Configura la política de firewall de red global para rechazar las conexiones de salida a ubicaciones geográficas específicas

En este instructivo, se describe cómo crear y configurar una política de firewall de red global para bloquear el tráfico de salida a ubicaciones geográficas específicas de tu red. Se explica un ejemplo de cómo crear una red de nube privada virtual (VPC) con dos subredes, cómo configurar una política de firewall con reglas de firewall de ubicación geográfica y, luego, probar las reglas de firewall.

Objetivos

En este instructivo, se muestra cómo completar las siguientes tareas:

  • Crear una red de VPC personalizada con dos subredes en regiones diferentes.
  • Crear una instancia de máquina virtual (VM) en cada una de las siguientes regiones: EE.UU. y Singapur.
  • Crear un Cloud Router y una puerta de enlace de Cloud NAT para permitir que la VM de EE.UU. acceda a la Internet pública.
  • Crea una política de firewall de red global y agregar una regla de firewall para habilitar Identity-Aware Proxy (IAP).
  • Instalar el servidor Apache en la VM de Singapur.
  • Agregar una regla de firewall para bloquear el tráfico a ubicaciones geográficas específicas.
  • Probar la regla de firewall de ubicación geográfica.

En el siguiente diagrama, se muestra el tráfico entre las VMs de las regiones us-central1 y asia-southeast1 dentro de una red de VPC personalizada. Una política de firewall de red global bloquea el tráfico de salida a una ubicación geográfica específica. La VM en la región us-central1 usa Cloud Router y Cloud NAT para el acceso a Internet, sin usar una dirección IP externa. La VM en la región us-central1 usa la dirección IP externa de la VM en la región asia-southeast1 para probar la regla de firewall.

Una política de firewall de red global que bloquea el tráfico de salida de una subred a una ubicación geográfica específica.
Una política de firewall de red global que bloquea el tráfico de salida de una subred a una ubicación geográfica específica (haz clic para ampliar).

Antes de comenzar

  • Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  • Make sure that billing is enabled for your Google Cloud project.

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  • Make sure that billing is enabled for your Google Cloud project.

  • Asegúrate de tener el rol de Administrador de red de Compute (roles/compute.networkAdmin).

  • Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Enable the APIs

  • Si prefieres trabajar desde la línea de comandos, instala Google Cloud CLI. Para obtener información conceptual y de instalación sobre la herramienta, consulta Descripción general de gcloud CLI.

    Nota: Si no ejecutaste Google Cloud CLI antes, ejecuta el comando gcloud init para inicializar el directorio de gcloud CLI.

Crea una red de VPC personalizada con subredes

Crea una red de VPC en modo personalizado con dos subredes IPv4.

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. Haz clic en Crear red de VPC.

  3. En Nombre, ingresa vpc-geo-location.

  4. En Modo de creación de subred, selecciona Personalizado.

  5. En la sección Subred nueva, especifica los siguientes parámetros de configuración para una subred:

    • Nombre: subnet-1-us
    • Región: us-central1
    • Rango IPv4: 10.0.0.0/24

  6. Haz clic en Listo.

  7. Haz clic en Agregar subred y especifica los siguientes parámetros de configuración:

    • Nombre: subnet-2-sg
    • Región: asia-southeast1
    • Rango IPv4: 192.168.200.0/24

  8. Haz clic en Listo.

  9. Haz clic en Crear.

gcloud

  1. Para abrir la terminal, haz clic en Activar Cloud Shell.

  2. Para crear una red de VPC, ejecuta el siguiente comando:

    gcloud compute networks create vpc-geo-location \
  --subnet-mode=custom

  3. En el diálogo Autorizar Cloud Shell, haz clic en Autorizar.

  4. Para crear una subred, ejecuta el siguiente comando:

    gcloud compute networks subnets create subnet-1-us \
  --network=vpc-geo-location \
  --region=us-central1 \
  --range=10.0.0.0/24

  5. Para crear otra subred, ejecuta el siguiente comando:

    gcloud compute networks subnets create subnet-2-sg \
  --network=vpc-geo-location \
  --region=asia-southeast1 \
  --range=192.168.200.0/24

Crea las VM

En esta sección, crearás dos VMs en las subredes que configuraste en la sección anterior.

Crea una instancia de VM en la región us-central1

Crea una VM en la región us-central1 sin una dirección IP externa.

Console

Para crear una VM en la región us-central1, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Crear una instancia.

    Ir a Crear una instancia

  2. En Nombre, ingresa instance-1-us.

  3. En Región, selecciona us-central1 (Iowa).

  4. Expande Opciones avanzadas y, luego, Herramientas de redes.

  5. En la sección Interfaces de red, expande configuración predeterminada y especifica los siguientes parámetros de configuración:

    • Red: vpc-geo-location
    • Subred: subnet-1-us IPv4 (10.0.0.0/24)
    • Dirección IPv4 externa: ninguna

  6. Haz clic en Listo.

  7. Haz clic en Crear.

gcloud

Para crear una VM en la región us-central1, ejecuta el siguiente comando:

gcloud compute instances create instance-1-us \
     --network=vpc-geo-location \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-1-us

Crea una VM en la región asia-southeast1

Console

Para crear una VM en la región asia-southeast1, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Crear una instancia.

    Ir a Crear una instancia

  2. En Nombre, ingresa instance-2-sg.

  3. En Región, selecciona asia-southeast1 (Singapore)..

  4. Expande las Opciones avanzadas y, luego, Herramientas de redes.

  5. En la sección Interfaces de red, expande configuración predeterminada y especifica los siguientes parámetros de configuración:

    • Red: vpc-geo-location
    • Subred: subnet-2-sg IPv4 (192.168.200.0/24)

  6. Haz clic en Listo.

  7. Haz clic en Crear.

gcloud

Para crear una VM en la región asia-southeast1, ejecuta el siguiente comando:

gcloud compute instances create instance-2-sg \
    --network=vpc-geo-location \
    --zone=asia-southeast1-b \
    --subnet=subnet-2-sg \
    --stack-type=IPV4_ONLY

Crea un Cloud Router y una puerta de enlace de Cloud NAT

En la sección anterior, creaste dos VMs, instance-1-us y asia-southeast1. Para permitir que las VMs instance-1-us accedan a la Internet pública, crea un Cloud Router y una puerta de enlace de Cloud NAT.

Console

  1. En la consola de Google Cloud, ve a la página de Cloud NAT.

    Ir a Cloud NAT

  2. Haz clic en Comenzar o Crear la puerta de enlace NAT.

  3. En Nombre de la puerta de enlace, ingresa nat-gateway.

  4. Para Tipo de NAT, selecciona Pública.

  5. En la sección Seleccionar Cloud Router, especifica los siguientes parámetros de configuración:

    • Red: vpc-geo-location
    • Región: us-central1
    • Cloud Router: crear router nuevo.
      1. En Nombre, ingresa router-fw-rules.
      2. Haz clic en Crear.

  6. Haz clic en Crear.

  7. En la consola de Google Cloud, ve a la página Direcciones IP.

    Ir a Direcciones IP

  8. Haz clic en la pestaña Direcciones IP externas y, luego, copia la dirección IP de Cloud NAT (nat-auto-ip). Esta dirección IP se usa cuando validas la conexión entre la VM instance-1-us y la VM instance-2-sg.

gcloud

  1. Para crear un Cloud Router, ejecuta el siguiente comando:

    gcloud compute routers create router-fw-rules \
  --network=vpc-geo-location \
  --region=us-central1

  2. Para crear una puerta de enlace de Cloud NAT, ejecuta el siguiente comando:

    gcloud compute routers nats create nat-gateway \
  --router=router-fw-rules \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

  3. Para ver la dirección IP de Cloud NAT, ejecuta el siguiente comando:

    gcloud compute routers get-nat-ip-info \
  router-fw-rules \
  --region=us-central1

    Recuerda copiar la dirección IP de Cloud NAT (natIp). Esta dirección IP se usa cuando validas la conexión entre la VM instance-1-us y la VM instance-2-sg.

Crea una política de firewall de red global para habilitar IAP

En esta sección, crearás una política de firewall de red global y agregarás una regla de firewall para habilitar IAP. IAP permite el acceso de administrador a las instancias de VM.

La regla de firewall incluye las siguientes características.

  • Tráfico de entrada del rango de IP 35.235.240.0/20. Este rango contiene todas las direcciones IP que IAP usa para el reenvío de TCP.

  • Una conexión a todos los puertos a los que deseas acceder mediante el reenvío IAP de TCP, por ejemplo, el puerto 22 para SSH.

Console

Para permitir el acceso de IAP a todas las instancias de VM en la red vpc-geo-location, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Políticas de firewall

  2. Haz clic en Crear política de firewall.

  3. En la sección Configurar la política, en Nombre de la política, ingresa fw-policy.

  4. En Permiso de la implementación, selecciona Global y haz clic en Continuar.

  5. Para crear reglas para tu política, en la sección Agregar reglas, haz clic en Agregar regla.

    1. En Prioridad, ingresa 100.
    2. En Dirección del tráfico, selecciona Ingress.
    3. En Acción en caso de coincidencia, selecciona Permitir.
    4. En Registros, selecciona Activar.
    5. En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.
    6. En la sección Origen, en Rangos de IP, ingresa 35.235.240.0/20.
    7. En la sección Protocol y puertos, selecciona Protocolos y puertos especificados.
    8. Selecciona la casilla de verificación TCP y, en Puertos, ingresa 22.
    9. Haz clic en Crear.

  6. Haz clic en Continuar.

  7. Para asociar una red de VPC con la política, en la sección Asociar política con redes de VPC, haz clic en Asociar.

  8. Selecciona la casilla de verificación de vpc-geo-location y haz clic en Asociar.

  9. Haz clic en Continuar.

  10. Haz clic en Crear.

gcloud

Para permitir el acceso de IAP a todas las instancias de VM en la red vpc-geo-location, ejecuta el siguiente comando:

  1. Para crear una política de firewall, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies create fw-policy \
    --global

  2. Para crear una regla de firewall que permita el tráfico a todos los destinos y que habilite los registros, ejecute el siguiente comando:

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy \
    --enable-logging

  3. Para asociar la política de firewall con la red de VPC, ejecuta el siguiente comando:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy \
    --network=vpc-geo-location \
    --name=pol-association-fw-rules \
    --global-firewall-policy

Crea una regla de firewall

En esta sección, debes crear una regla de firewall para permitir la conexión de entrada en la VM de instance-2-sg.

Console

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la sección Políticas de firewall de red, haz clic en fw-policy.

  3. Haz clic en Crear regla.

  4. En Prioridad, ingresa 500.

  5. En Dirección del tráfico, selecciona Ingress.

  6. En Acción en caso de coincidencia, selecciona Permitir.

  7. En Registros, selecciona Activar.

  8. En la sección Destino, en Tipo de destino, selecciona Todas las instancias de la red.

  9. En la sección Origen, en Rangos de IP, ingresa NAT_IP_ADDRESS.

    Reemplaza NAT_IP_ADDRESS por la dirección IP asignada a tu Cloud NAT. Para obtener más información, consulta Crea un Cloud Router y una puerta de enlace de Cloud NAT.

  10. Haz clic en Crear.

gcloud

Para actualizar la política de firewall, ejecuta el siguiente comando:

gcloud compute network-firewall-policies rules create 500 \
    --firewall-policy=fw-policy \
    --direction=INGRESS \
    --action=ALLOW \
    --src-ip-ranges=NAT_IP_ADDRESS \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Reemplaza NAT_IP_ADDRESS por la dirección IP asignada a tu Cloud NAT. Para obtener más información, consulta Crea un Cloud Router y una puerta de enlace de Cloud NAT.

Instala el servidor Apache

En esta sección, instalarás el servidor Apache en la VM instance-2-sg.

Console

  1. En la consola de Google Cloud, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. En la columna Conectar de la VM de instance-2-sg, haz clic en SSH.

  3. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

  4. Para actualizar las listas de paquetes en tu instancia, ejecuta el siguiente comando:

    sudo apt-get update

    Cuando finalice el proceso, se generará el siguiente mensaje:

    Reading package lists... Done.

  5. Para instalar el paquete apache2 HTTP Server, en el símbolo del sistema, ejecuta el siguiente comando:

    sudo apt-get install apache2 php7.0

    Mientras el proceso está en curso, genera el siguiente mensaje:

    After this operation, 56.0 MB of additional disk space will be used. Do you want to continue? [Y/n]

    Presiona Y para confirmar y, luego, Intro.

  6. Para reemplazar la página web predeterminada del servidor web Apache, ejecuta el siguiente comando:

    echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

  7. Cierra el cuadro de diálogo SSH en el navegador.

gcloud

  1. Si quieres usar SSH para conectarte a la VM instance-2-sg, ejecuta el siguiente comando:

    gcloud compute ssh instance-2-sg \
    --zone=asia-southeast1-b \
    --tunnel-through-iap

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

  2. Para actualizar las listas de paquetes en tu instancia, ejecuta el siguiente comando:

    sudo apt-get update

    Cuando finalice el proceso, se generará el siguiente mensaje:

    Reading package lists... Done.

  3. Para instalar el paquete apache2 HTTP Server, en el símbolo del sistema, ejecuta el siguiente comando:

    sudo apt-get install apache2 php7.0

    Mientras el proceso está en curso, genera el siguiente mensaje:

    After this operation, 56.0 MB of additional disk space will be used. Do you want to continue? [Y/n]

    Presiona Y para confirmar y, luego, Intro.

  4. Para reemplazar la página web predeterminada del servidor web Apache, ejecuta el siguiente comando:

    echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

  5. Para cerrar el SSH en el navegador, ingresa exit.

Valida la conexión

Después de instalar el servidor Apache en la VM instance-2-sg, conéctate a la VM instance-1-us desde la VM instance-2-sg con la dirección IP externa de la VM instance-2-sg.

Console

  1. En la consola de Google Cloud, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. En la columna IP externa de la VM de instance-2-sg, copia la dirección IP externa de la VM.

  3. En la columna Conectar de la VM de instance-1-us, haz clic en SSH.

  4. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

  5. Para verificar la conexión, ejecuta el siguiente comando:

    curl EXTERNAL_IP -m 2

    Reemplaza EXTERNAL_IP por la dirección IP de la VM de instance-2-sg.

    El mensaje de respuesta esperado es el siguiente:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Cierra el cuadro de diálogo SSH en el navegador.

gcloud

  1. Para ver la dirección IP externa de la VM instance-2-sg, ejecuta el siguiente comando:

    gcloud compute instances describe instance-2-sg \
    --zone=asia-southeast1-b \
    --format='get(networkInterfaces[0].accessConfigs[0].natIP)'

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro. Asegúrate de anotar la dirección IP externa de la VM de instance-2-sg.

  2. Si quieres usar SSH para conectarte a la VM instance-1-us, ejecuta el siguiente comando:

    gcloud compute ssh instance-1-us \
    --zone=us-central1-a \
    --tunnel-through-iap

  3. Para verificar la conexión, ejecuta el siguiente comando:

      curl EXTERNAL_IP -m 2

    Reemplaza EXTERNAL_IP por la dirección IP de la VM de instance-2-sg.

    El mensaje de respuesta esperado es el siguiente:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. Para cerrar el SSH en el navegador, ingresa exit.

Agrega una regla de firewall para bloquear el tráfico a ubicaciones geográficas específicas

En esta sección, agregarás una regla de firewall para la VPC vpc-geo-location a fin de bloquear el tráfico de salida a Italia, Polonia y Singapur.

Console

Para agregar una regla nueva en la fw-policy que creaste en la sección Crea una política de firewall de red global, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Políticas de firewall

  2. En la sección Políticas de firewall de red, haz clic en fw-policy.

  3. Haz clic en Crear regla.

  4. En Prioridad, ingresa 200.

  5. En Dirección del tráfico, selecciona Salida.

  6. En Acción en caso de coincidencia, selecciona Rechazar.

  7. En Registros, selecciona Activar.

  8. En la sección Destino, para Ubicaciones geográficas, selecciona Singapur (SG), Polonia (PL), e Italia (IT).

  9. Haz clic en Aceptar.

  10. Haz clic en Crear.

gcloud

Para agregar una regla nueva en el fw-policy que creaste en la sección Crea una política de firewall de red global, ejecuta el siguiente comando:

gcloud compute network-firewall-policies rules create 200 \
    --firewall-policy=fw-policy \
    --direction=EGRESS \
    --action=DENY \
    --dest-region-codes=SG,PL,IT \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Prueba la regla de firewall de ubicación geográfica

Console

Después de agregar la regla para bloquear el tráfico de salida a Singapur (SG), Polonia (PL) e Italia (IT), sigue estos pasos a fin de probar la regla:

  1. En la consola de Google Cloud, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. En la columna IP externa de la VM de instance-2-sg, copia la dirección IP externa de la VM.

  3. En la columna Conectar de la VM de instance-1-us, haz clic en SSH.

  4. En el cuadro de diálogo SSH en el navegador, haz clic en Autorizar y espera a que se establezca la conexión.

  5. Para verificar que el tráfico de salida a la VM instance-2-sg esté bloqueado, ejecuta el siguiente comando:

    curl EXTERNAL_IP -m 2

    Reemplaza EXTERNAL_IP por la dirección IP de la VM de instance-2-sg.

    Se espera el mensaje Connection timed out porque creaste una regla de firewall para denegar el tráfico externo de la VM de EE.UU. a la VM de Singapur.

  6. Para verificar que el tráfico de salida a Polonia esté bloqueado, ejecuta el siguiente comando:

      curl  `https://www.gov.pl` -m 2

    Se espera el mensaje Connection timed out porque creaste una regla de firewall para denegar el tráfico externo al sitio web de Polonia.

  7. Para verificar que el tráfico de salida a Italia esté bloqueado, ejecuta el siguiente comando:

      curl  `https://www.esteri.it/it/` -m 2

    Se espera el mensaje Connection timed out porque creaste una regla de firewall para denegar el tráfico externo al sitio web de Italia.

  8. Cierra el cuadro de diálogo SSH en el navegador.

gcloud

Después de agregar la regla para bloquear el tráfico de salida a Singapur (SG), Polonia (PL) e Italia (IT), ejecuta el siguiente comando a fin de probar la regla:

  1. Para ver la dirección IP externa de la VM instance-2-sg, ejecuta el siguiente comando:

    gcloud compute instances describe instance-2-sg \
   --format='get(networkInterfaces[0].accessConfigs[0].natIP)'

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro. Asegúrate de anotar la dirección IP externa de la VM de instance-2-sg.

  2. Si quieres usar SSH para conectarte a la VM instance-1-us, ejecuta el siguiente comando:

    gcloud compute ssh instance-1-us \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Para verificar que el tráfico de salida a Singapur esté bloqueado, ejecuta el siguiente comando:

    curl EXTERNAL_IP -m 2

    Reemplaza EXTERNAL_IP por la dirección IP de la VM de instance-2-sg.

    Se espera el mensaje Connection timed out porque creaste una regla de firewall para denegar el tráfico externo de la VM de EE.UU. a la VM de Singapur.

  4. Para verificar que el tráfico de salida a Polonia esté bloqueado, ejecuta el siguiente comando:

    curl https://www.gov.pl -m 2

    Se espera el mensaje Connection timed out porque creaste una regla de firewall para denegar el tráfico externo desde el sitio web de Polonia.

  5. Para verificar que el tráfico de salida a Italia esté bloqueado, ejecuta el siguiente comando:

    curl  https://www.esteri.it/it/ -m 2

    Se espera el mensaje Connection timed out porque creaste una regla de firewall para denegar el tráfico externo al sitio web de Italia.

  6. Para cerrar el SSH en el navegador, ingresa exit.

Consulta los registros

Para verificar que las reglas de firewall se aplicaron al tráfico de salida, accede a los registros. Para ver los detalles del registro, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Políticas de firewall

  2. En la sección Políticas de firewall de red, haz clic en el nombre fw-policy.

  3. Haz clic en Opciones de visualización de columnas.

  4. En el cuadro de diálogo Columnas mostradas, selecciona Recuento de hits y, luego, haz clic en Aceptar.

  5. En la columna Recuento de aciertos, selecciona el número de la regla que creaste durante Crea una política de firewall de red global. Se abrirá la página Explorador de registros.

  6. Para ver la regla de firewall aplicada al tráfico de salida, expande el registro individual. Puedes ver los detalles de conexión, disposición y ubicación remota.

Limpia

Para evitar que se apliquen cargos a su cuenta de Google Cloud por los recursos usados en este instructivo, borra el proyecto que contiene los recursos o conserva el proyecto y borra los recursos individuales.

En esta sección, borrarás los recursos que creaste en este instructivo.

Borra la política de firewall

Console

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la sección Políticas de firewall de red, haz clic en el nombre fw-policy.

  3. Haz clic en la pestaña Asociaciones.

  4. Selecciona la casilla de verificación de vpc-geo-location y haz clic en Quitar asociación.

  5. En el cuadro de diálogo Quitar una asociación de política de firewall, haz clic en Quitar.

  6. Junto al título fw-policy, haz clic en Borrar.

  7. En el cuadro de diálogo Borrar una política de firewall, haz clic en Borrar.

gcloud

  1. Quita la asociación entre la política de firewall y la red de VPC.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-fw-rules \
  --firewall-policy=fw-policy \
  --global-firewall-policy

  2. Borra la política de firewall.

    gcloud compute network-firewall-policies delete fw-policy \
    --global

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

Borra las VMs

Console

  1. En la consola de Google Cloud, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona las casillas de verificación de las VMs de instance-1-us y instance-2-sg.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo ¿Quieres borrar 2 instancias?, haz clic en Borrar.

gcloud

  1. Para borra la VM instance-1-us, ejecuta el siguiente comando:

    gcloud compute instances delete instance-1-us \
    --zone=us-central1-a

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

  2. Para borra la VM instance-2-sg, ejecuta el siguiente comando:

    gcloud compute instances delete instance-2-sg \
    --zone=asia-southeast1-b

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

Borra la puerta de enlace de Cloud NAT y Cloud Router

Console

  1. En la consola de Google Cloud, ve a la página Cloud Routers.

    Ir a Cloud Routers

  2. Selecciona la casilla de verificación router-fw-rules.

  3. Haz clic en Borrar.

  4. En el cuadro de diálogo Delete router-fw-rules, haz clic en Borrar.

Cuando borras un Cloud Router, también se borra la puerta de enlace de Cloud NAT asociada.

gcloud

Para borrar el Cloud Router router-fw-rules, ejecuta el siguiente comando:

gcloud compute routers delete router-fw-rules \
    --region=us-central1

Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

Cuando borras un Cloud Router, también se borra la puerta de enlace de Cloud NAT asociada.

Borra la red de VPC y sus subredes

Console

  1. En la consola de Google Cloud, ve a la página Redes de VPC.

    Ir a las redes de VPC

  2. En la columna Nombre, haz clic en vpc-geo-location.

  3. Haz clic en Borrar la red de VPC.

  4. En el diálogo Borrar una red, haz clic en Borrar.

Cuando borras una VPC, también se borran sus subredes.

gcloud

  1. Para borrar las subredes de la red de VPC subnet-1-us de vpc-geo-location, ejecuta el siguiente comando:

    gcloud compute networks subnets delete subnet-1-us \
    --region=us-central1

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

  2. Para borrar las subredes de la red de VPC subnet-2-sg de vpc-geo-location, ejecuta el siguiente comando:

    gcloud compute networks subnets delete subnet-2-sg \
    --region=asia-southeast1

    Cuando se te solicite, presiona Y para confirmar y presiona Intro.

  3. Para borrar la red de VPC vpc-geo-location, ejecuta el siguiente comando:

    gcloud compute networks delete vpc-geo-location

    Cuando se te solicite, presiona Y para confirmar y, luego, Intro.

¿Qué sigue?