Configurar una política de cortafuegos de red global para denegar conexiones de salida a geolocalizaciones específicas

En este tutorial se describe cómo crear y configurar una política de firewall de red global para bloquear el tráfico de salida a geolocalizaciones específicas de tu red. En él se explica cómo crear una red de nube privada virtual (VPC) con dos subredes, configurar una política de cortafuegos con reglas de cortafuegos de geolocalización y, a continuación, probar las reglas de cortafuegos.

Objetivos

En este tutorial se explica cómo completar las siguientes tareas:

  • Crea una red de VPC personalizada con dos subredes en regiones diferentes.
  • Crea una instancia de máquina virtual en cada una de las siguientes regiones: EE. UU. y Singapur.
  • Crea un router de Cloud Router y una pasarela de Cloud NAT para permitir que la VM de EE. UU. acceda a Internet.
  • Crea una política de cortafuegos de red global y añade una regla de cortafuegos para habilitar Identity-Aware Proxy (IAP).
  • Instala el servidor Apache en la VM de Singapur.
  • Añade una regla de cortafuegos para bloquear el tráfico a geolocalizaciones específicas.
  • Prueba la regla de cortafuegos de geolocalización.

En el siguiente diagrama se muestra el tráfico entre máquinas virtuales de las regiones us-central1 y asia-southeast1 de una red de VPC personalizada. Una política de cortafuegos de red global bloquea el tráfico de salida a una geolocalización específica. La VM de la región us-central1 usa Cloud Router y Cloud NAT para acceder a Internet sin usar una dirección IP externa. La VM de la región us-central1 usa la dirección IP externa de la VM de la región asia-southeast1 para probar la regla de firewall.

Una política de cortafuegos de red global que bloquea el tráfico de salida de una subred a una geolocalización específica.
Una política de cortafuegos de red global que bloquea el tráfico de salida de una subred a una geolocalización específica (haz clic en la imagen para ampliarla).

Antes de empezar

  • Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  • Verify that billing is enabled for your Google Cloud project.

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  • Verify that billing is enabled for your Google Cloud project.

  • Asegúrate de que tienes el rol Administrador de red de Compute (roles/compute.networkAdmin).

  • Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  • Si prefieres trabajar desde la línea de comandos, instala Google Cloud CLI. Para obtener información conceptual y sobre la instalación de la herramienta, consulta el artículo Información general sobre la herramienta de línea de comandos gcloud.

    Nota: Si no has ejecutado la CLI de Google Cloud anteriormente, inicializa tu directorio de la CLI de gcloud ejecutando el comando gcloud init.

Crear una red VPC personalizada con subredes

Crea una red de VPC de modo personalizado con dos subredes IPv4.

Consola

  1. En la Google Cloud consola, ve a la página Redes de VPC.

    Ir a redes de VPC

  2. Haz clic en Crear red VPC.

  3. En Nombre, escribe vpc-geo-location.

  4. En Modo de creación de subred, selecciona Personalizado.

  5. En la sección Nueva subred, especifique los siguientes parámetros de configuración de una subred:

    • Nombre: subnet-1-us
    • Región: us-central1
    • Intervalo de IPv4: 10.0.0.0/24

  6. Haz clic en Listo.

  7. Haz clic en Añadir subred y especifica los siguientes parámetros de configuración:

    • Nombre: subnet-2-sg
    • Región: asia-southeast1
    • Intervalo de IPv4: 192.168.200.0/24

  8. Haz clic en Listo.

  9. Haz clic en Crear.

gcloud

  1. Para abrir el terminal, haz clic en Activar Cloud Shell.

  2. Para crear una red de VPC, ejecuta el siguiente comando:

    gcloud compute networks create vpc-geo-location \
  --subnet-mode=custom

  3. En el cuadro de diálogo Autorizar Cloud Shell, haz clic en Autorizar.

  4. Para crear una subred, ejecuta el siguiente comando:

    gcloud compute networks subnets create subnet-1-us \
  --network=vpc-geo-location \
  --region=us-central1 \
  --range=10.0.0.0/24

  5. Para crear otra subred, ejecuta el siguiente comando:

    gcloud compute networks subnets create subnet-2-sg \
  --network=vpc-geo-location \
  --region=asia-southeast1 \
  --range=192.168.200.0/24

Crear VMs

En esta sección, creará dos VMs en las subredes que ha configurado en la sección anterior.

Crea una VM en la región us-central1

Crea una VM en la región us-central1 sin una dirección IP externa.

Consola

Para crear una VM en la región us-central1, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Crear una instancia.

    Ir a Crear una instancia

  2. En el panel Configuración de la máquina, haz lo siguiente:

    1. En Nombre, escribe instance-1-us.
    2. En Región, selecciona us-central1 (Iowa).

  3. En el menú de navegación, haga clic en Redes.

    1. En la sección Interfaces de red, haga clic en default y especifique los siguientes parámetros de configuración:
      • Red: vpc-geo-location
      • Subred: subnet-1-us IPv4 (10.0.0.0/24)
      • Dirección IPv4 externa: Ninguna
    2. Haz clic en Listo.

  4. Haz clic en Crear.

gcloud

Para crear una VM en la región us-central1, ejecuta el siguiente comando:

gcloud compute instances create instance-1-us \
     --network=vpc-geo-location \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-1-us

Crea una VM en la región asia-southeast1

Consola

Para crear una VM en la región asia-southeast1, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Crear una instancia.

    Ir a Crear una instancia

  2. En el panel Configuración de la máquina, haz lo siguiente:

    1. En Nombre, escribe instance-2-sg.
    2. En Región, selecciona asia-southeast1 (Singapore).

  3. En el menú de navegación, haga clic en Redes.

    1. En la sección Interfaces de red, haga clic en default y especifique los siguientes parámetros de configuración:
      • Red: vpc-geo-location
      • Subred: subnet-2-sg IPv4 (192.168.200.0/24)
      • Dirección IPv4 externa: Ninguna
    2. Haz clic en Listo.

  4. Haz clic en Crear.

gcloud

Para crear una VM en la región asia-southeast1, ejecuta el siguiente comando:

gcloud compute instances create instance-2-sg \
    --network=vpc-geo-location \
    --zone=asia-southeast1-b \
    --subnet=subnet-2-sg \
    --stack-type=IPV4_ONLY

Crear un router de Cloud Router y una pasarela de Cloud NAT

En la sección anterior, has creado dos VMs: instance-1-us y asia-southeast1. Para permitir que las VMs instance-1-us accedan a Internet público, crea un Cloud Router y una pasarela de Cloud NAT.

Consola

  1. En la Google Cloud consola, ve a la página Cloud NAT.

    Ir a Cloud NAT

  2. Haz clic en Empezar o en Crear pasarela de Cloud NAT.

  3. En Nombre de la pasarela, introduce nat-gateway.

  4. En Tipo de NAT, selecciona Público.

  5. En la sección Select Cloud Router (Seleccionar Cloud Router), especifique los siguientes parámetros de configuración:

    • Red: vpc-geo-location
    • Región: us-central1
    • Cloud Router: Crear router.
      1. En Nombre, escribe router-fw-rules.
      2. Haz clic en Crear.

  6. Haz clic en Crear.

  7. En la Google Cloud consola, ve a la página Direcciones IP.

    Ir a direcciones IP

  8. Haz clic en la pestaña Direcciones IP externas y, a continuación, copia la dirección IP de tu Cloud NAT (nat-auto-ip). Esta dirección IP se usa cuando validas la conexión entre la VM instance-1-us y la VM instance-2-sg.

gcloud

  1. Para crear un Cloud Router, ejecuta el siguiente comando:

    gcloud compute routers create router-fw-rules \
  --network=vpc-geo-location \
  --region=us-central1

  2. Para crear una pasarela Cloud NAT, ejecuta el siguiente comando:

    gcloud compute routers nats create nat-gateway \
  --router=router-fw-rules \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

  3. Para ver la dirección IP de Cloud NAT, ejecuta el siguiente comando:

    gcloud compute routers get-nat-ip-info \
  router-fw-rules \
  --region=us-central1

    Recuerda copiar la dirección IP de tu Cloud NAT (natIp). Esta dirección IP se usa cuando validas la conexión entre la VM instance-1-us y la VM instance-2-sg.

Crear una política de cortafuegos de red global para habilitar IAP

En esta sección, creará una política de cortafuegos de red global y añadirá una regla de cortafuegos para habilitar IAP. IAP permite el acceso administrativo a las instancias de VM.

La regla de firewall incluye las siguientes características:

  • Tráfico de entrada del intervalo de IPs 35.235.240.0/20. Este intervalo contiene todas las direcciones IP que usa IAP para el reenvío de TCP.

  • Una conexión a todos los puertos a los que quieras acceder mediante el reenvío de TCP de IAP. Por ejemplo, el puerto 22 para SSH.

Consola

Para permitir que IAP acceda a todas las instancias de VM de la red vpc-geo-location, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. Haz clic en Crear política de cortafuegos.

  3. En la sección Configurar política, en Nombre de la política, introduce fw-policy.

  4. En Ámbito de implementación, selecciona Global y haz clic en Continuar.

  5. Para crear reglas para su política, en la sección Añadir reglas, haga clic en Añadir regla.

    1. En Prioridad, introduce 100.
    2. En Dirección del tráfico, selecciona Entrada.
    3. En Acción tras coincidencia, selecciona Permitir.
    4. En Registros, selecciona Activado.
    5. En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.
    6. En la sección Origen, en Intervalos de IPs, introduzca 35.235.240.0/20.
    7. En la sección Protocolo y puertos, selecciona Protocolos y puertos especificados.
    8. Marca la casilla TCP y, en Puertos, introduce 22.
    9. Haz clic en Crear.

  6. Haz clic en Continuar.

  7. Para asociar una red de VPC a la política, en la sección Asociar política a redes de VPC, haga clic en Asociar.

  8. Marca la casilla de vpc-geo-location y haz clic en Asociar.

  9. Haz clic en Continuar.

  10. Haz clic en Crear.

gcloud

Para permitir el acceso de IAP a todas las instancias de VM de la red vpc-geo-location, ejecuta el siguiente comando:

  1. Para crear una política de cortafuegos, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies create fw-policy \
    --global

  2. Para crear una regla de cortafuegos que permita el tráfico a todos los destinos y habilite los registros, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy \
    --enable-logging

  3. Para asociar la política de cortafuegos con la red de VPC, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy \
    --network=vpc-geo-location \
    --name=pol-association-fw-rules \
    --global-firewall-policy

Crear una regla de cortafuegos

En esta sección, creará una regla de cortafuegos para permitir la conexión de entrada en la VM instance-2-sg.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la sección Políticas de cortafuegos de red, haga clic en fw-policy.

  3. Haz clic en Crear regla.

  4. En Prioridad, introduce 500.

  5. En Dirección del tráfico, selecciona Entrada.

  6. En Acción tras coincidencia, selecciona Permitir.

  7. En Registros, selecciona Activado.

  8. En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.

  9. En la sección Origen, en Intervalos de IPs, introduzca NAT_IP_ADDRESS.

    Sustituye NAT_IP_ADDRESS por la dirección IP asignada a tu Cloud NAT. Para obtener más información, consulta Crear un Cloud Router y una pasarela Cloud NAT.

  10. Haz clic en Crear.

gcloud

Para actualizar la política de cortafuegos, ejecuta el siguiente comando:

gcloud compute network-firewall-policies rules create 500 \
    --firewall-policy=fw-policy \
    --direction=INGRESS \
    --action=ALLOW \
    --src-ip-ranges=NAT_IP_ADDRESS \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Sustituye NAT_IP_ADDRESS por la dirección IP asignada a tu Cloud NAT. Para obtener más información, consulta Crear un Cloud Router y una pasarela Cloud NAT.

Instalar el servidor Apache

En esta sección, instalarás el servidor Apache en la VM instance-2-sg.

Consola

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. En la columna Conectar de la máquina virtual instance-2-sg, haz clic en SSH.

  3. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

  4. Para actualizar las listas de paquetes de tu instancia, ejecuta el siguiente comando:

    sudo apt-get update

    Cuando finalice el proceso, se generará el siguiente mensaje:

    Reading package lists... Done.

  5. Para instalar el paquete apache2 HTTP Server, en el símbolo del sistema, ejecuta el siguiente comando:

    sudo apt-get install apache2 php7.0

    Mientras el proceso está en curso, se genera el siguiente mensaje:

    After this operation, 56.0 MB of additional disk space will be used. Do you want to continue? [Y/n]

    Pulsa Y para confirmar y, a continuación, pulsa Intro.

  6. Para sobrescribir la página web predeterminada del servidor web Apache, ejecuta el siguiente comando:

    echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

  7. Cierra el cuadro de diálogo SSH en el navegador.

gcloud

  1. Para usar SSH y conectarte a la máquina virtual instance-2-sg, ejecuta el siguiente comando:

    gcloud compute ssh instance-2-sg \
    --zone=asia-southeast1-b \
    --tunnel-through-iap

    Cuando se te pida, pulsa Y para confirmar y, a continuación, pulsa Intro.

  2. Para actualizar las listas de paquetes de tu instancia, ejecuta el siguiente comando:

    sudo apt-get update

    Cuando finalice el proceso, se generará el siguiente mensaje:

    Reading package lists... Done.

  3. Para instalar el paquete apache2 HTTP Server, en el símbolo del sistema, ejecuta el siguiente comando:

    sudo apt-get install apache2 php7.0

    Mientras el proceso está en curso, se genera el siguiente mensaje:

    After this operation, 56.0 MB of additional disk space will be used. Do you want to continue? [Y/n]

    Pulsa Y para confirmar y, a continuación, pulsa Intro.

  4. Para sobrescribir la página web predeterminada del servidor web Apache, ejecuta el siguiente comando:

    echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

  5. Para cerrar SSH en el navegador, introduce exit.

Validar la conexión

Después de instalar el servidor Apache en la VM instance-2-sg, conéctate a la VM instance-1-us desde la VM instance-2-sg mediante la dirección IP externa de la VM instance-2-sg.

Consola

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. En la columna IP externa de la VM instance-2-sg, copia la dirección IP externa de la VM.

  3. En la columna Conectar de la máquina virtual instance-1-us, haz clic en SSH.

  4. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

  5. Para verificar la conexión, ejecuta el siguiente comando:

    curl EXTERNAL_IP -m 2

    Sustituye EXTERNAL_IP por la dirección IP de la VM instance-2-sg.

    El mensaje de respuesta esperado es el siguiente:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Cierra el cuadro de diálogo SSH en el navegador.

gcloud

  1. Para ver la dirección IP externa de la máquina virtual instance-2-sg, ejecuta el siguiente comando:

    gcloud compute instances describe instance-2-sg \
    --zone=asia-southeast1-b \
    --format='get(networkInterfaces[0].accessConfigs[0].natIP)'

    Cuando se te pida, pulsa Y para confirmar y, a continuación, pulsa Intro. Anota la dirección IP externa de la instance-2-sg VM.

  2. Para usar SSH y conectarte a la máquina virtual instance-1-us, ejecuta el siguiente comando:

    gcloud compute ssh instance-1-us \
    --zone=us-central1-a \
    --tunnel-through-iap

  3. Para verificar la conexión, ejecuta el siguiente comando:

      curl EXTERNAL_IP -m 2

    Sustituye EXTERNAL_IP por la dirección IP de la VM instance-2-sg.

    El mensaje de respuesta esperado es el siguiente:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. Para cerrar SSH en el navegador, introduce exit.

Añadir una regla de cortafuegos para bloquear el tráfico a geolocalizaciones específicas

En esta sección, añade una regla de cortafuegos para la VPC vpc-geo-location para bloquear el tráfico de salida a Italia, Polonia y Singapur.

Consola

Para añadir una regla nueva al fw-policy que has creado en la sección Crear una política de cortafuegos de red global, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la sección Políticas de cortafuegos de red, haga clic en fw-policy.

  3. Haz clic en Crear regla.

  4. En Prioridad, introduce 200.

  5. En Dirección del tráfico, selecciona Salida.

  6. En Acción tras coincidencia, selecciona Denegar.

  7. En Registros, selecciona Activado.

  8. En la sección Destino, en Geolocalizaciones, selecciona Singapur (SG), Polonia (PL) e Italia (IT).

  9. Haz clic en Aceptar.

  10. Haz clic en Crear.

gcloud

Para añadir una regla nueva a la fw-policy que has creado en la sección Crear una política de cortafuegos de red global, ejecuta el siguiente comando:

gcloud compute network-firewall-policies rules create 200 \
    --firewall-policy=fw-policy \
    --direction=EGRESS \
    --action=DENY \
    --dest-region-codes=SG,PL,IT \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Probar la regla de cortafuegos de geolocalización

Consola

Después de añadir la regla para bloquear el tráfico de salida a Singapur (SG), Polonia (PL) e Italia (IT), sigue estos pasos para probarla:

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. En la columna IP externa de la VM instance-2-sg, copia la dirección IP externa de la VM.

  3. En la columna Conectar de la máquina virtual instance-1-us, haz clic en SSH.

  4. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

  5. Para verificar que el tráfico de salida a la VM instance-2-sg está bloqueado, ejecuta el siguiente comando:

    curl EXTERNAL_IP -m 2

    Sustituye EXTERNAL_IP por la dirección IP de la VM instance-2-sg.

    El mensaje Connection timed out es el esperado porque has creado una regla de firewall para denegar el tráfico externo de la VM de EE. UU. a la VM de Singapur.

  6. Para verificar que el tráfico de salida a Polonia está bloqueado, ejecuta el siguiente comando:

      curl  `https://www.gov.pl` -m 2

    El mensaje Connection timed out es el esperado porque has creado una regla de firewall para denegar el tráfico externo al sitio web de Polonia.

  7. Para verificar que el tráfico de salida a Italia está bloqueado, ejecuta el siguiente comando:

      curl  `https://www.esteri.it/it/` -m 2

    El mensaje Connection timed out es el esperado porque has creado una regla de firewall para denegar el tráfico externo al sitio web de Italia.

  8. Cierra el cuadro de diálogo SSH en el navegador.

gcloud

Una vez que hayas añadido la regla para bloquear el tráfico saliente a Singapur (SG), Polonia (PL) e Italia (IT), ejecuta el siguiente comando para probarla:

  1. Para ver la dirección IP externa de la máquina virtual instance-2-sg, ejecuta el siguiente comando:

    gcloud compute instances describe instance-2-sg \
   --format='get(networkInterfaces[0].accessConfigs[0].natIP)'

    Cuando se te pida, pulsa Y para confirmar y, a continuación, pulsa Intro. Anota la dirección IP externa de la instance-2-sgmáquina virtual.

  2. Para usar SSH y conectarte a la máquina virtual instance-1-us, ejecuta el siguiente comando:

    gcloud compute ssh instance-1-us \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Para verificar que el tráfico de salida a Singapur está bloqueado, ejecuta el siguiente comando:

    curl EXTERNAL_IP -m 2

    Sustituye EXTERNAL_IP por la dirección IP de la VM instance-2-sg.

    El mensaje Connection timed out es el esperado porque has creado una regla de firewall para denegar el tráfico externo de la VM de EE. UU. a la VM de Singapur.

  4. Para verificar que el tráfico de salida a Polonia está bloqueado, ejecuta el siguiente comando:

    curl https://www.gov.pl -m 2

    El mensaje Connection timed out es el esperado porque has creado una regla de cortafuegos para denegar el tráfico externo del sitio web de Polonia.

  5. Para verificar que el tráfico de salida a Italia está bloqueado, ejecuta el siguiente comando:

    curl  https://www.esteri.it/it/ -m 2

    El mensaje Connection timed out es el esperado porque has creado una regla de firewall para denegar el tráfico externo al sitio web de Italia.

  6. Para cerrar el cuadro de diálogo SSH en el navegador, introduce exit.

Ver los registros

Para comprobar que las reglas de cortafuegos se han aplicado al tráfico de salida, accede a los registros. Para ver los detalles del registro, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la sección Políticas de cortafuegos de red, haz clic en el nombre de la política fw-policy.

  3. Haz clic en Opciones de visualización de columnas.

  4. En el cuadro de diálogo Columnas mostradas, seleccione Número de visitas y, a continuación, haga clic en Aceptar.

  5. En la columna Recuento de aciertos, seleccione el número de la regla que ha creado durante el paso Crear una política de cortafuegos de red global. Se abrirá la página Explorador de registros.

  6. Para ver la regla de cortafuegos aplicada al tráfico saliente, despliega el registro correspondiente. Puedes ver los detalles de la conexión, la disposición y la ubicación remota.

Limpieza

Para evitar que se apliquen cargos en tu cuenta de Google Cloud por los recursos utilizados en este tutorial, elimina el proyecto que contiene los recursos o conserva el proyecto y elimina los recursos.

En esta sección, eliminarás los recursos creados en este tutorial.

Eliminar la política de cortafuegos

Consola

  1. En la Google Cloud consola, ve a la página Políticas de cortafuegos.

    Ir a Políticas de cortafuegos

  2. En la sección Políticas de cortafuegos de red, haz clic en el nombre de la política fw-policy.

  3. Haz clic en la pestaña Asociaciones.

  4. Marca la casilla de vpc-geo-location y haz clic en Retirar asociación.

  5. En el cuadro de diálogo Quitar una asociación de políticas de cortafuegos, haga clic en Quitar.

  6. Junto al título fw-policy, haz clic en Eliminar.

  7. En el cuadro de diálogo Eliminar una política de cortafuegos, haga clic en Eliminar.

gcloud

  1. Elimina la asociación entre la política de cortafuegos y la red de VPC.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-fw-rules \
  --firewall-policy=fw-policy \
  --global-firewall-policy

  2. Elimina la política de cortafuegos.

    gcloud compute network-firewall-policies delete fw-policy \
    --global

    Cuando se te pida, pulsa Y para confirmar y, a continuación, pulsa Intro.

Eliminar las VMs

Consola

  1. En la consola de Google Cloud , ve a la página Instancias de VM.

    Ir a instancias de VM

  2. Seleccione las casillas de las máquinas virtuales instance-1-us y instance-2-sg.

  3. Haz clic en Eliminar.

  4. En el cuadro de diálogo ¿Eliminar 2 instancias?, haz clic en Eliminar.

gcloud

  1. Para eliminar la máquina virtual instance-1-us, ejecuta el siguiente comando:

    gcloud compute instances delete instance-1-us \
    --zone=us-central1-a

    Cuando se te pida, pulsa Y para confirmar y, a continuación, pulsa Intro.

  2. Para eliminar la máquina virtual instance-2-sg, ejecuta el siguiente comando:

    gcloud compute instances delete instance-2-sg \
    --zone=asia-southeast1-b

    Cuando se te pida, pulsa Y para confirmar y, a continuación, pulsa Intro.

Eliminar la pasarela de Cloud NAT y Cloud Router

Consola

  1. En la Google Cloud consola, ve a la página Routers de Cloud.

    Ir a Cloud Routers

  2. Marca la casilla router-fw-rules.

  3. Haz clic en Eliminar.

  4. En el cuadro de diálogo Delete router-fw-rules (Eliminar reglas de cortafuegos del router), haz clic en Delete (Eliminar).

Cuando eliminas un Cloud Router, también se elimina la pasarela Cloud NAT asociada.

gcloud

Para eliminar el router de Cloud router-fw-rules, ejecuta el siguiente comando:

gcloud compute routers delete router-fw-rules \
    --region=us-central1

Cuando se te pida, pulsa Y para confirmar y, a continuación, pulsa Intro.

Cuando eliminas un Cloud Router, también se elimina la pasarela Cloud NAT asociada.

Elimina la red de VPC y sus subredes

Consola

  1. En la Google Cloud consola, ve a la página Redes de VPC.

    Ir a redes de VPC

  2. En la columna Nombre, haga clic en vpc-geo-location.

  3. Haz clic en Eliminar red de VPC.

  4. En el cuadro de diálogo Eliminar una red, haz clic en Eliminar.

Cuando eliminas una VPC, también se eliminan sus subredes.

gcloud

  1. Para eliminar la subred subnet-1-us de la red VPC vpc-geo-location, ejecuta el siguiente comando:

    gcloud compute networks subnets delete subnet-1-us \
    --region=us-central1

    Cuando se te pida, pulsa Y para confirmar y, a continuación, pulsa Intro.

  2. Para eliminar la subred subnet-2-sg de la red VPC vpc-geo-location, ejecuta el siguiente comando:

    gcloud compute networks subnets delete subnet-2-sg \
    --region=asia-southeast1

    Cuando se te pida, pulsa Y para confirmar y Intro.

  3. Para eliminar la red VPC vpc-geo-location, ejecuta el siguiente comando:

    gcloud compute networks delete vpc-geo-location

    Cuando se te pida, pulsa Y para confirmar y, a continuación, pulsa Intro.

Siguientes pasos