目标
本教程介绍如何完成以下任务:
- 创建两个带有子网的自定义 VPC 网络。
- 创建三个虚拟机 (VM) 实例(在一个 VPC 网络的单独子网中有两个使用方虚拟机,在另一个 VPC 网络中有一个提供方虚拟机)。创建的所有虚拟机都没有外部 IP 地址。
- 在提供方虚拟机上安装 Apache 服务器。
- 创建 VPC 网络对等互连。
- 创建 Cloud Router 路由器和 Cloud NAT 网关,以允许提供方虚拟机访问公共互联网。
- 创建项目级地址组。
- 使用以下规则创建全球网络防火墙政策:
- 允许通过 Identity-Aware Proxy (IAP) SSH 连接到虚拟机。
- 使用项目级地址组允许流量从允许的使用方虚拟机流向提供方虚拟机。
- 测试连接。
下图显示了两个自定义 VPC 网络中 us-central1 区域中的提供方虚拟机与使用方虚拟机之间的流量。全球网络防火墙政策使用项目级地址组规则来允许 vm-consumer-allowed 和 vm-producer 虚拟机之间的入站流量。系统会拒绝 vm-consumer-blocked 虚拟机和 vm-producer 虚拟机之间的流量,因为每个虚拟机都具有拒绝所有流量的隐式入站流量防火墙规则。
准备工作
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- 为您的项目启用 Compute Engine API。
- 确保您具有 Compute Network Admin 角色 (
roles/compute.networkAdmin)。 - 为您的项目启用 Identity-Aware Proxy API。
- 如果您希望通过命令行进行操作,请安装 Google Cloud CLI。 如需了解该工具的概念性信息和安装信息,请参阅 gcloud CLI 概览。
注意:如果您之前未运行过 Google Cloud CLI,请运行
gcloud init命令来初始化 gcloud CLI 目录。
创建包含子网的使用方 VPC 网络
在本部分中,您将创建一个包含两个 IPv4 子网(subnet-consumer-allowed 和 subnet-consumer-blocked)的使用方 VPC 网络。
控制台
在 Google Cloud 控制台中,进入 VPC 网络页面。
点击创建 VPC 网络。
对于名称,输入
vpc-consumer。对于子网创建模式,选择自定义。
在新子网部分,为子网指定以下配置参数:
- 名称:
subnet-consumer-allowed - 区域:
us-central1 - IPv4 范围:
192.168.10.0/29
- 名称:
点击完成。
点击添加子网并指定以下配置参数:
- 名称:
subnet-consumer-blocked - 区域:
us-central1 - IPv4 范围:
192.168.20.0/29
- 名称:
点击完成。
点击创建。
gcloud
-
In the Google Cloud console, activate Cloud Shell.
如需创建 VPC 网络,请运行以下命令:
gcloud compute networks create vpc-consumer \ --subnet-mode=custom
在为 Cloud Shell 提供授权对话框中,点击授权。
如需创建子网,请运行以下命令:
gcloud compute networks subnets create subnet-consumer-allowed \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.10.0/29
如需创建另一个子网,请运行以下命令:
gcloud compute networks subnets create subnet-consumer-blocked \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.20.0/29
创建具有子网的提供方 VPC 网络
在本部分中,您将创建一个具有 IPv4 子网的提供方 VPC 网络。
控制台
在 Google Cloud 控制台中,进入 VPC 网络页面。
点击创建 VPC 网络。
对于名称,输入
vpc-producer。对于子网创建模式,选择自定义。
在新子网部分,为子网指定以下配置参数:
- 名称:
subnet-vpc-producer - 区域:
us-central1 - IPv4 范围:
172.16.10.0/29
- 名称:
点击完成。
点击创建。
gcloud
如需创建 VPC 网络,请运行以下命令:
gcloud compute networks create vpc-producer \ --subnet-mode=custom
如需创建子网,请运行以下命令:
gcloud compute networks subnets create subnet-vpc-producer \ --network=vpc-producer \ --region=us-central1 \ --range=172.16.10.0/29
创建 Cloud Router 路由器和 Cloud NAT 网关
如需允许 vm-producer 虚拟机访问公共互联网,您需要创建 Cloud Router 路由器和 Cloud NAT 网关。
控制台
在 Google Cloud 控制台中,转到 Cloud NAT 页面。
点击开始使用或创建 Cloud NAT 网关。
对于网关名称,输入
nat-gateway-addressgrp。在 NAT 类型列表中,选择公共。
在选择 Cloud Router 路由器部分中,指定以下配置参数:
- 网络:
vpc-producer - 区域:
us-central1 (lowa) - Cloud Router:点击创建新路由器。
- 对于名称,输入
router-addressgrp。 - 点击创建。
- 对于名称,输入
- 网络:
点击创建。
gcloud
要创建 Cloud Router 路由器,请运行以下命令:
gcloud compute routers create router-addressgrp \ --network=vpc-producer \ --region=us-central1
如需创建 Cloud NAT 网关,请运行以下命令:
gcloud compute routers nats create nat-gateway-addressgrp \ --router=router-addressgrp \ --region=us-central1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
创建虚拟机
在上一部分中创建的 VPC 网络的每个子网中,创建没有外部 IP 地址的虚拟机。
为使用方允许的 VPC 网络创建虚拟机
在 subnet-consumer-allowed 子网中创建一个虚拟机。
控制台
在 Google Cloud 控制台中,转到创建实例页面。
对于名称,输入
vm-consumer-allowed。对于区域,请选择
us-central1 (Iowa)。展开高级选项,然后展开网络。
在网络接口部分中,展开默认并指定以下配置参数:
- 网络:
vpc-consumer - 子网:
subnet-consumer-allowed IPv4 (192.168.10.0/29) - 外部 IPv4 地址:无
- 网络:
点击完成。
点击创建。
gcloud
gcloud compute instances create vm-consumer-allowed \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-allowed
为使用方阻止的 VPC 网络创建虚拟机
在本部分中,您将在 subnet-consumer-blocked 子网中创建一个虚拟机。
控制台
在 Google Cloud 控制台中,转到创建实例页面。
对于名称,输入
vm-consumer-blocked。对于区域,请选择
us-central1 (Iowa)。展开高级选项,然后展开网络。
在网络接口部分中,展开默认并指定以下配置参数:
- 网络:
vpc-consumer - 子网:
subnet-consumer-blocked IPv4 (192.168.20.0/29) - 外部 IPv4 地址:无
- 网络:
点击完成。
点击创建。
gcloud
gcloud compute instances create vm-consumer-blocked \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-blocked
为提供方 VPC 网络创建虚拟机
在子网 subnet-vpc-producer 中创建一个虚拟机,并在其上安装 Apache 服务器。
控制台
在 Google Cloud 控制台中,转到创建实例页面。
对于名称,输入
vm-producer。对于区域,请选择
us-central1 (Iowa)。展开高级选项,然后展开网络。
在网络接口部分中,展开默认并指定以下配置参数:
- 网络:
vpc-producer - 子网:
subnet-vpc-producer IPv4 (172.16.10.0/29)
- 网络:
点击完成。
展开管理部分。
在自动化部分的启动脚本字段中输入以下脚本:
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl # Read VM network configuration: md_vm="http://169.254.169.254/computeMetadata/v1/instance/" vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )" filter="{print \$NF}" vm_network="$(curl $md_vm/network-interfaces/0/network \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" vm_zone="$(curl $md_vm/zone \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" # Apache configuration: echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \ tee /var/www/html/index.html systemctl restart apache2上述脚本会在此虚拟机中部署和启动 Apache Web 服务器。
点击创建。
gcloud
如需创建提供方虚拟机,请运行以下命令:
gcloud compute instances create vm-producer \
--network=vpc-producer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-vpc-producer \
--image-project=debian-cloud \
--image-family=debian-10 \
--metadata=startup-script='#! /bin/bash
apt-get update
apt-get install apache2 -y
a2ensite default-ssl
a2enmod ssl
# Read VM network configuration:
md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
filter="{print \$NF}"
vm_network="$(curl $md_vm/network-interfaces/0/network \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
vm_zone="$(curl $md_vm/zone \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
# Apache configuration:
echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2'
创建 VPC 网络对等互连连接
如需以私密方式连接同一项目中的 vpc-consumer 和 vpc-producer VPC 网络,请使用 VPC 网络对等互连。无论 VPC 网络是否属于同一个项目或组织,VPC 网络对等互连都支持跨两个 VPC 网络的内部 IP 地址连接。
将 vpc-consumer 与 vpc-producer 对等互连
如需成功建立 VPC 网络对等互连,您必须为 vpc-consumer 和 vpc-producer 网络单独配置对等互连关联。
控制台
如需在 vpc-consumer 和 vpc-producer 网络之间创建 VPC 网络对等互连,请按以下步骤操作:
在 Google Cloud 控制台中,转到 VPC 网络对等互连页面。
点击创建连接。
点击继续。
在名称字段中,输入
peering-cp。在您的 VPC 网络下,选择
vpc-consumer。在 VPC 网络名称下,选择
vpc-producer。点击创建。
gcloud
如需在 vpc-consumer 和 vpc-producer 之间创建 VPC 网络对等互连,请运行以下命令:
gcloud compute networks peerings create peering-cp \
--network=vpc-consumer \
--peer-network=vpc-producer \
--stack-type=IPV4_ONLY
将 vpc-producer 网络与 vpc-consumer 网络对等互连
控制台
如需在 vpc-producer 和 vpc-consumer 之间创建 VPC 网络对等互连,请按以下步骤操作:
在 Google Cloud 控制台中,转到 VPC 网络对等互连页面。
点击创建连接。
点击继续。
在名称字段中,输入
peering-pc。在您的 VPC 网络下,选择
vpc-producer。在 VPC 网络名称下,选择
vpc-consumer。点击创建。
gcloud
如需在 vpc-producer 和 vpc-consumer 之间创建 VPC 网络对等互连,请运行以下命令:
gcloud compute networks peerings create peering-pc \
--network=vpc-producer \
--peer-network=vpc-consumer \
--stack-type=IPV4_ONLY
创建全球网络防火墙政策以启用 IAP
如需启用 IAP,请创建全球网络防火墙政策并添加防火墙规则。IAP 允许对虚拟机实例的管理员权限。
该防火墙规则具有以下特征。
- 来自 IP 范围
35.235.240.0/20的入站流量。此范围包含 IAP 用于 TCP 转发的所有 IP 地址。 与您希望通过使用 IAP TCP 转发访问的所有端口(例如,用于 SSH 的端口
22)的连接。
控制台
如需允许 IAP 访问 vpc-consumer 和 vpc-producer 网络中的所有虚拟机实例,请按照以下步骤操作:
在 Google Cloud 控制台中,转到防火墙页面。
点击创建防火墙政策。
在配置政策部分的政策名称中,输入
fw-policy-addressgrp。在部署范围列表中,选择全局,然后点击继续。
如需为政策创建规则,请在添加规则部分中点击添加规则。
- 在优先级字段中,输入
100。 - 对于流量方向,选择入站。
- 对于对匹配项执行的操作,选择允许。
- 在目标部分的目标类型中,选择网络中的所有实例。
- 在来源部分的 IP 范围中,输入
35.235.240.0/20。 - 在协议和端口部分中,选择指定的协议和端口。
- 选中 TCP 复选框,在端口字段中,输入
22。 - 点击创建。
- 在优先级字段中,输入
点击继续。
如需将 VPC 网络与政策关联,在将政策与 VPC 网络关联部分中,点击关联。
选中
vpc-producer和vpc-consumer对应的复选框,然后点击关联。点击继续。
点击创建。
gcloud
如需允许 IAP 访问 vpc-producer 网络中的虚拟机实例,请运行以下命令:
如需创建防火墙政策,请运行以下命令:
gcloud compute network-firewall-policies create fw-policy-addressgrp \ --global如需创建允许流量流向所有目的地并启用日志的防火墙规则,请运行以下命令:
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy=fw-policy-addressgrp \ --direction=INGRESS \ --action=ALLOW \ --layer4-configs=tcp:22 \ --src-ip-ranges=35.235.240.0/20 \ --global-firewall-policy如需将防火墙政策与提供方 VPC 网络关联,请运行以下命令:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-producer \ --name=pol-association-vpc-producer \ --global-firewall-policy如需将防火墙政策与使用方 VPC 网络关联,请运行以下命令:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-consumer \ --name=pol-association-vpc-consumer \ --global-firewall-policy
创建项目级地址组
创建项目级地址组,以使用分配给 vpc-consumer VPC 网络的 subnet-consumer-allowed 子网的 IP 地址。
如需详细了解项目级地址组,请参阅在防火墙政策中使用地址组。
控制台
在 Google Cloud 控制台中,前往地址组页面。
点击 创建地址组。
在名称字段中,输入
address-group-pc。对于范围,选择全球。
对于类型,选择 IPv4。
在容量字段中,输入
1000。在 IP 地址字段中,输入
192.168.10.0/29。点击创建。
gcloud
如果您是第一次使用 Cloud Shell 终端,请点击 Google Cloud 控制台中的
激活 Cloud Shell。如需创建地址组,请运行以下命令:
gcloud network-security address-groups create address-group-pc \ --type IPv4 \ --capacity 1000 \ --location global在为 Cloud Shell 提供授权对话框中,点击授权。
如需向地址组添加内容,请运行以下命令:
gcloud network-security address-groups add-items address-group-pc \ --items 192.168.10.0/29 \ --location global请记住,IP 范围
192.168.10.0/29分配给vpc-consumerVPC 网络的subnet-consumer-allowed子网。
添加防火墙规则以允许流量进入地址组
如需允许来自 vm-consumer-allowed 虚拟机的入站流量连接,请创建防火墙规则,将项目级地址组 address-group-pc 添加为来源 IP 地址。
控制台
在 Google Cloud 控制台中,转到防火墙页面。
在网络防火墙政策部分中,点击
fw-policy-addressgrp。点击创建规则。
在优先级字段中,输入
150。对于流量方向,选择入站。
对于对匹配项执行的操作,选择允许。
在日志列表中,选择开启。
在目标部分的目标类型中,选择网络中的所有实例。
在来源部分的地址组中,选择
address-group-pc (PROJECT_ID),然后点击确定。请记住,
address-group-pcIP 地址组的 IP 范围为192.168.10.0/29,该范围分配给使用方 VPC 网络的子网subnet-consumer-allowed。点击创建。
gcloud
如需更新防火墙政策,请运行以下命令:
gcloud compute network-firewall-policies rules create 150 \
--firewall-policy=fw-policy-addressgrp \
--direction=INGRESS \
--action=ALLOW \
--src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
--layer4-configs=all \
--global-firewall-policy \
--enable-logging
测试连接
测试从 vm-consumer-allowed 虚拟机到 vm-producer 虚拟机以及从 vm-consumer-blocked 虚拟机到 vm-producer 虚拟机的连接。
测试从 vm-consumer-allowed 虚拟机到 vm-producer 虚拟机的流量
控制台
在 Google Cloud 控制台中,转到虚拟机实例页面。
从
vm-producer虚拟机的内部 IP 列中,复制虚拟机的内部 IP 地址。在
vm-consumer-allowed虚拟机实例的连接列中,点击 SSH。在 SSH-in-browser 对话框中,点击授权并等待连接建立。
如需验证连接,请运行以下命令:
curl INTERNAL_IP -m 2
将
INTERNAL_IP替换为vm-producer虚拟机的 IP 地址。输出类似于以下内容:
<!doctype html><html><body><h1>Hello World!</h1></body></html>关闭 SSH-in-browser 对话框。
gcloud
如需查看
vm-producer虚拟机的内部 IP 地址,请运行以下命令:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
出现提示时,按 n 键进行确认,然后按 Enter 键。 请务必记下
vm-producer虚拟机的内部 IP 地址。如需使用 SSH 连接到
vm-consumer-allowed虚拟机,请运行以下命令:gcloud compute ssh vm-consumer-allowed \ --zone=us-central1-a \ --tunnel-through-iap
如需验证连接,请运行以下命令:
curl INTERNAL_IP -m 2
将
INTERNAL_IP替换为vm-producer虚拟机的内部 IP 地址。预期响应消息如下所示:
<!doctype html><html><body><h1>Hello World!</h1></body></html>如需退出 SSH 连接,请输入
exit。
测试从 vm-consumer-blocked 虚拟机到 vm-producer 虚拟机的流量
控制台
在 Google Cloud 控制台中,转到虚拟机实例页面。
从
vm-producer虚拟机的内部 IP 列中,复制虚拟机的内部 IP 地址。在
vm-consumer-blocked虚拟机实例的连接列中,点击 SSH。在 SSH-in-browser 对话框中,点击授权并等待连接建立。
如需验证连接,请运行以下命令:
curl INTERNAL_IP -m 2
将
INTERNAL_IP替换为vm-producer虚拟机的 IP 地址。Connection timed out是预期的消息,因为每个虚拟机都会创建一个拒绝所有流量的隐式入站流量防火墙规则。如需允许流量,您可以向防火墙政策添加入站流量规则。关闭 SSH-in-browser 对话框。
gcloud
如需查看
vm-producer虚拟机的内部 IP 地址,请运行以下命令:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
出现提示时,按 n 键进行确认,然后按 Enter 键。 请务必记下
vm-producer虚拟机的内部 IP 地址。如需使用 SSH 连接到
vm-consumer-blocked虚拟机,请运行以下命令:gcloud compute ssh vm-consumer-blocked \ --zone=us-central1-a \ --tunnel-through-iap
如需验证连接,请运行以下命令:
curl INTERNAL_IP -m 2
将
INTERNAL_IP替换为vm-producer虚拟机的内部 IP 地址。Connection timed out是预期的消息,因为每个虚拟机都会创建一个拒绝所有流量的隐式入站流量防火墙规则。如需允许流量,您可以向防火墙政策添加入站流量规则。如需退出 SSH 连接,请输入
exit。
查看日志
如需验证地址组防火墙规则是否已应用于入站流量,请访问日志。如需查看日志详细信息,请按以下步骤操作:
在 Google Cloud 控制台中,转到防火墙页面。
在网络防火墙政策部分中,点击
fw-policy-addressgrp名称。在命中数列中,选择您在添加防火墙规则以允许流量进入地址组期间创建的规则对应的数字。Logs Explorer 页面随即会打开。
如需查看应用于入站流量的防火墙规则,请展开单个日志。您可以查看规则详细信息、处置方式和实例详情。
清理
为避免因本教程中使用的资源导致您的 Google Cloud 账号产生费用,请删除包含这些资源的项目,或者保留项目但删除各个资源。
如需删除在本教程中创建的资源,请完成以下操作:
删除地址组
控制台
gcloud
如需删除与
address-group-pcIP 地址组关联的防火墙规则,请运行以下命令:gcloud compute network-firewall-policies rules delete 150 \ --firewall-policy fw-policy-addressgrp \ --global-firewall-policy如需从地址组中移除现有内容,请运行以下命令:
gcloud network-security address-groups remove-items address-group-pc \ --items 192.168.10.0/29 \ --location global如需删除 IP 地址组,请运行以下命令:
gcloud network-security address-groups delete address-group-pc \ --location global出现提示时,按 Y 键进行确认,然后按 Enter 键。
删除防火墙政策
控制台
在 Google Cloud 控制台中,转到防火墙页面。
在网络防火墙政策部分中,点击
fw-policy-addressgrp名称。点击关联标签页。
选中
vpc-producer虚拟机和vpc-consumer虚拟机对应的复选框,然后点击移除关联。在移除防火墙政策关联对话框中,点击移除。
点击
fw-policy-addressgrp标题旁边的删除。在删除防火墙政策对话框中,点击删除。
gcloud
移除防火墙政策与 VPC 提供方网络之间的关联。
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-producer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
移除防火墙政策与 VPC 使用方网络之间的关联。
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-consumer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
删除防火墙政策。
gcloud compute network-firewall-policies delete fw-policy-addressgrp \ --global
删除 VPC 网络对等互连
控制台
在 Google Cloud 控制台中,转到 VPC 网络对等互连页面。
选中
peering-cp和peering-pc对应的复选框。点击删除。
在删除 2 个对等互连?对话框中,点击删除。
gcloud
如需删除使用方 VPC 与提供方 VPC 之间的对等互连,请运行以下命令:
gcloud compute networks peerings delete peering-cp \ --network=vpc-consumer如需删除提供方 VPC 与使用方 VPC 之间的对等互连,请运行以下命令:
gcloud compute networks peerings delete peering-pc \ --network=vpc-producer
删除 Cloud NAT 网关和 Cloud Router 路由器
控制台
在 Google Cloud 控制台中,前往 Cloud Router 路由器页面。
选中
router-addressgrp复选框。点击删除。
在删除 router-addressgrp 对话框中,点击删除。
删除 Cloud Router 路由器时,关联的 Cloud NAT 网关也会被删除。
gcloud
如需删除 router-addressgrp Cloud Router 路由器,请运行以下命令:
gcloud compute routers delete router-addressgrp \
--region=us-central1
出现提示时,按 Y 键进行确认,然后按 Enter 键。
删除 Cloud Router 路由器时,关联的 Cloud NAT 网关也会被删除。
删除虚拟机
控制台
在 Google Cloud 控制台中,转到虚拟机实例页面。
选中
vm-consumer-allowed、vm-consumer-blocked和vm-producer虚拟机对应的复选框。点击删除。
在删除 3 个实例?对话框中,点击删除。
gcloud
如需删除所有虚拟机,请运行以下命令:
gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \ --zone=us-central1-a出现提示时,按 Y 键进行确认,然后按 Enter 键。
删除使用方 VPC 网络及其子网
控制台
在 Google Cloud 控制台中,进入 VPC 网络页面。
在名称列中,点击
vpc-consumer。点击删除 VPC 网络。
在删除网络对话框中,点击删除。
删除 VPC 时,其子网也会被删除。
gcloud
如需删除
vpc-consumerVPC 网络的子网,请运行以下命令:gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \ --region=us-central1
出现提示时,按 Y 键进行确认,然后按 Enter 键。
如需删除
vpc-consumerVPC 网络,请运行以下命令:gcloud compute networks delete vpc-consumer
出现提示时,按 Y 键进行确认,然后按 Enter 键。
删除提供方 VPC 网络及其子网
控制台
在 Google Cloud 控制台中,进入 VPC 网络页面。
在名称列中,点击
vpc-producer。点击删除 VPC 网络。
在删除网络对话框中,点击删除。
删除 VPC 时,其子网也会被删除。
gcloud
如需删除
vpc-producerVPC 网络的子网,请运行以下命令:gcloud compute networks subnets delete subnet-vpc-producer \ --region=us-central1
出现提示时,按 Y 键进行确认,然后按 Enter 键。
如需删除
vpc-producerVPC 网络,请运行以下命令:gcloud compute networks delete vpc-producer
出现提示时,按 Y 键进行确认,然后按 Enter 键。
后续步骤
- 如需了解防火墙政策的概念性信息,请参阅防火墙政策。
- 如需了解防火墙政策规则的概念信息,请参阅防火墙政策规则。
- 如需创建、更新、监控和删除 VPC 防火墙规则,请参阅使用 VPC 防火墙规则。
- 如需确定费用,请参阅 Cloud NGFW 价格。