm/network-interfaces/0/network \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        vm_zone="$(curl $md_vm/zone \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        # Apache configuration:
        echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
        tee /var/www/html/index.html
        systemctl restart apache2'

Crie uma conexão de Peering de redes VPC.

Para conectar de maneira particular as redes VPC vpc-consumer e vpc-producer no mesmo projeto, use o peering de rede VPC. O peering de rede VPC permite a conectividade de endereço IP interno em duas redes VPC, independentemente de pertencerem ao mesmo projeto ou organização.

Peer vpc-consumer com vpc-producer

Para estabelecer o peering de rede VPC, você precisa configurar separadamente a associação de peering para as redes vpc-consumer e vpc-producer.

Console

Para criar peering de rede VPC entre as redes vpc-consumer e vpc-producer, siga estas etapas:

  1. No console do Google Cloud, acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Clique em Criar conexão.

  3. Clique em Continuar.

  4. No campo Nome, use peering-cp.

  5. Em Sua rede VPC, selecione vpc-consumer.

  6. Em Nome da rede VPC, selecione vpc-producer.

  7. Clique em Criar.

gcloud

Para criar o peering de rede VPC entre vpc-consumer e vpc-producer, execute o seguinte comando:

gcloud compute networks peerings create peering-cp \
    --network=vpc-consumer \
    --peer-network=vpc-producer \
    --stack-type=IPV4_ONLY

Faça o peering da rede vpc-producer com a rede vpc-consumer

Console

Para criar o peering de rede VPC entre vpc-producer e vpc-consumer, siga estas etapas:

  1. No console do Google Cloud, acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Clique em Criar conexão.

  3. Clique em Continuar.

  4. No campo Nome, use peering-pc.

  5. Em Sua rede VPC, selecione vpc-producer.

  6. Em Nome da rede VPC, selecione vpc-consumer.

  7. Clique em Criar.

gcloud

Para criar o peering de rede VPC entre vpc-producer e vpc-consumer, execute o seguinte comando:

gcloud compute networks peerings create peering-pc \
    --network=vpc-producer \
    --peer-network=vpc-consumer \
    --stack-type=IPV4_ONLY

Criar uma política de firewall de rede global para ativar o IAP

Para ativar o IAP, crie uma política de firewall de rede global e adicione uma regra de firewall. O IAP tem acesso administrativo às instâncias de VM.

A regra de firewall tem as seguintes características.

  • Tráfego de entrada do intervalo de IP 35.235.240.0/20. Esse intervalo contém todos os endereços IP que o IAP usa para o encaminhamento de TCP.

  • Uma conexão com todas as portas que você quer que estejam acessíveis usando o encaminhamento de TCP do IAP. Por exemplo, a porta 22 para SSH.

Console

Para permitir o acesso do IAP a todas as instâncias de VM nas redes vpc-consumer e vpc-producer, siga estas etapas:

  1. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  2. Clique em Criar política de firewall.

  3. Na seção Configurar política, em Nome da política, digite fw-policy-addressgrp.

  4. Em Escopo da implantação, selecione Global e clique em Continuar.

  5. Para criar regras para sua política, na seção Adicionar regras, clique em Adicionar regra.

    1. Em Prioridade, digite 100.
    2. Em Direção de tráfego, selecione Entrada.
    3. Em Ação se houver correspondência, selecione Permitir.
    4. Na seção Destino, em Tipo de destino, selecione Todas as instâncias na rede.
    5. Na seção Origem, em Intervalos de IP, insira 35.235.240.0/20.
    6. Na seção Protocolo e portas, selecione Portas e protocolos especificados.
    7. Marque a caixa de seleção TCP e, em Portas, insira 22.
    8. Clique em Criar.

  6. Clique em Continuar.

  7. Para associar uma rede VPC à política, na seção Associar política a redes VPC, clique em Associar.

  8. Marque as caixas de seleção de vpc-producer e vpc-consumer e clique em Associar.

  9. Clique em Continuar.

  10. Clique em Criar.

gcloud

Para permitir que o IAP acesse as instâncias de VM na rede vpc-producer, execute o seguinte comando:

  1. Para criar uma política de firewall, execute o seguinte comando:

    gcloud compute network-firewall-policies create fw-policy-addressgrp \
    --global

  2. Para criar uma regra de firewall que permita o tráfego para todos os destinos e ative os registros, execute o seguinte comando:

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy

  3. Para associar a política de firewall à rede VPC, execute o seguinte comando:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-producer \
    --name=pol-association-vpc-producer \
    --global-firewall-policy

  4. Para associar a política de firewall à rede VPC, execute o seguinte comando:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-consumer \
    --name=pol-association-vpc-consumer \
    --global-firewall-policy

Criar um grupo de endereços com escopo de projeto

Crie um grupo de endereços com escopo de projeto que use o endereço IP atribuído à sub-rede subnet-consumer-allowed da rede VPC vpc-consumer.

Para mais informações sobre os grupos de endereços no escopo do projeto, consulte Usar grupos de endereços em políticas de firewall.

  1. Se você estiver usando o terminal do Cloud Shell pela primeira vez, clique em alt='' Ativar o Cloud Shell no console do Google Cloud.

  2. Para criar um grupo de endereços, execute o seguinte comando:

    gcloud network-security address-groups create address-group-pc \
    --type IPv4 \
    --capacity 1000 \
    --location global

  3. Se você estiver usando o terminal do Cloud Shell pela primeira vez, na caixa de diálogo Autorizar Cloud Shell, clique em Autorizar.

  4. Para adicionar um item a um grupo de endereços, execute o seguinte comando:

    gcloud network-security address-groups add-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

    Lembre-se de que o intervalo de IP 192.168.10.0/29 está atribuído à sub-rede subnet-consumer-allowed da rede VPC vpc-consumer.

Adicionar uma regra de firewall para permitir o tráfego para um grupo de endereços

Para permitir conexões de entrada da VM vm-consumer-allowed, crie uma regra de firewall que adicione o grupo de endereços no escopo do projeto address-group-pc como o endereço IP de origem.

Console

  1. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  2. Na seção Políticas de firewall de rede, clique em fw-policy-addressgrp.

  3. Clique em Criar regra.

  4. Em Prioridade, digite 150.

  5. Em Direção de tráfego, selecione Entrada.

  6. Em Ação se houver correspondência, selecione Permitir.

  7. Em Registros, selecione Ativado.

  8. Na seção Destino, em Tipo de destino, selecione Todas as instâncias na rede.

  9. Na seção Origem, em Grupo de endereços, selecione address-group-pc (PROJECT_ID) e clique em OK.

    Lembre-se de que o grupo de endereços IP address-group-pc tem um intervalo de IP 192.168.10.0/29 atribuído à sub-rede subnet-consumer-allowed da rede VPC do consumidor.

  10. Clique em Criar.

gcloud

Para atualizar a política de firewall, execute o seguinte comando:

gcloud compute network-firewall-policies rules create 150 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Testar a conexão

Teste a conexão da VM vm-consumer-allowed com a VM vm-producer e da VM vm-consumer-blocked com a vm-producer.

Teste o tráfego da VM vm-consumer-allowed para a VM vm-producer

Console

  1. No console do Google Cloud, acesse a página Instâncias de VMs.

    Acessar instâncias de VM

  2. Na coluna IP interno da VM vm-producer, copie o endereço IP interno da VM.

  3. Na coluna Conectar da VM vm-consumer-allowed, clique em SSH.

  4. Na caixa de diálogo SSH no navegador, clique em Autorizar e aguarde a conexão ser estabelecida.

  5. Para verificar a conexão, execute o seguinte comando:

    curl INTERNAL_IP -m 2

    Substitua INTERNAL_IP pelo endereço IP da VM vm-producer.

    O resultado será assim:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Feche a caixa de diálogo SSH no navegador.

gcloud

  1. Para ver o endereço IP externo da VM vm-producer, execute o seguinte comando:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Quando solicitado, pressione n para confirmar e depois Enter. Anote o endereço IP interno da VM do vm-producer.

  2. Para usar o SSH para se conectar à VM vm-consumer-allowed, execute o seguinte comando:

    gcloud compute ssh vm-consumer-allowed \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Para verificar a conexão, execute o seguinte comando:

    curl INTERNAL_IP -m 2

    Substitua INTERNAL_IP pelo endereço IP interno da VM vm-producer.

    A mensagem da resposta esperada é esta:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. Para sair da conexão SSH, digite exit.

Teste o tráfego da VM vm-consumer-blocked para a VM vm-producer

Console

  1. No console do Google Cloud, acesse a página Instâncias de VMs.

    Acessar instâncias de VM

  2. Na coluna IP interno da VM vm-producer, copie o endereço IP interno da VM.

  3. Na coluna Conectar da VM vm-consumer-blocked, clique em SSH.

  4. Na caixa de diálogo SSH no navegador, clique em Autorizar e aguarde a conexão ser estabelecida.

  5. Para verificar a conexão, execute o seguinte comando:

    curl INTERNAL_IP -m 2

    Substitua INTERNAL_IP pelo endereço IP da VM vm-producer.

    A mensagem Connection timed out é esperada porque cada VM cria uma regra de firewall de entrada implícita que nega todo o tráfego. Para permitir o tráfego, adicione uma regra de entrada à política de firewall.

  6. Feche a caixa de diálogo SSH no navegador.

gcloud

  1. Para ver o endereço IP externo da VM vm-producer, execute o seguinte comando:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Quando solicitado, pressione n para confirmar e depois Enter. Anote o endereço IP interno da VM do vm-producer.

  2. Para usar o SSH para se conectar à VM vm-consumer-blocked, execute o seguinte comando:

    gcloud compute ssh vm-consumer-blocked \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Para verificar a conexão, execute o seguinte comando:

    curl INTERNAL_IP -m 2

    Substitua INTERNAL_IP pelo endereço IP interno da VM vm-producer.

    A mensagem Connection timed out é esperada porque cada VM cria uma regra de firewall de entrada implícita que nega todo o tráfego. Para permitir o tráfego, adicione uma regra de entrada à política de firewall.

  4. Para sair da conexão SSH, digite exit.

Visualize os registros

Para verificar se as regras de firewall do grupo de endereços foram aplicadas ao tráfego de entrada, acesse os registros. Para ver o registro, siga estas etapas:

  1. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  2. Na seção Políticas de firewall de rede, clique no nome fw-policy-addressgrp.

  3. Na coluna Contagem de hits, selecione o número da regra que você criou durante Adicionar uma regra de firewall para permitir o tráfego para um grupo de endereços. A página Análise de registros abre.

  4. Para ver a regra de firewall aplicada ao tráfego de saída, expanda o registro individual. É possível ver os detalhes da regra, a disposição e os detalhes da instância.

Limpar

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados neste tutorial, exclua o projeto que os contém ou mantenha o projeto e exclua os recursos individuais.

Para excluir os recursos criados neste tutorial, siga estas etapas:

Excluir um grupo de endereços

  1. Para excluir a regra de firewall associada ao grupo de endereços IP address-group-pc, execute o seguinte comando:

    gcloud compute network-firewall-policies rules delete 150 \
   --firewall-policy fw-policy-addressgrp \
   --global-firewall-policy

  2. Para remover um item existente de um grupo de endereços, execute o seguinte comando:

    gcloud network-security address-groups remove-items address-group-pc \
   --items 192.168.10.0/29 \
   --location global

  3. Para excluir um grupo de endereços IP, execute o seguinte comando:

    gcloud network-security address-groups delete address-group-pc \
   --location global

    Quando solicitado, pressione Y para confirmar e depois Enter.

Excluir a política de firewall

Console

  1. No Console do Google Cloud, acesse a página políticas de Firewall.

    Acessar as políticas de firewall

  2. Na seção Políticas de firewall de rede, clique no nome fw-policy-addressgrp.

  3. Clique na guia Associações.

  4. Marque a caixa de seleção das VMs vpc-producer e vpc-consumer e clique em Remover associação.

  5. Na caixa de diálogo Remover uma associação de política de firewall, clique em Remover.

  6. Ao lado do título fw-policy-addressgrp, clique em Excluir.

  7. Na caixa de diálogo Excluir uma política de firewall, clique em Excluir.

gcloud

  1. Remova a associação entre a política de firewall e a rede VPC.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-producer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  2. Remova a associação entre a política de firewall e a rede VPC.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-consumer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  3. Exclua a política de firewall.

    gcloud compute network-firewall-policies delete fw-policy-addressgrp \
    --global

Excluir o peering de redes VPC.

Console

  1. No console do Google Cloud, acesse a página Peering de rede VPC.

    Acessar o peering de rede VPC

  2. Marque as caixas de seleção de peering-cp e peering-pc.

  3. Clique em Excluir.

  4. Na caixa de diálogo Excluir 2 instâncias?, clique em Excluir.

gcloud

  1. Para excluir o peering entre a VPC do consumidor e a VPC do produtor, execute o seguinte comando:

    gcloud compute networks peerings delete peering-cp \
    --network=vpc-consumer

  2. Para excluir o peering entre a VPC do produtor e a VPC do consumidor , execute o seguinte comando:

    gcloud compute networks peerings delete peering-pc \
    --network=vpc-producer

Excluir o gateway do Cloud NAT e o Cloud Router

Console

  1. No Console do Google Cloud, acesse a página do Cloud Routers.

    Acesse o Cloud Routers

  2. Marque a caixa de seleção router-addressgrp

  3. Clique em Excluir.

  4. Na caixa de diálogo Excluir roteador-addressgrp, clique em Excluir.

Quando você exclui um Cloud Router, o gateway do Cloud NAT associado também é excluído.

gcloud

Para excluir o Cloud Router router-addressgrp, execute o seguinte comando:

gcloud compute routers delete router-addressgrp \
    --region=us-central1

Quando solicitado, pressione Y para confirmar e depois Enter.

Quando você exclui um Cloud Router, o gateway do Cloud NAT associado também é excluído.

Excluir as VMs

Console

  1. No console do Google Cloud, acesse a página Instâncias de VMs.

    Acessar instâncias de VM

  2. Marque as caixas de seleção das VMs vm-consumer-allowed, vm-consumer-blocked e vm-producer.

  3. Clique em Excluir.

  4. Na caixa de diálogo Excluir 2 instâncias?, clique em Excluir.

gcloud

  1. Para excluir todas as VMs, execute o seguinte comando:

    gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \
    --zone=us-central1-a

    Quando solicitado, pressione Y para confirmar e depois Enter.

Excluir a rede VPC e as sub-redes dela

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Na coluna Nome, clique em vpc-consumer.

  3. Clique em Excluir rede VPC.

  4. Na caixa de diálogo Excluir uma rede, clique em Excluir.

Quando você exclui uma VPC, as sub-redes dela também são excluídas.

gcloud

  1. Para excluir as sub-redes da rede VPC vpc-consumer, execute o seguinte comando:

    gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \
   --region=us-central1

    Quando solicitado, pressione Y para confirmar e depois Enter.

  2. Para excluir a rede VPC vpc-consumer, execute o seguinte comando:

    gcloud compute networks delete vpc-consumer

    Quando solicitado, pressione Y para confirmar e depois Enter.

Exclua a rede VPC do produtor e a sub-rede dela

Console

  1. No Console do Google Cloud, acesse a página Redes VPC.

    Acessar redes VPC

  2. Na coluna Nome, clique em vpc-producer.

  3. Clique em Excluir rede VPC.

  4. Na caixa de diálogo Excluir uma rede, clique em Excluir.

Quando você exclui uma VPC, as sub-redes dela também são excluídas.

gcloud

  1. Para excluir a sub-rede da rede VPC vpc-producer, execute o seguinte comando:

    gcloud compute networks subnets delete subnet-vpc-producer \
   --region=us-central1

    Quando solicitado, pressione Y para confirmar e pressione Enter.

  2. Para excluir a rede VPC vpc-producer, execute o seguinte comando:

    gcloud compute networks delete vpc-producer

    Quando solicitado, pressione Y para confirmar e depois Enter.

A seguir

  • Para informações conceituais sobre políticas de firewall, consulte este link.
  • Para informações conceituais sobre as regras da política de firewall, consulte este link.
  • Para criar, atualizar, monitorar e excluir regras de firewall da VPC, consulte Usar regras de firewall da VPC.
  • Para determinar os custos, consulte Preços do Cloud NGFW.