Globale Netzwerk-Firewallrichtlinie konfigurieren, um ausgehende Verbindungen zu bestimmten Standorten zu verweigern

In dieser Anleitung wird beschrieben, wie Sie eine globale Firewallrichtlinie für das Netzwerk erstellen und konfigurieren, um ausgehenden Traffic zu bestimmten geografischen Standorten in Ihrem Netzwerk zu blockieren. Es wird ein Beispiel für das Erstellen eines VPC-Netzwerks (Virtual Private Cloud) mit zwei Subnetzen, das Einrichten einer Firewallrichtlinie mit Firewallregeln zur Standortbestimmung und das Testen der Firewallregeln beschrieben.

Ziele

In diesem Anleitung werden die folgenden Aufgaben erläutert:

  • Benutzerdefiniertes VPC-Netzwerk mit zwei Subnetzen in verschiedenen Regionen erstellen.
  • Erstellen einer VM-Instanz in jeder der folgenden Regionen: USA und Singapur.
  • Erstellen eines Cloud Routers und eines Cloud NAT-Gateways, damit die US-VM auf das öffentliche Internet zugreifen kann.
  • Erstellen einer globalen Netzwerk-Firewallrichtlinie und hinzufügen einer Firewallregel, um Identity-Aware Proxy (IAP) zu aktivieren.
  • Installieren des Apache-Servers auf der Singapur-VM.
  • Hinzufügen einer Firewallregel, um Traffic zu bestimmten Standorten zu blockieren.
  • Test der Firewallregel für die Standortbestimmung.

Das folgende Diagramm zeigt den Traffic zwischen VMs in den Regionen us-central1 und asia-southeast1 innerhalb eines benutzerdefinierten VPC-Netzwerks. Eine globale Netzwerk-Firewallrichtlinie blockiert ausgehenden Traffic zu einem bestimmten Standort. Die VM in der Region us-central1 verwendet Cloud Router und eine Cloud NAT für den Internetzugriff ohne Verwendung einer externen IP-Adresse. Die VM in der Region us-central1 verwendet die externe IP-Adresse der VM in der Region asia-southeast1, um die Firewallregel zu testen.

Eine globale Netzwerk-Firewallrichtlinie, die ausgehenden Traffic von einem Subnetz zu einem bestimmten Standort blockiert.
Eine globale Firewallrichtlinie, die ausgehenden Traffic von einem Subnetz zu einem bestimmten Standort blockiert (zum Vergrößern klicken).

Vorbereitung

  • Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  • Make sure that billing is enabled for your Google Cloud project.

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  • Make sure that billing is enabled for your Google Cloud project.

  • Prüfen Sie, ob Sie die Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin) haben.

  • Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Enable the APIs

  • Wenn Sie lieber mit der Befehlszeile arbeiten möchten, installieren Sie das Google Cloud CLI. Informationen zum Konzept und zur Installation des Tools finden Sie in der gcloud-CLI-Übersicht.

    Hinweis: Wenn Sie die Google Cloud CLI noch nicht ausgeführt haben, initialisieren Sie Ihr gcloud CLI-Verzeichnis mit dem gcloud init-Befehl.

Benutzerdefiniertes VPC-Netzwerk mit Subnetzen erstellen

VPC-Netzwerk im benutzerdefinierten Modus mit zwei IPv4-Subnetzen erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf VPC-Netzwerk erstellen.

  3. Geben Sie für Name vpc-geo-location ein.

  4. Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.

  5. Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:

    • Name: subnet-1-us
    • Region: us-central1
    • IPv4-Bereich: 10.0.0.0/24

  6. Klicken Sie auf Fertig.

  7. Klicken Sie auf Subnetz hinzufügen und geben Sie folgende Konfigurationsparameter an:

    • Name: subnet-2-sg
    • Region: asia-southeast1
    • IPv4-Bereich: 192.168.200.0/24

  8. Klicken Sie auf Fertig.

  9. Klicken Sie auf Erstellen.

gcloud

  1. Klicken Sie auf Cloud Shell aktivieren, um das Terminal zu öffnen.

  2. Führen Sie den folgenden Befehl aus, um ein VPC-Netzwerk zu erstellen:

    gcloud compute networks create vpc-geo-location \
  --subnet-mode=custom

  3. Klicken Sie im Dialogfeld Cloud Shell autorisieren auf Autorisieren.

  4. Führen Sie folgenden Befehl aus, um ein Subnetz zu erstellen:

    gcloud compute networks subnets create subnet-1-us \
  --network=vpc-geo-location \
  --region=us-central1 \
  --range=10.0.0.0/24

  5. Führen Sie folgenden Befehl aus, um ein weiteres Subnetz zu erstellen:

    gcloud compute networks subnets create subnet-2-sg \
  --network=vpc-geo-location \
  --region=asia-southeast1 \
  --range=192.168.200.0/24

VMs erstellen

In diesem Abschnitt erstellen Sie zwei VMs in den Subnetzen, die Sie im vorherigen Abschnitt konfiguriert haben.

Erstellen Sie eine VM in der Region us-central1.

Erstellen Sie eine VM in der Region us-central1 ohne externe IP-Adresse.

Console

So erstellen Sie eine VM in der Region us-central1:

  1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

    Zur Seite „Instanz erstellen“

  2. Geben Sie für Name instance-1-us ein.

  3. Wählen Sie bei Region die Option us-central1 (Iowa) aus.

  4. Maximieren Sie Erweiterte Optionen und dann Netzwerk.

  5. Maximieren Sie im Abschnitt Netzwerkschnittstellen den Bereich Standard und geben Sie folgende Konfigurationsparameter an:

    • Netz: vpc-geo-location
    • Subnetzwerk: subnet-1-us IPv4 (10.0.0.0/24)
    • Externe IPv4-Adresse:

  6. Klicken Sie auf Fertig.

  7. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um eine VM in der Region us-central1 zu erstellen:

gcloud compute instances create instance-1-us \
     --network=vpc-geo-location \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-1-us

Erstellen Sie eine VM in der Region asia-southeast1.

Console

So erstellen Sie eine VM in der Region asia-southeast1:

  1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

    Zur Seite „Instanz erstellen“

  2. Geben Sie für Name instance-2-sg ein.

  3. Wählen Sie für Region die Option asia-southeast1 (Singapore) aus.

  4. Maximieren Sie Erweiterte Optionen und dann Netzwerk.

  5. Maximieren Sie im Bereich Netzwerkschnittstellen den Bereich Standard und geben Sie folgende Konfigurationsparameter an:

    • Netz: vpc-geo-location
    • Subnetzwerk: subnet-2-sg IPv4 (192.168.200.0/24)

  6. Klicken Sie auf Fertig.

  7. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um eine VM in der Region asia-southeast1 zu erstellen:

gcloud compute instances create instance-2-sg \
    --network=vpc-geo-location \
    --zone=asia-southeast1-b \
    --subnet=subnet-2-sg \
    --stack-type=IPV4_ONLY

Cloud Router und Cloud NAT-Gateway erstellen

Im vorherigen Abschnitt haben Sie zwei VMs erstellt: instance-1-us und asia-southeast1. Damit instance-1-us-VMs auf das öffentliche Internet zugreifen können, erstellen Sie einen Cloud Router und ein Cloud NAT-Gateway.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

  3. Geben Sie als Gatewayname nat-gateway ein.

  4. Wählen Sie als NAT-Typ Öffentlich aus.

  5. Geben Sie im Bereich Cloud Router wählen folgende Konfigurationsparameter an:

    • Netz: vpc-geo-location
    • Region: us-central1
    • Cloud Router: Neuen Router erstellen
      1. Geben Sie für Name router-fw-rules ein.
      2. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Erstellen.

  7. Rufen Sie in der Google Cloud Console die Seite IP-Adressen auf.

    "IP-Adressen" aufrufen

  8. Klicken Sie auf den Tab Externe IP-Adressen und kopieren Sie die IP-Adresse Ihrer Cloud NAT (nat-auto-ip). Diese IP-Adresse wird verwendet, wenn Sie die Verbindung zwischen der instance-1-us-VM und der instance-2-sg-VM validieren.

gcloud

  1. Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:

    gcloud compute routers create router-fw-rules \
  --network=vpc-geo-location \
  --region=us-central1

  2. Führen Sie folgenden Befehl aus, um ein Cloud NAT-Gateway zu erstellen:

    gcloud compute routers nats create nat-gateway \
  --router=router-fw-rules \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

  3. Führen Sie den folgenden Befehl aus, um die Cloud NAT-IP-Adresse aufzurufen:

    gcloud compute routers get-nat-ip-info \
  router-fw-rules \
  --region=us-central1

    Denken Sie daran, die IP-Adresse Ihrer Cloud NAT (natIp) zu kopieren. Diese IP-Adresse wird verwendet, wenn Sie die Verbindung zwischen der instance-1-us-VM und der instance-2-sg-VM prüfen.

Globale Netzwerk-Firewallrichtlinie erstellen, um IAP zu aktivieren

In diesem Abschnitt erstellen Sie eine globale Netzwerk-Firewallrichtlinie und fügen eine Firewallregel hinzu, um IAP zu aktivieren. IAP ermöglicht Administratorzugriff auf die VM-Instanzen.

Die Firewallregel hat die folgenden Eigenschaften.

  • Eingehender Traffic aus dem IP-Bereich 35.235.240.0/20. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.

  • Eine Verbindung zu allen Ports, die über die IAP-TCP-Weiterleitung zugänglich sein sollen, z. B. Port 22 für SSH.

Console

So gewähren Sie IAP-Zugriff auf alle VM-Instanzen im vpc-geo-location-Netzwerk:

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie auf Firewallrichtlinie erstellen.

  3. Geben Sie im Abschnitt Richtlinie konfigurieren unter Richtlinienname fw-policy ein.

  4. Wählen Sie unter Bereitstellungsbereich Global aus und klicken Sie auf Weiter.

  5. Klicken Sie im Abschnitt Regeln hinzufügen auf Regel hinzufügen, um Regeln für die Richtlinie zu erstellen.

    1. Geben Sie 100 als Priorität ein.
    2. Wählen Sie für Traffic-Richtung die Option Eingehend aus.
    3. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
    4. Wählen Sie für Logs Ein aus.
    5. Wählen Sie im Abschnitt Ziel als Zieltyp Alle Instanzen im Netzwerk aus.
    6. Geben Sie im Abschnitt Quelle unter IP-Bereiche 35.235.240.0/20 ein.
    7. Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.
    8. Markieren Sie das Kästchen TCP und geben Sie unter TCP 22 ein.
    9. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Weiter.

  7. Wenn Sie ein VPC-Netzwerk mit der Richtlinie verknüpfen möchten, klicken Sie im Bereich Richtlinie mit VPC-Netzwerken verknüpfen auf Verknüpfen.

  8. Markieren Sie das Kästchen vpc-geo-location und klicken Sie dann auf Verknüpfen.

  9. Klicken Sie auf Weiter.

  10. Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um IAP-Zugriff auf alle VM-Instanzen im vpc-geo-location-Netzwerk zuzulassen:

  1. Führen Sie folgenden Befehl aus, um eine Firewallrichtlinie zu erstellen:

    gcloud compute network-firewall-policies create fw-policy \
    --global

  2. Führen Sie folgenden Befehl aus, um eine Firewallregel zu erstellen, die Traffic an alle Ziele zulässt und Logs aktiviert:

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy \
    --enable-logging

  3. Führen Sie folgenden Befehl aus, um die Firewallrichtlinie mit dem VPC-Netzwerk zu verknüpfen:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy \
    --network=vpc-geo-location \
    --name=pol-association-fw-rules \
    --global-firewall-policy

Firewallregel erstellen

In diesem Abschnitt erstellen Sie eine Firewallregel, um eingehende Verbindungen auf der instance-2-sg-VM zuzulassen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf fw-policy.

  3. Klicken Sie auf Regel erstellen.

  4. Geben Sie 500 als Priorität ein.

  5. Wählen Sie für Traffic-Richtung die Option Eingehend aus.

  6. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.

  7. Wählen Sie für Logs Ein aus.

  8. Wählen Sie im Abschnitt Ziel als Zieltyp Alle Instanzen im Netzwerk aus.

  9. Geben Sie im Abschnitt Quelle unter IP-Bereiche NAT_IP_ADDRESS ein.

    Ersetzen Sie NAT_IP_ADDRESS durch die IP-Adresse, die Ihrem Cloud NAT zugewiesen ist. Weitere Informationen finden Sie unter Cloud Router und Cloud NAT-Gateway erstellen.

  10. Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um die Firewallrichtlinie zu aktualisieren:

gcloud compute network-firewall-policies rules create 500 \
    --firewall-policy=fw-policy \
    --direction=INGRESS \
    --action=ALLOW \
    --src-ip-ranges=NAT_IP_ADDRESS \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Ersetzen Sie NAT_IP_ADDRESS durch die IP-Adresse, die Ihrem Cloud NAT zugewiesen ist. Weitere Informationen finden Sie unter Cloud Router und Cloud NAT-Gateway erstellen.

Apache-Server installieren

In diesem Abschnitt installieren Sie den Apache-Server auf der instance-2-sg-VM.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Klicken Sie in der Spalte Verbinden der instance-2-sg-VM auf SSH.

  3. Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.

  4. Führen Sie den folgenden Befehl aus, um die Paketlisten auf Ihrer Instanz zu aktualisieren:

    sudo apt-get update

    Wenn der Vorgang abgeschlossen ist, wird die folgende Meldung generiert:

    Reading package lists... Done.

  5. Führen Sie im Eingabeprompt folgenden Befehl aus, um das apache2 HTTP Server-Paket zu installieren:

    sudo apt-get install apache2 php7.0

    Während der Prozess läuft, wird die folgende Meldung generiert:

    After this operation, 56.0 MB of additional disk space will be used. Do you want to continue? [Y/n]

    Drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  6. Führen Sie folgenden Befehl aus, um die Standardwebseite des Apache-Webservers zu überschreiben:

    echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

  7. Schließen Sie das Dialogfeld SSH im Browser.

gcloud

  1. Führen Sie den folgenden Befehl aus, um eine SSH-Verbindung zur instance-2-sg-VM herzustellen:

    gcloud compute ssh instance-2-sg \
    --zone=asia-southeast1-b \
    --tunnel-through-iap

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie den folgenden Befehl aus, um die Paketlisten auf Ihrer Instanz zu aktualisieren:

    sudo apt-get update

    Wenn der Vorgang abgeschlossen ist, wird die folgende Meldung generiert:

    Reading package lists... Done.

  3. Führen Sie im Eingabeprompt folgenden Befehl aus, um das apache2 HTTP Server-Paket zu installieren:

    sudo apt-get install apache2 php7.0

    Während der Prozess läuft, wird die folgende Meldung generiert:

    After this operation, 56.0 MB of additional disk space will be used. Do you want to continue? [Y/n]

    Drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  4. Führen Sie folgenden Befehl aus, um die Standardwebseite des Apache-Webservers zu überschreiben:

    echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

  5. Geben Sie exit ein, um den SSH-in-Browser zu schließen.

Verbindung validieren

Nach der Installation des Apache-Servers auf der instance-2-sg-VM, stellen Sie eine Verbindung zur instance-1-us-VM aus der instance-2-sg-VM mit der externen IP-Adresse der instance-2-sg-VM her.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Kopieren Sie in der Spalte Externe IP-Adresse der instance-2-sg-VM die externe IP-Adresse der VM.

  3. Klicken Sie in der Spalte Verbinden der instance-1-us-VM auf SSH.

  4. Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.

  5. Führen Sie folgenden Befehl aus, um die Verbindung zu prüfen:

    curl EXTERNAL_IP -m 2

    Ersetzen Sie EXTERNAL_IP durch die IP-Adresse der instance-2-sg-VM.

    Die erwartete Antwort lautet:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Schließen Sie das Dialogfeld SSH im Browser.

gcloud

  1. Führen Sie den folgenden Befehl aus, um die externe IP-Adresse der instance-2-sg-VM aufzurufen:

    gcloud compute instances describe instance-2-sg \
    --zone=asia-southeast1-b \
    --format='get(networkInterfaces[0].accessConfigs[0].natIP)'

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste. Notieren Sie sich die externe IP-Adresse der instance-2-sg-VM.

  2. Führen Sie den folgenden Befehl aus, um über SSH eine Verbindung zur instance-1-us-VM herzustellen:

    gcloud compute ssh instance-1-us \
    --zone=us-central1-a \
    --tunnel-through-iap

  3. Führen Sie folgenden Befehl aus, um die Verbindung zu prüfen:

      curl EXTERNAL_IP -m 2

    Ersetzen Sie EXTERNAL_IP durch die IP-Adresse der instance-2-sg-VM.

    Die erwartete Antwort lautet:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. Geben Sie exit ein, um den SSH-in-Browser zu schließen.

Hinzufügen einer Firewallregel, um Traffic zu bestimmten Standorten zu blockieren

In diesem Abschnitt fügen Sie eine Firewallregel für die VPC vpc-geo-location hinzu, um ausgehenden Traffic nach Italien, Polen und Singapur zu blockieren.

Console

So fügen Sie der fw-policy, die Sie im Abschnitt Globale Netzwerk-Firewallrichtlinie erstellen erstellt haben, eine neue Regel hinzu:

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf fw-policy.

  3. Klicken Sie auf Regel erstellen.

  4. Geben Sie 200 als Priorität ein.

  5. Wählen Sie unter Traffic-Richtung Ausgehend aus.

  6. Wählen Sie unter Aktion bei Übereinstimmung die Option Ablehnen aus.

  7. Wählen Sie für Logs Ein aus.

  8. Wählen Sie im Abschnitt Ziel für Standorte die Option Singapur (SG), Polen (PL) und Italien (IT) aus.

  9. Klicken Sie auf OK.

  10. Klicken Sie auf Erstellen.

gcloud

Wenn Sie der fw-policy, die Sie im Abschnitt Globale Netzwerk-Firewallrichtlinie erstellen erstellt haben, eine neue Regel hinzufügen möchten, führen Sie den folgenden Befehl aus:

gcloud compute network-firewall-policies rules create 200 \
    --firewall-policy=fw-policy \
    --direction=EGRESS \
    --action=DENY \
    --dest-region-codes=SG,PL,IT \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Geolocation-Firewallregel testen

Console

Nachdem Sie die Regel zum Blockieren von ausgehendem Traffic nach Singapur (SG), Polen (PL) und Italien (IT) hinzugefügt haben, führen Sie die folgenden Schritte aus, um die Regel zu testen:

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Kopieren Sie in der Spalte Externe IP-Adresse der instance-2-sg-VM die externe IP-Adresse der VM.

  3. Klicken Sie in der Spalte Verbinden der instance-1-us-VM auf SSH.

  4. Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.

  5. Führen Sie den folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic zur instance-2-sg-VM blockiert wird:

    curl EXTERNAL_IP -m 2

    Ersetzen Sie EXTERNAL_IP durch die IP-Adresse der instance-2-sg-VM.

    Die Connection timed out-Nachricht wird erwartet, da Sie eine Firewallregel erstellt haben, um externen Traffic von der US-VM an die Singapur-VM zu verweigern.

  6. Führen Sie folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic nach Polen blockiert wird:

      curl  `https://www.gov.pl` -m 2

    Die Meldung Connection timed out wird erwartet, da Sie eine Firewallregel erstellt haben, um externen Traffic auf die polnische Website abzulehnen.

  7. Führen Sie folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic nach Italien blockiert wird:

      curl  `https://www.esteri.it/it/` -m 2

    Die Meldung Connection timed out wird erwartet, da Sie eine Firewallregel erstellt haben, um externen Traffic auf die italienische Website abzulehnen.

  8. Schließen Sie das Dialogfeld SSH im Browser.

gcloud

Nachdem Sie die Regel zum Blockieren des ausgehenden Traffics nach Singapur (SG), Polen (PL) und Italien (IT) hinzugefügt haben, führen Sie den folgenden Befehl aus, um die Regel zu testen:

  1. Führen Sie den folgenden Befehl aus, um die externe IP-Adresse der instance-2-sg-VM aufzurufen:

    gcloud compute instances describe instance-2-sg \
   --format='get(networkInterfaces[0].accessConfigs[0].natIP)'

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste. Notieren Sie sich die externe IP-Adresse der instance-2-sg-VM.

  2. Führen Sie den folgenden Befehl aus, um über SSH eine Verbindung zur instance-1-us-VM herzustellen:

    gcloud compute ssh instance-1-us \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Führen Sie folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic nach Singapur blockiert ist:

    curl EXTERNAL_IP -m 2

    Ersetzen Sie EXTERNAL_IP durch die IP-Adresse der instance-2-sg-VM.

    Die Connection timed out-Nachricht wird erwartet, da Sie eine Firewallregel erstellt haben, um externen Traffic von der US-VM an die Singapur-VM zu verweigern.

  4. Führen Sie folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic nach Polen blockiert wird:

    curl https://www.gov.pl -m 2

    Die Meldung Connection timed out wird erwartet, da Sie eine Firewallregel erstellt haben, um externen Traffic von der polnischen Website abzulehnen.

  5. Führen Sie folgenden Befehl aus, um zu prüfen, ob der ausgehende Traffic nach Italien blockiert wird:

    curl  https://www.esteri.it/it/ -m 2

    Die Meldung Connection timed out wird erwartet, da Sie eine Firewallregel erstellt haben, um externen Traffic auf die italienische Website abzulehnen.

  6. Geben Sie exit ein, um das Dialogfeld SSH im Browser zu schließen.

Logs ansehen

Sie können anhand der Logs prüfen, ob die Firewallregeln auf den ausgehenden Traffic angewandt wurden. Rufen Sie das Protokoll mit den folgenden Schritten auf:

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf den Namen fw-policy.

  3. Klicken Sie auf Spaltenanzeigeoptionen.

  4. Wählen Sie im Dialogfeld Angezeigte Spalten die Option Trefferanzahl aus und klicken Sie dann auf OK.

  5. Wählen Sie in der Spalte Trefferzahl die Nummer für die Regel aus, die Sie beim Erstellen einer globalen Netzwerk-Firewallrichtlinie erstellt haben. Die Seite Log-Explorer wird geöffnet.

  6. Wenn Sie die auf den ausgehenden Traffic angewendete Firewallregel aufrufen möchten, maximieren Sie das relevante Log. Sie können Verbindung, Anordnung und Remote-Standort aufrufen.

Bereinigen

Damit Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.

In diesem Abschnitt löschen Sie die in dieser Anleitung erstellten Ressourcen.

Firewallrichtlinie löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Bereich Netzwerk-Firewallrichtlinien auf den Namen fw-policy.

  3. Klicken Sie auf den Tab Verknüpfungen.

  4. Markieren Sie das Kästchen vpc-geo-location und klicken Sie auf Verknüpfung entfernen.

  5. Klicken Sie im Dialogfeld Firewallrichtlinien-Verknüpfung entfernen auf Entfernen.

  6. Klicken Sie neben dem Titel fw-policy auf Löschen.

  7. Klicken Sie im Dialogfeld Firewallrichtlinie löschen auf Löschen.

gcloud

  1. Entfernen Sie die Verknüpfung zwischen der Firewallrichtlinie und dem VPC-Netzwerk.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-fw-rules \
  --firewall-policy=fw-policy \
  --global-firewall-policy

  2. Löschen Sie die Firewallrichtlinie.

    gcloud compute network-firewall-policies delete fw-policy \
    --global

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

VMs löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Markieren Sie die Kästchen für die instance-1-us- und instance-2-sg-VMs an.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im Dialogfeld Möchten Sie 2 Instanzen löschen? auf Löschen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um die instance-1-us-VM zu löschen:

    gcloud compute instances delete instance-1-us \
    --zone=us-central1-a

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie den folgenden Befehl aus, um die instance-2-sg-VM zu löschen:

    gcloud compute instances delete instance-2-sg \
    --zone=asia-southeast1-b

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Cloud NAT-Gateway und Cloud Router löschen

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud Routers.

    Zu "Cloud Router"

  2. Markieren Sie das router-fw-rules-Kästchen.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im Dialogfeld router-fw-rules löschen auf Löschen.

Wenn Sie einen Cloud Router löschen, wird auch das zugehörige Cloud NAT-Gateway gelöscht.

gcloud

Führen Sie den folgenden Befehl aus, um den Cloud Router router-fw-rules zu löschen:

gcloud compute routers delete router-fw-rules \
    --region=us-central1

Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Wenn Sie einen Cloud Router löschen, wird auch das zugehörige Cloud NAT-Gateway gelöscht.

VPC-Netzwerk und dessen Subnetze löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie in der Spalte Name auf vpc-geo-location.

  3. Klicken Sie auf VPC-Netzwerk löschen.

  4. Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.

Wenn Sie eine VPC löschen, werden auch deren Subnetze gelöscht.

gcloud

  1. Führen Sie folgenden Befehl aus, um das Subnetz subnet-1-us des VPC-Netzwerks vpc-geo-location zu löschen:

    gcloud compute networks subnets delete subnet-1-us \
    --region=us-central1

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie folgenden Befehl aus, um das Subnetz subnet-2-sg des VPC-Netzwerks vpc-geo-location zu löschen:

    gcloud compute networks subnets delete subnet-2-sg \
    --region=asia-southeast1

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  3. Führen Sie folgenden Befehl aus, um das VPC-Netzwerk vpc-geo-location zu löschen:

    gcloud compute networks delete vpc-geo-location

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Nächste Schritte