Configurer une stratégie de pare-feu de réseau mondial pour refuser les connexions de sortie vers des géolocalisations spécifiques

Ce tutoriel explique comment créer et configurer une stratégie de pare-feu de réseau mondial afin de bloquer le trafic de sortie vers des géolocalisations spécifiques de votre réseau. Il décrit un exemple de création d'un réseau cloud privé virtuel (VPC) avec deux sous-réseaux, la configuration d'une stratégie de pare-feu avec des règles de géolocalisation de pare-feu, puis le test des règles de pare-feu.

Objectifs

Ce guide vous explique comment effectuer les tâches suivantes :

  • Créez un réseau VPC personnalisé avec deux sous-réseaux dans différentes régions.
  • Créez une instance de machine virtuelle (VM) dans chacune des régions États-Unis et Singapour.
  • Créez un routeur Cloud Router et une passerelle Cloud NAT pour permettre à la VM des États-Unis d'accéder à l'Internet public.
  • Créez une stratégie de pare-feu de réseau mondial et ajoutez une règle de pare-feu pour activer Identity-Aware Proxy (IAP).
  • Installez le serveur Apache sur la VM de Singapour.
  • Ajoutez une règle de pare-feu pour bloquer le trafic vers des zones géographiques spécifiques.
  • Testez la règle de géolocalisation de pare-feu.

Le schéma suivant montre le trafic entre les VM des régions us-central1 et asia-southeast1 au sein d'un réseau VPC personnalisé. Une stratégie de pare-feu de réseau mondial bloque le trafic de sortie vers une géolocalisation spécifique. La VM de la région us-central1 utilise Cloud Router et Cloud NAT pour accéder à Internet, sans utiliser d'adresse IP externe. La VM de la région us-central1 utilise l'adresse IP externe de la VM située dans la région asia-southeast1 pour tester la règle de pare-feu.

Stratégie de pare-feu de réseau mondial bloquant le trafic sortant d'un sous-réseau vers une géolocalisation spécifique
Stratégie de pare-feu de réseau mondial bloquant le trafic de sortie d'un sous-réseau vers une géolocalisation spécifique (cliquez pour agrandir).

Avant de commencer

  • Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  • Make sure that billing is enabled for your Google Cloud project.

  • In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  • Make sure that billing is enabled for your Google Cloud project.

  • Assurez-vous de disposer du rôle d'administrateur de réseaux Compute (roles/compute.networkAdmin).

  • Enable the Compute Engine and Identity-Aware Proxy (IAP) APIs.

    Enable the APIs

  • Si vous préférez travailler à partir de la ligne de commande, installez Google Cloud CLI. Pour obtenir des informations conceptuelles et d'installation sur l'outil, consultez la présentation de gcloud CLI.

    Remarque : Si vous n'avez pas encore utilisé Google Cloud CLI, initialisez votre répertoire gcloud CLI en exécutant la commande gcloud init.

Créer un réseau VPC personnalisé avec des sous-réseaux

Créez un réseau VPC en mode personnalisé avec deux sous-réseaux IPv4.

Console

  1. Dans la console Google Cloud, accédez à la page Réseaux VPC.

    Accéder aux réseaux VPC

  2. Cliquez sur Créer un réseau VPC.

  3. Dans le champ Nom, saisissez vpc-geo-location.

  4. Dans le champ Mode de création de sous-réseau, sélectionnez Personnalisé.

  5. Dans la section Nouveau sous-réseau, spécifiez les paramètres de configuration de sous-réseau suivants :

    • Nom : subnet-1-us
    • Région : us-central1
    • Plage IPv4 : 10.0.0.0/24

  6. Cliquez sur OK.

  7. Cliquez sur Ajouter un sous-réseau et spécifiez les paramètres de configuration suivants :

    • Nom : subnet-2-sg
    • Région : asia-southeast1
    • Plage IPv4 : 192.168.200.0/24

  8. Cliquez sur OK.

  9. Cliquez sur Créer.

gcloud

  1. Pour ouvrir le terminal, cliquez sur Activer Cloud Shell.

  2. Pour créer un réseau VPC, exécutez la commande suivante :

    gcloud compute networks create vpc-geo-location \
  --subnet-mode=custom

  3. Dans la boîte de dialogue Autoriser Cloud Shell, cliquez sur Autoriser.

  4. Pour créer un sous-réseau, exécutez la commande suivante :

    gcloud compute networks subnets create subnet-1-us \
  --network=vpc-geo-location \
  --region=us-central1 \
  --range=10.0.0.0/24

  5. Pour créer un autre sous-réseau, exécutez la commande suivante :

    gcloud compute networks subnets create subnet-2-sg \
  --network=vpc-geo-location \
  --region=asia-southeast1 \
  --range=192.168.200.0/24

Créer des VM

Dans cette section, vous allez créer deux VM dans les sous-réseaux que vous avez configurés à la section précédente.

Créer une instance de VM dans la région us-central1

Créez une VM dans la région us-central1 sans adresse IP externe.

Console

Pour créer une VM dans la région us-central1, procédez comme suit :

  1. Accédez à la page Créer une instance dans Google Cloud Console.

    Accéder à la page Créer une instance

  2. Dans le champ Nom, saisissez instance-1-us.

  3. Pour Région, sélectionnez us-central1 (Iowa).

  4. Développez la section Options avancées, puis Mise en réseau.

  5. Dans la section Interfaces réseau, développez par défaut et spécifiez les paramètres de configuration suivants :

    • Réseau : vpc-geo-location
    • Sous-réseau : subnet-1-us IPv4 (10.0.0.0/24)
    • Adresse IPv4 externe : Aucune

  6. Cliquez sur OK.

  7. Cliquez sur Créer.

gcloud

Pour créer une VM dans la région us-central1, exécutez la commande suivante :

gcloud compute instances create instance-1-us \
     --network=vpc-geo-location \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-1-us

Créer une instance de VM dans la région asia-southeast1

Console

Pour créer une VM dans la région asia-southeast1, procédez comme suit :

  1. Accédez à la page Créer une instance dans Google Cloud Console.

    Accéder à la page Créer une instance

  2. Dans le champ Nom, saisissez instance-2-sg.

  3. Pour Région, sélectionnez asia-southeast1 (Singapore).

  4. Développez la section options avancées, puis Mise en réseau.

  5. Dans la section Interfaces réseau, développez par défaut et spécifiez les paramètres de configuration suivants :

    • Réseau : vpc-geo-location
    • Sous-réseau : subnet-2-sg IPv4 (192.168.200.0/24)

  6. Cliquez sur OK.

  7. Cliquez sur Créer.

gcloud

Pour créer une VM dans la région asia-southeast1, exécutez la commande suivante :

gcloud compute instances create instance-2-sg \
    --network=vpc-geo-location \
    --zone=asia-southeast1-b \
    --subnet=subnet-2-sg \
    --stack-type=IPV4_ONLY

Créer un routeur Cloud Router et une passerelle Cloud NAT

Dans la section précédente, vous avez créé deux VM, instance-1-us et asia-southeast1. Pour autoriser les VM instance-1-us à accéder à l'Internet public, créez un routeur Cloud Router et une passerelle Cloud NAT.

Console

  1. Dans Google Cloud Console, accédez à la page Cloud NAT.

    Accédez à Cloud NAT

  2. Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.

  3. Dans le champ Nom de la passerelle, saisissez nat-gateway.

  4. Dans le champ Type de NAT, sélectionnez Publique.

  5. Dans la section Sélectionner le routeur Cloud Router, spécifiez les paramètres de configuration suivants :

    • Réseau : vpc-geo-location
    • Région : us-central1
    • Cloud Router : Créer un nouveau routeur.
      1. Dans le champ Nom, saisissez router-fw-rules.
      2. Cliquez sur Créer.

  6. Cliquez sur Créer.

  7. Dans la console Google Cloud, accédez à la page Adresses IP.

    Accéder à la page "Adresses IP"

  8. Cliquez sur l'onglet Adresses IP externes, puis copiez l'adresse IP de votre service Cloud NAT (nat-auto-ip). Cette adresse IP est utilisée lorsque vous validez la connexion entre la VM instance-1-us et la VM instance-2-sg.

gcloud

  1. Pour créer un routeur Cloud Router, exécutez la commande suivante :

    gcloud compute routers create router-fw-rules \
  --network=vpc-geo-location \
  --region=us-central1

  2. Pour créer une passerelle Cloud NAT, exécutez la commande suivante :

    gcloud compute routers nats create nat-gateway \
  --router=router-fw-rules \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

  3. Pour afficher l'adresse IP Cloud NAT, exécutez la commande suivante :

    gcloud compute routers get-nat-ip-info \
  router-fw-rules \
  --region=us-central1

    N'oubliez pas de copier l'adresse IP de votre service Cloud NAT (natIp). Cette adresse IP est utilisée lorsque vous validez la connexion entre la VM instance-1-us et la VM instance-2-sg.

Créer une stratégie de pare-feu de réseau mondial pour activer IAP

Dans cette section, vous allez créer une stratégie de pare-feu de réseau au niveau mondial et ajouter une règle de pare-feu pour activer IAP. IAP autorise un accès administrateur aux instances de VM.

La règle de pare-feu comprend les caractéristiques suivantes :

  • Trafic entrant provenant de la plage d'adresses IP 35.235.240.0/20. Cette plage contient toutes les adresses IP qu'IAP utilise pour le transfert TCP.

  • Une connexion à tous les ports que vous souhaitez rendre accessible à l'aide du transfert TCP d'IAP, par exemple, le port 22 pour SSH.

Console

Pour autoriser IAP à accéder à toutes les instances de VM du réseau vpc-geo-location, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Cliquez sur Créer une stratégie de pare-feu.

  3. Dans la section Configurer la stratégie, pour le Nom de la stratégie, saisissez fw-policy.

  4. Sous Champ d'application du déploiement, sélectionnez Global, puis cliquez sur Continuer.

  5. Pour créer des règles pour votre stratégie, dans la section Ajouter des règles, cliquez sur Ajouter une règle.

    1. Dans le champ Priorité, saisissez 100.
    2. Pour le Sens du trafic, sélectionnez Entrée.
    3. Pour l'option Action en cas de correspondance, sélectionnez Autoriser.
    4. Pour le champ Journaux, sélectionnez Activé.
    5. Dans la section Cible, pour le champ Type de cible, sélectionnez Toutes les instances du réseau.
    6. Dans la section Source, sous Plages d'adresses IP, saisissez 35.235.240.0/20.
    7. Dans la section Protocoles et ports, sélectionnez Protocoles et ports spécifiés.
    8. Cochez la case TCP et, pour le champ Ports, saisissez 22.
    9. Cliquez sur Créer.

  6. Cliquez sur Continuer.

  7. Pour associer un réseau VPC à la stratégie, dans la section Associer la stratégie à des réseaux VPC, cliquez sur Associer.

  8. Cochez la case correspondant à vpc-geo-location, puis cliquez sur Associer.

  9. Cliquez sur Continuer.

  10. Cliquez sur Créer.

gcloud

Pour autoriser IAP à accéder à toutes les instances de VM du réseau vpc-geo-location, exécutez la commande suivante :

  1. Pour créer une stratégie de pare-feu, exécutez la commande suivante :

    gcloud compute network-firewall-policies create fw-policy \
    --global

  2. Pour créer une règle de pare-feu qui autorise le trafic vers toutes les destinations et active les journaux, exécutez la commande suivante :

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy \
    --enable-logging

  3. Pour associer la stratégie de pare-feu au réseau VPC, exécutez la commande suivante :

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy \
    --network=vpc-geo-location \
    --name=pol-association-fw-rules \
    --global-firewall-policy

Créer une règle de pare-feu

Dans cette section, vous allez créer une règle de pare-feu pour autoriser la connexion d'entrée sur la VM instance-2-sg.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-policy.

  3. Cliquez sur Créer une règle.

  4. Dans le champ Priorité, saisissez 500.

  5. Pour le Sens du trafic, sélectionnez Entrée.

  6. Pour l'option Action en cas de correspondance, sélectionnez Autoriser.

  7. Pour le champ Journaux, sélectionnez Activé.

  8. Dans la section Cible, pour le champ Type de cible, sélectionnez Toutes les instances du réseau.

  9. Dans la section Source, sous Plages d'adresses IP, saisissez NAT_IP_ADDRESS.

    Remplacez NAT_IP_ADDRESS par l'adresse IP attribuée à votre service Cloud NAT. Pour en savoir plus, consultez la page Créer un routeur Cloud Router et une passerelle Cloud NAT.

  10. Cliquez sur Créer.

gcloud

Pour mettre à jour la stratégie de pare-feu, exécutez la commande suivante :

gcloud compute network-firewall-policies rules create 500 \
    --firewall-policy=fw-policy \
    --direction=INGRESS \
    --action=ALLOW \
    --src-ip-ranges=NAT_IP_ADDRESS \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Remplacez NAT_IP_ADDRESS par l'adresse IP attribuée à votre service Cloud NAT. Pour en savoir plus, consultez la page Créer un routeur Cloud Router et une passerelle Cloud NAT.

Installer le serveur Apache

Dans cette section, vous allez installer le serveur Apache sur la VM instance-2-sg.

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM.

    Accéder à la page "Instances de VM"

  2. Dans la colonne Connecter de la VM instance-2-sg, cliquez sur SSH.

  3. Dans la boîte de dialogue SSH dans votre navigateur, cliquez sur Autoriser et attendez que la connexion soit établie.

  4. Pour mettre à jour les listes de packages sur votre instance, exécutez la commande suivante :

    sudo apt-get update

    Une fois le processus terminé, le message suivant est généré :

    Reading package lists... Done.

  5. Pour installer le package apache2 HTTP Server, exécutez la commande suivante dans l'invite de commande :

    sudo apt-get install apache2 php7.0

    Pendant le processus, le message suivant est généré :

    After this operation, 56.0 MB of additional disk space will be used. Do you want to continue? [Y/n]

    Appuyez sur Y pour confirmer, puis sur Entrée.

  6. Pour écraser la page Web par défaut du serveur Web Apache, exécutez la commande suivante :

    echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

  7. Fermez la boîte de dialogue SSH dans votre navigateur.

gcloud

  1. Pour utiliser SSH pour vous connecter à la VM instance-2-sg, exécutez la commande suivante :

    gcloud compute ssh instance-2-sg \
    --zone=asia-southeast1-b \
    --tunnel-through-iap

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

  2. Pour mettre à jour les listes de packages sur votre instance, exécutez la commande suivante :

    sudo apt-get update

    Une fois le processus terminé, le message suivant est généré :

    Reading package lists... Done.

  3. Pour installer le package apache2 HTTP Server, exécutez la commande suivante dans l'invite de commande :

    sudo apt-get install apache2 php7.0

    Pendant le processus, le message suivant est généré :

    After this operation, 56.0 MB of additional disk space will be used. Do you want to continue? [Y/n]

    Appuyez sur Y pour confirmer, puis sur Entrée.

  4. Pour écraser la page Web par défaut du serveur Web Apache, exécutez la commande suivante :

    echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html

  5. Pour fermer SSH dans le navigateur, saisissez exit.

Valider la connexion

Après avoir installé le serveur Apache sur la VM instance-2-sg, connectez-vous à la VM instance-1-us à partir de la VM instance-2-sg à l'aide de l'adresse IP externe de la VM instance-2-sg.

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM.

    Accéder à la page "Instances de VM"

  2. Dans la colonne Adresse IP externe de la VM instance-2-sg, copiez l'adresse IP externe de la VM.

  3. Dans la colonne Connecter de la VM instance-1-us, cliquez sur SSH.

  4. Dans la boîte de dialogue SSH dans votre navigateur, cliquez sur Autoriser et attendez que la connexion soit établie.

  5. Pour vérifier la connexion, exécutez la commande suivante :

    curl EXTERNAL_IP -m 2

    Remplacez EXTERNAL_IP par l'adresse IP de la VM instance-2-sg.

    La réponse attendue est la suivante :

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Fermez la boîte de dialogue SSH dans votre navigateur.

gcloud

  1. Pour afficher l'adresse IP externe de la VM instance-2-sg, exécutez la commande suivante :

    gcloud compute instances describe instance-2-sg \
    --zone=asia-southeast1-b \
    --format='get(networkInterfaces[0].accessConfigs[0].natIP)'

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée. Veillez à noter l'adresse IP externe de la VM instance-2-sg.

  2. Pour utiliser SSH pour vous connecter à la VM instance-1-us, exécutez la commande suivante :

    gcloud compute ssh instance-1-us \
    --zone=us-central1-a \
    --tunnel-through-iap

  3. Pour vérifier la connexion, exécutez la commande suivante :

      curl EXTERNAL_IP -m 2

    Remplacez EXTERNAL_IP par l'adresse IP de la VM instance-2-sg.

    La réponse attendue est la suivante :

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. Pour fermer SSH dans le navigateur, saisissez exit.

Ajouter une règle de pare-feu pour bloquer le trafic vers des zones géographiques spécifiques

Dans cette section, vous allez ajouter une règle de pare-feu pour le VPC vpc-geo-location afin de bloquer le trafic de sortie vers l'Italie, la Pologne et Singapour.

Console

Pour ajouter une règle dans la fw-policy que vous avez créée à la section Créer une stratégie de pare-feu de réseau mondial, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la section Stratégies de pare-feu de réseau, cliquez sur fw-policy.

  3. Cliquez sur Créer une règle.

  4. Dans le champ Priorité, saisissez 200.

  5. Pour le champ Sens du trafic, sélectionnez Sortie.

  6. Dans le champ Action en cas de correspondance, sélectionnez Refuser.

  7. Pour le champ Journaux, sélectionnez Activé.

  8. Dans la section Destination, pour les géolocalisations, sélectionnez Singapour (SG), Pologne (PL), et Italie (IT).

  9. Cliquez sur OK.

  10. Cliquez sur Créer.

gcloud

Pour ajouter une règle dans la fw-policy que vous avez créée à la section Créer une stratégie de pare-feu de réseau mondial, exécutez la commande suivante :

gcloud compute network-firewall-policies rules create 200 \
    --firewall-policy=fw-policy \
    --direction=EGRESS \
    --action=DENY \
    --dest-region-codes=SG,PL,IT \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Tester la règle de géolocalisation de pare-feu

Console

Après avoir ajouté la règle pour bloquer le trafic sortant vers Singapour (SG), la Pologne (PL) et l'Italie (IT), procédez comme suit pour tester la règle :

  1. Dans Google Cloud Console, accédez à la page Instances de VM.

    Accéder à la page "Instances de VM"

  2. Dans la colonne Adresse IP externe de la VM instance-2-sg, copiez l'adresse IP externe de la VM.

  3. Dans la colonne Connecter de la VM instance-1-us, cliquez sur SSH.

  4. Dans la boîte de dialogue SSH dans votre navigateur, cliquez sur Autoriser et attendez que la connexion soit établie.

  5. Pour vérifier que le trafic sortant vers la VM instance-2-sg est bloqué, exécutez la commande suivante :

    curl EXTERNAL_IP -m 2

    Remplacez EXTERNAL_IP par l'adresse IP de la VM instance-2-sg.

    Le message Connection timed out est attendu, car vous avez créé une règle de pare-feu pour refuser le trafic externe de la VM des États-Unis vers la VM de Singapour.

  6. Pour vérifier que le trafic de sortie vers la Pologne est bloqué, exécutez la commande suivante :

      curl  `https://www.gov.pl` -m 2

    Le message Connection timed out est attendu, car vous avez créé une règle de pare-feu pour refuser le trafic externe vers le site Web en Pologne.

  7. Pour vérifier que le trafic de sortie vers l'Italie est bloqué, exécutez la commande suivante :

      curl  `https://www.esteri.it/it/` -m 2

    Le message Connection timed out est attendu, car vous avez créé une règle de pare-feu pour refuser le trafic externe vers le site Web en Italie.

  8. Fermez la boîte de dialogue SSH dans votre navigateur.

gcloud

Après avoir ajouté la règle pour bloquer le trafic sortant vers Singapour (SG), la Pologne (PL) et l'Italie (IT), exécutez la commande suivante pour tester la règle :

  1. Pour afficher l'adresse IP externe de la VM instance-2-sg, exécutez la commande suivante :

    gcloud compute instances describe instance-2-sg \
   --format='get(networkInterfaces[0].accessConfigs[0].natIP)'

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée. Veillez à noter l'adresse IP externe de la VM instance-2-sg.

  2. Pour utiliser SSH pour vous connecter à la VM instance-1-us, exécutez la commande suivante :

    gcloud compute ssh instance-1-us \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Pour vérifier que le trafic sortant vers Singapour est bloqué, exécutez la commande suivante :

    curl EXTERNAL_IP -m 2

    Remplacez EXTERNAL_IP par l'adresse IP de la VM instance-2-sg.

    Le message Connection timed out est attendu, car vous avez créé une règle de pare-feu pour refuser le trafic externe de la VM des États-Unis vers la VM de Singapour.

  4. Pour vérifier que le trafic de sortie vers la Pologne est bloqué, exécutez la commande suivante :

    curl https://www.gov.pl -m 2

    Le message Connection timed out est attendu, car vous avez créé une règle de pare-feu pour refuser le trafic externe provenant du site Web en Pologne.

  5. Pour vérifier que le trafic de sortie vers l'Italie est bloqué, exécutez la commande suivante :

    curl  https://www.esteri.it/it/ -m 2

    Le message Connection timed out est attendu, car vous avez créé une règle de pare-feu pour refuser le trafic externe vers le site Web en Italie.

  6. Pour fermer la boîte de dialogue SSH dans le navigateur, saisissez exit.

Afficher les journaux

Vous pouvez vérifier que les règles de pare-feu ont été appliquées au trafic de sortie en accédant aux journaux. Pour afficher les détails du journal, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la section Stratégies de pare-feu de réseau, cliquez sur le nom fw-policy.

  3. Cliquez sur Options d'affichage des colonnes.

  4. Dans la boîte de dialogue Colonnes affichées, sélectionnez Nombre d'appels, puis cliquez sur OK.

  5. Dans la colonne Nombre d'appels, sélectionnez le numéro de la règle que vous avez créée lors de la création d'une stratégie de pare-feu de réseau mondial. La page Explorateur de journaux s'affiche.

  6. Pour afficher la règle de pare-feu appliquée au trafic de sortie, développez le journal individuel. Vous pouvez afficher les détails de la connexion, de la disposition et de l'emplacement distant.

Effectuer un nettoyage

Pour éviter que les ressources utilisées lors de ce tutoriel soient facturées sur votre compte Google Cloud, supprimez le projet contenant les ressources, ou conservez le projet et supprimez chaque ressource individuellement.

Dans cette section, vous allez supprimer les ressources créées dans ce tutoriel.

Supprimer la stratégie de pare-feu

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page "Stratégies de pare-feu"

  2. Dans la section Stratégies de pare-feu de réseau, cliquez sur le nom fw-policy.

  3. Cliquez sur l'onglet Associations.

  4. Cochez la case correspondant à vpc-geo-location, puis cliquez sur Supprimer l'association.

  5. Dans la boîte de dialogue Supprimer une association de stratégie de pare-feu, cliquez sur Supprimer.

  6. À côté du titre fw-policy, cliquez sur Supprimer.

  7. Dans la boîte de dialogue Supprimer une stratégie de pare-feu, cliquez sur Supprimer.

gcloud

  1. Supprimez l'association entre la stratégie de pare-feu et le réseau VPC.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-fw-rules \
  --firewall-policy=fw-policy \
  --global-firewall-policy

  2. Supprimez la stratégie de pare-feu.

    gcloud compute network-firewall-policies delete fw-policy \
    --global

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

Supprimer les VM

Console

  1. Dans la console Google Cloud, accédez à la page Instances de VM.

    Accéder à la page "Instances de VM"

  2. Cochez les cases correspondant aux VM instance-1-us et instance-2-sg.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue Supprimer deux instances ?, cliquez sur Supprimer.

gcloud

  1. Pour supprimer la VM instance-1-us, exécutez la commande suivante :

    gcloud compute instances delete instance-1-us \
    --zone=us-central1-a

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

  2. Pour supprimer la VM instance-2-sg, exécutez la commande suivante :

    gcloud compute instances delete instance-2-sg \
    --zone=asia-southeast1-b

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

Supprimer la passerelle Cloud NAT et le routeur Cloud Router

Console

  1. Dans la console Google Cloud, accédez à la page Routeurs cloud.

    Accéder aux routeurs cloud

  2. Cochez la case router-fw-rules.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue Supprimer router-fw-rules, cliquez sur Supprimer.

Lorsque vous supprimez un routeur Cloud Router, la passerelle Cloud NAT associée est également supprimée.

gcloud

Pour supprimer le routeur Cloud Router router-fw-rules, exécutez la commande suivante :

gcloud compute routers delete router-fw-rules \
    --region=us-central1

Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

Lorsque vous supprimez un routeur Cloud Router, la passerelle Cloud NAT associée est également supprimée.

Supprimer le réseau VPC et ses sous-réseaux

Console

  1. Dans la console Google Cloud, accédez à la page Réseaux VPC.

    Accéder aux réseaux VPC

  2. Dans la colonne Nom, cliquez sur vpc-geo-location.

  3. Cliquez sur Supprimer le réseau VPC.

  4. Dans la boîte de dialogue Supprimer un réseau, cliquez sur Supprimer.

Lorsque vous supprimez un VPC, ses sous-réseaux sont également supprimés.

gcloud

  1. Pour supprimer le sous-réseau subnet-1-us du réseau VPC vpc-geo-location, exécutez la commande suivante :

    gcloud compute networks subnets delete subnet-1-us \
    --region=us-central1

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

  2. Pour supprimer le sous-réseau subnet-2-sg du réseau VPC vpc-geo-location, exécutez la commande suivante :

    gcloud compute networks subnets delete subnet-2-sg \
    --region=asia-southeast1

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

  3. Pour supprimer le réseau VPC vpc-geo-location, exécutez la commande suivante :

    gcloud compute networks delete vpc-geo-location

    Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.

Étapes suivantes