במדריך הזה מוסבר איך להגדיר מדיניות גלובלית של חומת אש ברשת כדי לאפשר תעבורת נתונים פנימית בין רשתות משנה של מכונות וירטואליות ברשת VPC בהתאמה אישית.
מטרות
במדריך הזה מוסבר איך לבצע את הפעולות הבאות:- יוצרים רשת VPC מותאמת אישית עם שתי רשתות משנה.
- יוצרים שתי מכונות וירטואליות של Linux (מכונת לקוח ומכונת שרת) ללא כתובות IP חיצוניות בתת-רשתות נפרדות של רשת ה-VPC.
- מומלץ ליצור Cloud Router ושער Cloud NAT כדי להוריד חבילות תוכנה.
- מתקינים את שרת Apache במכונת ה-VM של השרת.
- יוצרים מדיניות חומת אש בין רשתות גלובלית עם הכללים הבאים:
- אפשר תעבורת נתונים יוצאת לכל יעד.
- מפעילים את רישום הפעולות ביומן של חומת האש.
- משתמשים בשרת proxy לאימות זהויות (IAP) כדי לאפשר קישוריות SSH למכונות הווירטואליות.
- מאפשרים למכונה הווירטואלית של הלקוח להתחבר למכונה הווירטואלית של השרת שבה פועל שרת Apache.
- בודקים את החיבור.
בתרשים הבא מוצגת זרימת התנועה בין רשתות משנה של רשת VPC מותאמת אישית, אחרי שמדיניות גלובלית של חומת אש ברשת מאפשרת תנועה פנימית נכנסת (ingress).
לפני שמתחילים
- נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
- מפעילים את Compute Engine API בפרויקט.
- מוודאים שיש לכם את התפקיד אדמין רשת Compute (
roles/compute.networkAdmin) בניהול הזהויות והרשאות הגישה (IAM). - אם אתם מעדיפים לעבוד משורת הפקודה, אתם יכולים להתקין את Google Cloud CLI. מידע על המושגים ועל ההתקנה של הכלי זמין במאמר סקירה כללית של ה-CLI של gcloud.
הערה: אם לא הפעלתם את ה-CLI של gcloud בעבר, קודם מריצים את הפקודה
gcloud initכדי לאתחל את ספריית ה-CLI של gcloud.
יצירת רשת VPC מותאמת אישית עם רשתות משנה
בקטע הזה, יוצרים רשת VPC במצב מותאם אישית עם שתי תת-רשתות IPv4.
המסוף
נכנסים לדף VPC networks במסוף Google Cloud .
לוחצים על יצירת רשת VPC.
בשדה Name (שם), מזינים
vpc-fw-rules.בשדה תיאור, מזינים
VPC network for the firewall rules tutorial.בקטע Subnet creation mode (מצב יצירת רשת משנה), בוחרים באפשרות Custom (בהתאמה אישית).
בקטע New subnet (רשת משנה חדשה), מציינים את פרמטרי ההגדרה הבאים של רשת משנה:
- Name (שם):
subnet-fw-rules-server - אזור:
us-central1 (Iowa) - טווח IPv4:
10.0.0.0/24 - גישה פרטית ל-Google: מופעלת
- Name (שם):
לוחצים על סיום.
לוחצים על הוספת רשת משנה ומציינים את פרמטרי ההגדרה הבאים:
- Name (שם):
subnet-fw-rules-client - אזור:
us-central1 (Iowa) - טווח IPv4:
192.168.10.0/24 - גישה פרטית ל-Google: מופעלת
- Name (שם):
לוחצים על סיום.
לוחצים על יצירה.
gcloud
כדי ליצור רשת VPC, מריצים את הפקודה הבאה:
gcloud compute networks create vpc-fw-rules \ --subnet-mode=custom \ --description="VPC network for the firewall rules tutorial"
אופציונלי: בתיבת הדו-שיח Authorize cloud shell, לוחצים על Authorize.
כדי ליצור רשת משנה, מריצים את הפקודה הבאה:
gcloud compute networks subnets create subnet-fw-rules-server \ --network=vpc-fw-rules \ --region=us-central1 \ --range=10.0.0.0/24 \ --enable-private-ip-google-access
כדי ליצור רשת משנה נוספת, מריצים את הפקודה הבאה:
gcloud compute networks subnets create subnet-fw-rules-client \ --network=vpc-fw-rules \ --region=us-central1 \ --range=192.168.10.0/24 \ --enable-private-ip-google-access
כברירת מחדל, לרשת ה-VPC יש שני כללי IPv4 משתמעים:
allowכלל יציאה עם יעד0.0.0.0/0והעדיפות הנמוכה ביותר האפשרית (65535) שמאפשר לכל מופע לשלוח תעבורה לכל יעד, למעט תעבורה שנחסמת על ידי Google Cloud.denyתנועה נכנסת עם מקור0.0.0.0/0והעדיפות הנמוכה ביותר האפשרית (65535) שמגנה על כל המכונות על ידי חסימת חיבורים נכנסים אליהן.
מידע נוסף מופיע במאמר בנושא כללים משתמעים.
יצירת מכונות וירטואליות של לקוח ושרת
בקטע הזה, יוצרים שתי מכונות וירטואליות של Linux ללא כתובות IP חיצוניות ברשתות המשנה של רשת ה-VPC שיצרתם בקטע הקודם.
יצירת מכונה וירטואלית של השרת
המסוף
כדי ליצור את מכונת השרת הווירטואלית, מבצעים את השלבים הבאים:
נכנסים לדף Create an instance במסוף Google Cloud .
בחלונית Machine configuration:
- בשדה Name (שם), מזינים
vm-fw-rules-server. - בשדה אזור, בוחרים באפשרות
us-central1 (Iowa).
- בשדה Name (שם), מזינים
בתפריט הניווט, לוחצים על Networking (רשת).
- בקטע Network interfaces (ממשקי רשת), לוחצים על
defaultומציינים את פרמטרי ההגדרה הבאים:- רשת:
vpc-fw-rules - Subnetwork:
subnet-fw-rules-server IPv4 (10.0.0.0/24) - כתובת IPv4 חיצונית: ללא
- רשת:
- לוחצים על סיום.
- בקטע Network interfaces (ממשקי רשת), לוחצים על
לוחצים על יצירה.
gcloud
כדי ליצור את המכונה הווירטואלית של השרת, מריצים את הפקודה הבאה:
gcloud compute instances create vm-fw-rules-server \
--network=vpc-fw-rules \
--zone=us-central1-a \
--subnet=subnet-fw-rules-server \
--stack-type=IPV4_ONLY \
--no-address
יצירת מכונה וירטואלית של לקוח
המסוף
כדי ליצור את המכונה הווירטואלית של הלקוח, מבצעים את השלבים הבאים:
נכנסים לדף Create an instance במסוף Google Cloud .
בחלונית Machine configuration:
- בשדה Name (שם), מזינים
vm-fw-rules-client. - בשדה אזור, בוחרים באפשרות
us-central1 (Iowa).
- בשדה Name (שם), מזינים
בתפריט הניווט, לוחצים על Networking (רשת).
- בקטע Network interfaces (ממשקי רשת), לוחצים על
defaultומציינים את פרמטרי ההגדרה הבאים:- רשת:
vpc-fw-rules - Subnetwork:
subnet-fw-rules-client IPv4 (192.168.10.0/24) - כתובת IPv4 חיצונית: ללא
- רשת:
- לוחצים על סיום.
- בקטע Network interfaces (ממשקי רשת), לוחצים על
לוחצים על יצירה.
gcloud
כדי ליצור את מכונת הלקוח הווירטואלית, מריצים את הפקודה הבאה:
gcloud compute instances create vm-fw-rules-client \
--network=vpc-fw-rules \
--zone=us-central1-a \
--subnet=subnet-fw-rules-client \
--stack-type=IPV4_ONLY \
--no-address
יצירת Cloud Router ושער Cloud NAT
בקטע הקודם יצרתם שתי מכונות וירטואליות של Linux ללא כתובות IPv4 ציבוריות. כדי לאפשר למכונות הווירטואליות האלה לגשת לאינטרנט הציבורי, יוצרים Cloud Router ושער Cloud NAT.
המסוף
נכנסים לדף Cloud NAT במסוף Google Cloud .
לוחצים על Get started (תחילת העבודה) או על Create Cloud NAT gateway (יצירת שער Cloud NAT).
בשדה שם השער, מזינים
gateway-fw-rules.בקטע NAT type (סוג NAT), בוחרים באפשרות Public (ציבורי).
בקטע Select Cloud Router, מציינים את פרמטרי ההגדרה הבאים:
- רשת:
vpc-fw-rules - אזור:
us-central1 - Cloud Router: יצירת נתב חדש.
- בשדה Name (שם), מזינים
router-fw-rules. - לוחצים על יצירה.
- בשדה Name (שם), מזינים
- רשת:
לוחצים על יצירה.
gcloud
כדי ליצור Cloud Router, מריצים את הפקודה הבאה:
gcloud compute routers create router-fw-rules \ --network=vpc-fw-rules \ --region=us-central1
כדי ליצור שער Cloud NAT, מריצים את הפקודה הבאה:
gcloud compute routers nats create gateway-fw-rules \ --router=router-fw-rules \ --region=us-central1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
יצירה של מדיניות חומת אש בין רשתות גלובלית
בקטע הזה, תיצרו מדיניות חומת אש בין רשתות גלובלית עם:
- כלל יציאה עם
0.0.0.0./0כיעד. הרישום ביומן מופעל. רישום ביומן של כללי חומת אש ב-VPC מאפשר לכם לבצע ביקורת, לאמת ולנתח את ההשפעות של כללי חומת האש.
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
לוחצים על יצירת מדיניות חומת אש.
בקטע Configure policy (הגדרת המדיניות), בשדה Policy name (שם המדיניות), מזינים
fw-policy.בקטע היקף הפריסה, בוחרים באפשרות גלובלי ולוחצים על המשך.
כדי ליצור כללים למדיניות, בקטע הוספת כללים, לוחצים על הוספת כלל.
- בשדה עדיפות מזינים
65534. - בשדה כיוון התנועה, בוחרים באפשרות יציאה.
- בקטע יומנים, בוחרים באפשרות מופעל.
- בקטע יעד, בוחרים באפשרות כל המופעים ברשת בשדה סוג היעד.
- בקטע Destination (יעד), בשדה IP ranges (טווח כתובות IP), מזינים
0.0.0.0/0. - בקטע פרוטוקולים ויציאות, בוחרים באפשרות אישור הכול.
- לוחצים על יצירה.
- בשדה עדיפות מזינים
לוחצים על Continue.
כדי לשייך רשת VPC למדיניות, בקטע Associate policy with VPC networks (שיוך מדיניות לרשתות VPC), לוחצים על Associate (שיוך).
מסמנים את תיבת הסימון
vpc-fw-rulesולוחצים על שיוך.לוחצים על Continue.
לוחצים על יצירה.
gcloud
כדי ליצור מדיניות חומת אש, מריצים את הפקודה הבאה:
gcloud compute network-firewall-policies create fw-policy \ --globalכדי ליצור כלל חומת אש שמאפשר תעבורת נתונים לכל היעדים ומפעיל יומנים, מריצים את הפקודה הבאה:
gcloud compute network-firewall-policies rules create 65534 \ --firewall-policy=fw-policy \ --direction=EGRESS \ --action=ALLOW \ --dest-ip-ranges=0.0.0.0/0 \ --layer4-configs=all \ --global-firewall-policy \ --enable-loggingכדי לשייך את מדיניות חומת האש לרשת ה-VPC, מריצים את הפקודה הבאה:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy \ --network=vpc-fw-rules \ --name=pol-association-fw-rules \ --global-firewall-policy
הוספת כלל לחומת האש עבור IAP
בקטע הקודם יצרתם מכונות וירטואליות של Linux ללא כתובות IP חיצוניות. בקטע הזה מפעילים את Identity-Aware Proxy (IAP) כדי לאפשר גישת אדמין למכונות וירטואליות שאין להן כתובות IP חיצוניות.
כדי לאפשר ל-IAP להתחבר למופעי ה-VM, צריך ליצור כלל חומת אש ש:
- רלוונטי לכל מכונות ה-VM שרוצים לגשת אליהן באמצעות IAP.
- מאפשרת תנועת נתונים נכנסת מטווח כתובות ה-IP
35.235.240.0/20. הטווח הזה כולל את כל כתובות ה-IP שמשמשות את IAP להעברת TCP.למכונות וירטואליות עם IPv6, משתמשים בטווח ה-IP הבא:
2600:2d00:1:7::/64. - מאפשרת חיבורים לכל היציאות שרוצים שתהיה אליהן גישה באמצעות העברת TCP ב-IAP, למשל יציאה
22ל-SSH ויציאה3389ל-RDP.
המסוף
כדי לאפשר גישת RDP ו-SSH לכל המכונות הווירטואליות ברשת vpc-fw-rules, מבצעים את הפעולות הבאות:
נכנסים לדף Firewall policies במסוף Google Cloud .
בקטע Network firewall policies לוחצים על
fw-policy.לוחצים על יצירת כלל.
בשדה עדיפות מזינים
500.בשדה כיוון התנועה, בוחרים באפשרות תנועה נכנסת.
בקטע יומנים, בוחרים באפשרות מופעל.
בקטע יעד, בוחרים באפשרות כל המופעים ברשת בשדה סוג היעד.
בקטע Source, בשדה IP ranges, מזינים
35.235.240.0/20.בקטע Protocols and ports (פרוטוקולים ויציאות), בוחרים באפשרות Specified protocols and ports (פרוטוקולים ויציאות שצוינו).
מסמנים את התיבה TCP, ובשדה Ports (יציאות) מזינים את הערכים
22ו-3389מופרדים בפסיק.לוחצים על יצירה.
gcloud
כדי לאפשר גישת RDP ו-SSH לכל מכונות ה-VM ברשת vpc-fw-rules, מריצים את הפקודה הבאה:
gcloud compute network-firewall-policies rules create 500 \
--firewall-policy=fw-policy \
--direction=INGRESS \
--action=ALLOW \
--src-ip-ranges=35.235.240.0/20 \
--global-firewall-policy \
--layer4-configs tcp:22,tcp:3389 \
--enable-logging
התקנת שרת Apache
בקטע הזה, מתקינים את שרת Apache במכונת ה-VM של השרת.
נכנסים לדף VM instances במסוף Google Cloud .
בעמודה Connect (התחברות) של המכונה הווירטואלית
vm-fw-rules-server, לוחצים על SSH.בתיבת הדו-שיח SSH-in-browser, לוחצים על Authorize ומחכים עד שהחיבור ייווצר.
כדי להתקין את חבילת
apache2, מריצים את הפקודה הבאה בשורת הפקודה:sudo apt update && sudo apt -y install apache2
אחרי שמתקינים את Apache, מערכת ההפעלה מפעילה אוטומטית את שרת Apache.
כדי לוודא ש-Apache פועל, מריצים את הפקודה הבאה:
sudo systemctl status apache2 --no-pager
כדי להחליף את דף האינטרנט שמוגדר כברירת מחדל בשרת האינטרנט של Apache, מריצים את הפקודה הבאה:
echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.htmlסוגרים את תיבת הדו-שיח SSH-in-browser.
בדיקת החיבור
אחרי שמתקינים את שרת Apache במכונה הווירטואלית של השרת, מתחברים למכונה הווירטואלית של השרת מהמכונה הווירטואלית של הלקוח באמצעות כתובת ה-IP הפנימית של המכונה הווירטואלית של השרת.
נכנסים לדף VM instances במסוף Google Cloud .
מהעמודה Internal IP של המכונה הווירטואלית
vm-fw-rules-server, מעתיקים את כתובת ה-IP הפנימית של המכונה הווירטואלית.בעמודה Connect (התחברות) של המכונה הווירטואלית
vm-fw-rules-client, לוחצים על SSH.בתיבת הדו-שיח SSH-in-browser, לוחצים על Authorize ומחכים עד שהחיבור ייווצר.
כדי לאמת את החיבור, מריצים את הפקודה הבאה:
curl INTERNAL_IP -m 2
מחליפים את
INTERNAL_IPבכתובת ה-IP של המכונה הווירטואליתvm-fw-rules-server.ההודעה
Connection timed outצפויה כי כל מכונה וירטואלית יוצרת כלל חומת אש מרומז לכניסה שדוחה את כל התעבורה. כדי לאפשר תעבורה, מוסיפים כלל תעבורה נכנסת למדיניות חומת האש.סוגרים את תיבת הדו-שיח SSH-in-browser.
עדכון מדיניות חומת האש הגלובלית ברשת כדי לאפשר תנועה פנימית
בקטע הזה מעדכנים את מדיניות חומת האש של הרשת הגלובלית כדי לאפשר תעבורה פנימית מתת-הרשת של מכונת הלקוח הווירטואלית.
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
בקטע Network firewall policies לוחצים על
fw-policy.לוחצים על יצירת כלל.
בשדה עדיפות מזינים
501.בשדה כיוון התנועה, בוחרים באפשרות תנועה נכנסת.
בקטע יומנים, בוחרים באפשרות מופעל.
בקטע יעד, בוחרים באפשרות כל המופעים ברשת בשדה סוג היעד.
בקטע Source, בשדה IP ranges, מזינים
192.168.10.0/24.חשוב לזכור: טווח כתובות ה-IP
192.168.10.0/24מוקצה לsubnet-fw-rules-client.בקטע Destination, בשדה IP type, בוחרים באפשרות IPv4. בקטע IP ranges (טווחים של כתובות IP), מציינים את
10.0.0.0/24.חשוב לזכור שטווח כתובות ה-IP
10.0.0.0/24מוקצה ל-subnet-fw-rules-server.לוחצים על יצירה.
gcloud
כדי לעדכן את מדיניות חומת האש, מריצים את הפקודה הבאה:
gcloud compute network-firewall-policies rules create 501 \
--firewall-policy=fw-policy \
--direction=INGRESS \
--action=ALLOW \
--src-ip-ranges=192.168.10.0/24 \
--dest-ip-ranges=10.0.0.0/24 \
--layer4-configs=all \
--global-firewall-policy \
--enable-logging
בדיקת החיבור
אחרי שיוצרים את מדיניות חומת האש, מתחברים למכונה הווירטואלית של השרת מהמכונה הווירטואלית של הלקוח באמצעות כתובת ה-IP הפנימית של המכונה הווירטואלית של השרת.
נכנסים לדף VM instances במסוף Google Cloud .
מהעמודה Internal IP של המכונה הווירטואלית
vm-fw-rules-server, מעתיקים את כתובת ה-IP הפנימית של המכונה הווירטואלית.בעמודה Connect (התחברות) של המכונה הווירטואלית
vm-fw-rules-client, לוחצים על SSH.בתיבת הדו-שיח SSH-in-browser, לוחצים על Authorize ומחכים עד שהחיבור ייווצר.
כדי לאמת את החיבור, מריצים את הפקודה הבאה:
curl INTERNAL_IP -m 2
מחליפים את
INTERNAL_IPבכתובת ה-IP של המכונה הווירטואליתvm-fw-rules-server.ההודעה הצפויה היא
<!doctype html><html><body><h1>Hello World!</h1></body></html>.סוגרים את תיבת הדו-שיח SSH-in-browser.
כדי לראות את היומנים של חומת האש, אפשר לעיין במאמר בנושא הצגת יומנים.
הסרת המשאבים
כדי להימנע מחיובים בחשבון Google Cloud בגלל השימוש במשאבים שנעשה במסגרת המדריך הזה, אפשר למחוק את הפרויקט שמכיל את המשאבים, או להשאיר את הפרויקט ולמחוק את המשאבים בנפרד.
בקטע הזה מוחקים את המשאבים שנוצרו במדריך הזה.
מחיקת מדיניות חומת האש
המסוף
נכנסים לדף Firewall policies במסוף Google Cloud .
בקטע Network firewall policies (מדיניות חומת אש ברשת), לוחצים על השם
fw-policy.לוחצים על הכרטיסייה שיוכים.
מסמנים את תיבת הסימון
vpc-fw-rulesולוחצים על הסרת השיוך.בתיבת הדו-שיח הסרת שיוך של מדיניות חומת אש, לוחצים על הסרה.
לצד הכותרת
fw-policy, לוחצים על מחיקה.בתיבת הדו-שיח מחיקה של מדיניות חומת אש, לוחצים על מחיקה.
אחרי שמוחקים מדיניות, במסוף מוצג הדף Firewall policies. Google Cloud
gcloud
מסירים את השיוך בין מדיניות חומת האש לבין רשת ה-VPC.
gcloud compute network-firewall-policies associations delete \ --name=pol-association-fw-rules \ --firewall-policy=fw-policy \ --global-firewall-policy
אם הגדרתם את השיוך בין מדיניות חומת האש לרשת ה-VPC דרך Google Cloud המסוף, אל תשתמשו בפקודה ה-CLI של gcloud כדי להסיר את השיוך. אם אתם לא זוכרים איך יצרתם את השיוך או שמוצגת השגיאה
The network firewall policy does not have an association with pol-association-fw-rules.כשאתם מריצים את הפקודה, אתם יכולים להשתמש במסוף Google Cloud כדי להסיר את השיוך.מוחקים את מדיניות חומת האש.
gcloud compute network-firewall-policies delete fw-policy \ --global
מחיקת המכונות הווירטואליות
המסוף
נכנסים לדף VM instances במסוף Google Cloud .
מסמנים את תיבות הסימון של מכונות וירטואליות מסוג
vm-fw-rules-clientו-vm-fw-rules-server.לוחצים על Delete.
בתיבת הדו-שיח Delete 2 instances? (למחוק 2 מופעים?), לוחצים על Delete (מחיקה).
gcloud
כדי למחוק מכונות וירטואליות של vm-fw-rules-client ושל vm-fw-rules-server, מריצים את הפקודה הבאה:
gcloud compute instances delete vm-fw-rules-client vm-fw-rules-server \
--zone=us-central1-a
כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.
מחיקת שער Cloud NAT ו-Cloud Router
המסוף
נכנסים לדף Cloud routers במסוף Google Cloud .
מסמנים את תיבת הסימון
router-fw-rules.לוחצים על Delete.
בתיבת הדו-שיח Delete router-fw-rules, לוחצים על Delete.
כשמוחקים Cloud Router, נמחק גם שער Cloud NAT שמשויך אליו.
gcloud
כדי למחוק את Cloud Router router-fw-rules, מריצים את הפקודה הבאה:
gcloud compute routers delete router-fw-rules \
--region=us-central1
כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.
כשמוחקים Cloud Router, נמחק גם שער Cloud NAT שמשויך אליו.
מחיקת רשת ה-VPC ותת-הרשתות שלה
המסוף
נכנסים לדף VPC networks במסוף Google Cloud .
בעמודה שם, לוחצים על
vpc-fw-rules.לוחצים על מחיקת רשת VPC.
בתיבת הדו-שיח מחיקת רשת, לוחצים על מחיקה.
כשמוחקים VPC, גם רשתות המשנה שלו נמחקות.
gcloud
כדי למחוק את תת-הרשתות של רשת ה-VPC
vpc-fw-rules, מריצים את הפקודה הבאה:gcloud compute networks subnets delete subnet-fw-rules-client subnet-fw-rules-server \ --region=us-central1כשמופיעה הנחיה, מקישים על Y כדי לאשר ואז מקישים על Enter.
כדי למחוק את רשת ה-VPC
vpc-fw-rules, מריצים את הפקודה הבאה:gcloud compute networks delete vpc-fw-rules
כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.