Adressgruppen für Firewallrichtlinien konfigurieren

In dieser Anleitung wird beschrieben, wie Sie Adressgruppen für Firewallrichtlinien in Ihrem Netzwerk erstellen und konfigurieren. Es wird ein Beispiel für das Erstellen eines VPC-Netzwerks (Virtual Private Cloud) mit Subnetzen, das Erstellen einer projektbezogenen Adressgruppe, das Einrichten einer Firewallrichtlinie, die die Adressgruppe mit Firewallregeln verwendet, und dann die Firewallregeln testet. Weitere Informationen finden Sie unter Adressgruppen für Firewallrichtlinien.

Nutzer-VPC-Netzwerk mit Subnetzen erstellen

In diesem Abschnitt erstellen Sie ein Nutzer-VPC-Netzwerk mit zwei IPv4-Subnetzen: subnet-consumer-allowed und subnet-consumer-blocked.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf VPC-Netzwerk erstellen.

  3. Geben Sie für Name vpc-consumer ein.

  4. Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.

  5. Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:

    • Name: subnet-consumer-allowed
    • Region: us-central1
    • IPv4-Bereich: 192.168.10.0/29

  6. Klicken Sie auf Fertig.

  7. Klicken Sie auf Subnetz hinzufügen und geben Sie folgende Konfigurationsparameter an:

    • Name: subnet-consumer-blocked
    • Region: us-central1
    • IPv4-Bereich: 192.168.20.0/29

  8. Klicken Sie auf Fertig.

  9. Klicken Sie auf Erstellen.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  2. Führen Sie den folgenden Befehl aus, um ein VPC-Netzwerk zu erstellen:

    gcloud compute networks create vpc-consumer \
  --subnet-mode=custom

  3. Klicken Sie im Dialogfeld Cloud Shell autorisieren auf Autorisieren.

  4. Führen Sie folgenden Befehl aus, um ein Subnetz zu erstellen:

    gcloud compute networks subnets create subnet-consumer-allowed \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.10.0/29

  5. Führen Sie folgenden Befehl aus, um ein weiteres Subnetz zu erstellen:

    gcloud compute networks subnets create subnet-consumer-blocked \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.20.0/29

Ersteller-VPC-Netzwerk mit Subnetz erstellen

In diesem Abschnitt erstellen Sie ein Ersteller-VPC-Netzwerk mit einem IPv4-Subnetz.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf VPC-Netzwerk erstellen.

  3. Geben Sie für Name vpc-producer ein.

  4. Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.

  5. Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:

    • Name: subnet-vpc-producer
    • Region: us-central1
    • IPv4-Bereich: 172.16.10.0/29

  6. Klicken Sie auf Fertig.

  7. Klicken Sie auf Erstellen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um ein VPC-Netzwerk zu erstellen:

    gcloud compute networks create vpc-producer \
  --subnet-mode=custom

  2. Führen Sie folgenden Befehl aus, um das Subnetz zu erstellen:

    gcloud compute networks subnets create subnet-vpc-producer \
  --network=vpc-producer \
  --region=us-central1 \
  --range=172.16.10.0/29

Cloud Router und Cloud NAT-Gateway erstellen

Damit die vm-producer-VM auf das öffentliche Internet zugreifen kann, erstellen Sie einen Cloud Router und ein Cloud NAT-Gateway.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite „Cloud NAT”

  2. Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

  3. Geben Sie als Gatewayname nat-gateway-addressgrp ein.

  4. Wählen Sie als NAT-Typ Öffentlich aus.

  5. Geben Sie im Bereich Cloud Router wählen folgende Konfigurationsparameter an:

    • Netz: vpc-producer
    • Region: us-central1 (lowa)
    • Cloud Router: Klicken Sie auf Neuen Router erstellen.
      1. Geben Sie für Name router-addressgrp ein.
      2. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Erstellen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:

    gcloud compute routers create router-addressgrp \
  --network=vpc-producer \
  --region=us-central1

  2. Führen Sie folgenden Befehl aus, um ein Cloud NAT-Gateway zu erstellen:

    gcloud compute routers nats create nat-gateway-addressgrp \
  --router=router-addressgrp \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

VMs erstellen

Erstellen Sie in jedem Subnetz des VPC-Netzwerks, das Sie im vorherigen Abschnitt erstellt haben, VMs ohne externe IP-Adressen.

VM für das vom Nutzer zugelassene VPC-Netzwerk erstellen

Erstellen Sie eine VM im subnet-consumer-allowed-Subnetz.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

    Zur Seite „Instanz erstellen“

  2. Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:

    1. Geben Sie für Name vm-consumer-allowed ein.
    2. Wählen Sie bei Region die Option us-central1 (Iowa) aus.

  3. Klicken Sie im Navigationsmenü auf Netzwerk.

    1. Klicken Sie im Bereich Netzwerkschnittstellen auf default und geben Sie die folgenden Konfigurationsparameter an:
      • Netz: vpc-consumer
      • Subnetzwerk: subnet-consumer-allowed IPv4 (192.168.10.0/29)
      • Externe IPv4-Adresse: Keine
    2. Klicken Sie auf Fertig.

  4. Klicken Sie auf Erstellen.

gcloud 

gcloud compute instances create vm-consumer-allowed \
     --network=vpc-consumer \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-consumer-allowed

VM für das vom Nutzer blockierte VPC-Netzwerk erstellen

In diesem Abschnitt erstellen Sie eine VM im subnet-consumer-blocked-Subnetz.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

    Zur Seite „Instanz erstellen“

  2. Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:

    1. Geben Sie für Name vm-consumer-blocked ein.
    2. Wählen Sie bei Region die Option us-central1 (Iowa) aus.

  3. Klicken Sie im Navigationsmenü auf Netzwerk.

    1. Klicken Sie im Bereich Netzwerkschnittstellen auf default und geben Sie die folgenden Konfigurationsparameter an:
      • Netz: vpc-consumer
      • Subnetzwerk: subnet-consumer-blocked IPv4 (192.168.20.0/29)
      • Externe IPv4-Adresse: Keine
    2. Klicken Sie auf Fertig.

  4. Klicken Sie auf Erstellen.

gcloud 

gcloud compute instances create vm-consumer-blocked \
    --network=vpc-consumer \
    --zone=us-central1-a \
    --stack-type=IPV4_ONLY \
    --no-address \
    --subnet=subnet-consumer-blocked

VM für das Ersteller-VPC-Netzwerk erstellen

Erstellen Sie eine VM im Subnetz subnet-vpc-producer und installieren Sie einen Apache-Server darauf.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

    Zur Seite „Instanz erstellen“

  2. Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:

    1. Geben Sie für Name vm-producer ein.
    2. Wählen Sie bei Region die Option us-central1 (Iowa) aus.

  3. Klicken Sie im Navigationsmenü auf Netzwerk.

    1. Klicken Sie im Bereich Netzwerkschnittstellen auf default und geben Sie die folgenden Konfigurationsparameter an:
      • Netz: vpc-producer
      • Subnetzwerk: subnet-vpc-producer IPv4 (172.16.10.0/29)
    2. Klicken Sie auf Fertig.

  4. Klicken Sie im Navigationsmenü auf Erweitert und geben Sie das folgende Skript in das Feld Startskript ein:

      #! /bin/bash
  apt-get update
  apt-get install apache2 -y
  a2ensite default-ssl
  a2enmod ssl
  # Read VM network configuration:
  md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
  vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
  filter="{print \$NF}"
  vm_network="$(curl $md_vm/network-interfaces/0/network \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  vm_zone="$(curl $md_vm/zone \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  # Apache configuration:
  echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
  tee /var/www/html/index.html
  systemctl restart apache2

    Mit dem vorherigen Skript wird ein Apache-Webserver auf dieser VM bereitgestellt und gestartet.

  5. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um eine Ersteller-VM zu erstellen:

  gcloud compute instances create vm-producer \
      --network=vpc-producer \
      --zone=us-central1-a \
      --stack-type=IPV4_ONLY \
      --no-address \
      --subnet=subnet-vpc-producer \
      --image-project=debian-cloud \
      --image-family=debian-10 \
      --metadata=startup-script='#! /bin/bash
        apt-get update
        apt-get install apache2 -y
        a2ensite default-ssl
        a2enmod ssl
        # Read VM network configuration:
        md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
        vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
        filter="{print \$NF}"
        vm_network="$(curl $md_vm/network-interfaces/0/network \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        vm_zone="$(curl $md_vm/zone \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        # Apache configuration:
        echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
        tee /var/www/html/index.html
        systemctl restart apache2'

Erstellen Sie eine VPC-Netzwerk-Peering-Verbindung

Wenn Sie Ihre vpc-consumer- und vpc-producer-VPC-Netzwerke im selben Projekt privat verbinden möchten, verwenden Sie VPC-Netzwerk-Peering. Das VPC-Netzwerk-Peering ermöglicht interne IP-Adressen-Konnektivität zwischen zwei VPC-Netzwerken, unabhängig davon, ob die VPC-Netzwerke zum selben Projekt oder zur selben Organisation gehören.

Peering von vpc-consumer mit vpc-producer

Damit das VPC-Netzwerk-Peering erfolgreich eingerichtet werden kann, müssen Sie die Peering-Verknüpfung für das Netzwerk vpc-consumer und das Netzwerk vpc-producer separat konfigurieren.

Console

So erstellen Sie das VPC-Netzwerk-Peering zwischen den Netzwerken vpc-consumer und vpc-producer:

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Klicken Sie auf Verbindung erstellen.

  3. Klicken Sie auf Weiter.

  4. Geben Sie im Feld Name peering-cp ein.

  5. Wählen Sie unter Mein VPC-Netzwerk die Option vpc-consumer aus.

  6. Wählen Sie unter VPC-Netzwerkname die Option vpc-producer.

  7. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um das VPC-Netzwerk-Peering zwischen vpc-consumer und vpc-producer zu erstellen:

gcloud compute networks peerings create peering-cp \
    --network=vpc-consumer \
    --peer-network=vpc-producer \
    --stack-type=IPV4_ONLY
keine übereinstimmende Konfiguration vorhanden ist.

Peering des vpc-producer-Netzwerks mit dem vpc-consumer-Netzwerk

Console

So erstellen Sie das VPC-Netzwerk-Peering zwischen vpc-producer und vpc-consumer:

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf .

    Zum VPC-Netzwerk-Peering

  2. Klicken Sie auf Verbindung erstellen.

  3. Klicken Sie auf Weiter.

  4. Geben Sie im Feld Name peering-pc ein.

  5. Wählen Sie unter Mein VPC-Netzwerk die Option vpc-producer aus.

  6. Wählen Sie unter VPC-Netzwerkname die Option vpc-consumer.

  7. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um das VPC-Netzwerk-Peering zwischen vpc-producer und vpc-consumer zu erstellen:

gcloud compute networks peerings create peering-pc \
    --network=vpc-producer \
    --peer-network=vpc-consumer \
    --stack-type=IPV4_ONLY

Globale Netzwerk-Firewallrichtlinie erstellen, um IAP zu aktivieren

Wenn Sie IAP aktivieren möchten, erstellen Sie eine globale Netzwerk-Firewallrichtlinie und fügen eine Firewallregel hinzu. IAP ermöglicht den Administratorzugriff auf die VM-Instanzen.

Die Firewallregel hat die folgenden Merkmale.

  • Eingehender Traffic aus dem IP-Bereich 35.235.240.0/20. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.

  • Eine Verbindung zu allen Ports, die über die IAP-TCP-Weiterleitung zugänglich sein sollen, z. B. Port 22 für SSH.

Console

So gewähren Sie IAP-Zugriff auf alle VM-Instanzen im vpc-consumer- und vpc-producer-Netzwerk:

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie auf Firewallrichtlinie erstellen.

  3. Geben Sie im Abschnitt Richtlinie konfigurieren unter Richtlinienname fw-policy-addressgrp ein.

  4. Wählen Sie unter Bereitstellungsbereich Global aus und klicken Sie auf Weiter.

  5. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie im Bereich Regeln hinzufügen auf Regel hinzufügen.

    1. Geben Sie 100 als Priorität ein.
    2. Wählen Sie für Traffic-Richtung die Option Eingehend aus.
    3. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
    4. Wählen Sie im Abschnitt Ziel als Zieltyp Alle Instanzen im Netzwerk aus.
    5. Geben Sie im Abschnitt Quelle unter IP-Bereiche 35.235.240.0/20 ein.
    6. Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.
    7. Markieren Sie das Kästchen TCP und geben Sie unter TCP 22 ein.
    8. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Weiter.

  7. Wenn Sie ein VPC-Netzwerk mit der Richtlinie verknüpfen möchten, klicken Sie im Bereich Richtlinie mit VPC-Netzwerken verknüpfen auf Verknüpfen.

  8. Markieren Sie die Kästchen vpc-producer und vpc-consumer und klicken Sie dann auf Verknüpfen.

  9. Klicken Sie auf Weiter.

  10. Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um IAP den Zugriff auf die VM-Instanzen im Netzwerk vpc-producer zu ermöglichen:

  1. Führen Sie folgenden Befehl aus, um eine Firewallrichtlinie zu erstellen:

    gcloud compute network-firewall-policies create fw-policy-addressgrp \
    --global

  2. Führen Sie folgenden Befehl aus, um eine Firewallregel zu erstellen, die Traffic an alle Ziele zulässt und Logs aktiviert:

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy

  3. Führen Sie folgenden Befehl aus, um die Firewallrichtlinie mit dem Ersteller-VPC-Netzwerk zu verknüpfen:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-producer \
    --name=pol-association-vpc-producer \
    --global-firewall-policy

  4. Führen Sie folgenden Befehl aus, um die Firewallrichtlinie mit dem Nutzer-VPC-Netzwerk zu verknüpfen:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-consumer \
    --name=pol-association-vpc-consumer \
    --global-firewall-policy

Projektbezogene Adressgruppe erstellen

Erstellen Sie eine projektbezogene Adressgruppe, die die dem subnet-consumer-allowedSubnetz des VPC-Netzwerks vpc-consumer zugewiesene IP-Adresse verwendet.

Weitere Informationen zu projektbezogenen Adressgruppen finden Sie unter Adressgruppen in Firewallrichtlinien verwenden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.

    Zu „Adressgruppen“

  2. Klicken Sie auf Adressengruppe erstellen.

  3. Geben Sie im Feld Name address-group-pc ein.

  4. Wählen Sie unter Umfang die Option Global aus.

  5. Wählen Sie unter Typ die Option IPv4 aus.

  6. Geben Sie im Feld Capacity (Kapazität) den Wert 1000 ein.

  7. Geben Sie im Feld IP-Adressen 192.168.10.0/29 ein.

  8. Klicken Sie auf Erstellen.

gcloud

  1. Wenn Sie das Cloud Shell-Terminal zum ersten Mal verwenden, klicken Sie in der Google Cloud Console auf alt='' Cloud Shell aktivieren.

  2. Führen Sie den folgenden Befehl aus, um eine Adressgruppe zu erstellen:

    gcloud network-security address-groups create address-group-pc \
    --type IPv4 \
    --capacity 1000 \
    --location global

  3. Klicken Sie im Dialogfeld Cloud Shell autorisieren auf Autorisieren.

  4. Führen Sie den folgenden Befehl aus, um einer Adressgruppe ein Element hinzuzufügen:

    gcloud network-security address-groups add-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

    Beachten Sie, dass der IP-Bereich 192.168.10.0/29 dem subnet-consumer-allowed-Subnetz des VPC-Netzwerks vpc-consumer zugewiesen ist.

Firewallregel zum Zulassen von Traffic zu einer Adressgruppe hinzufügen

Wenn Sie eingehende Verbindungen von der vm-consumer-allowed-VM zulassen möchten, erstellen Sie eine Firewallregel, die die Adressgruppe auf Projektebene address-group-pc als Quell-IP-Adresse hinzufügt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf fw-policy-addressgrp.

  3. Klicken Sie auf Regel erstellen.

  4. Geben Sie 150 als Priorität ein.

  5. Wählen Sie für Traffic-Richtung die Option Eingehend aus.

  6. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.

  7. Wählen Sie für Logs Ein aus.

  8. Wählen Sie im Abschnitt Ziel als Zieltyp Alle Instanzen im Netzwerk aus.

  9. Wählen Sie im Abschnitt Quelle für Adressgruppe die Option address-group-pc (PROJECT_ID) aus und klicken Sie auf OK.

    Denken Sie daran, dass die IP-Adressgruppe address-group-pc einen IP-Bereich von 192.168.10.0/29 hat, der dem Subnetz subnet-consumer-allowed des VPC-Netzwerks des Nutzers zugewiesen ist.

  10. Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um die Firewallrichtlinie zu aktualisieren:

gcloud compute network-firewall-policies rules create 150 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Verbindung testen

Testen Sie die Verbindung von der vm-consumer-allowed-VM zur vm-producer-VM und von der vm-consumer-blocked-VM zur vm-producer-VM.

Traffic von der vm-consumer-allowed-VM zur vm-producer-VM testen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

    Zu "VM-Instanzen"

  2. Kopieren Sie in der Spalte Interne IP-Adresse der vm-producer-VM die interne IP-Adresse der VM.

  3. Klicken Sie in der Spalte Verbinden der vm-consumer-allowed-VM auf SSH.

  4. Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.

  5. Führen Sie folgenden Befehl aus, um die Verbindung zu prüfen:

    curl INTERNAL_IP -m 2

    Ersetzen Sie INTERNAL_IP durch die IP-Adresse der vm-producer-VM.

    Die Ausgabe sieht in etwa so aus:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Schließen Sie das Dialogfeld SSH-in-browser.

gcloud

  1. Führen Sie den folgenden Befehl aus, um die interne IP-Adresse der vm-producer-VM aufzurufen:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste. Notieren Sie sich die interne IP-Adresse Ihrer vm-producer-VM.

  2. Führen Sie den folgenden Befehl aus, um über SSH eine Verbindung zur vm-consumer-allowed-VM herzustellen:

    gcloud compute ssh vm-consumer-allowed \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Führen Sie folgenden Befehl aus, um die Verbindung zu prüfen:

    curl INTERNAL_IP -m 2

    Ersetzen Sie INTERNAL_IP durch die interne IP-Adresse der vm-producer-VM.

    Die erwartete Antwort lautet:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. Geben Sie exit ein, um die SSH-Verbindung zu beenden.

Traffic von der vm-consumer-blocked-VM zur vm-producer-VM testen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

    Zu "VM-Instanzen"

  2. Kopieren Sie in der Spalte Interne IP-Adresse der vm-producer-VM die interne IP-Adresse der VM.

  3. Klicken Sie in der Spalte Verbinden der vm-consumer-blocked-VM auf SSH.

  4. Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.

  5. Führen Sie folgenden Befehl aus, um die Verbindung zu prüfen:

    curl INTERNAL_IP -m 2

    Ersetzen Sie INTERNAL_IP durch die IP-Adresse der vm-producer-VM.

    Die Connection timed out-Nachricht wird erwartet, da jede VM eine implizite Firewallregel für eingehenden Traffic erstellt, die jeden Traffic ablehnt. Wenn Sie den Traffic zulassen möchten, fügen Sie der Firewallrichtlinie eine Regel für eingehenden Traffic hinzu.

  6. Schließen Sie das Dialogfeld SSH-in-browser.

gcloud

  1. Führen Sie den folgenden Befehl aus, um die interne IP-Adresse der vm-producer-VM aufzurufen:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste. Notieren Sie sich die interne IP-Adresse Ihrer vm-producer-VM.

  2. Führen Sie den folgenden Befehl aus, um über SSH eine Verbindung zur vm-consumer-blocked-VM herzustellen:

    gcloud compute ssh vm-consumer-blocked \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Führen Sie folgenden Befehl aus, um die Verbindung zu prüfen:

    curl INTERNAL_IP -m 2

    Ersetzen Sie INTERNAL_IP durch die interne IP-Adresse der vm-producer-VM.

    Die Connection timed out-Nachricht wird erwartet, da jede VM eine implizite Firewallregel für eingehenden Traffic erstellt, die jeden Traffic ablehnt. Wenn Sie den Traffic zulassen möchten, fügen Sie der Firewallrichtlinie eine Regel für eingehenden Traffic hinzu.

  4. Geben Sie exit ein, um die SSH-Verbindung zu beenden.

Logs ansehen

Sie können anhand der Logs prüfen, ob die Firewallregeln für Adressgruppen auf den eingehenden Traffic angewendet wurden. Rufen Sie die Anmeldedaten mit den folgenden Schritten auf:

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen fw-policy-addressgrp.

  3. Wählen Sie in der Spalte Trefferzahl die Nummer für die Regel aus, die Sie beim Hinzufügen einer Firewallregel zum Zulassen von Traffic zu einer Adressgruppe erstellt haben. Die Seite Log-Explorer wird geöffnet.

  4. Wenn Sie die auf den eingehenden Traffic angewendete Firewallregel aufrufen möchten, maximieren Sie das relevante Log. Sie können die Regeldetails, die Anordnung und die Instanzdetails aufrufen.

Bereinigen

Damit Ihrem Google Cloud -Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.

Führen Sie die folgenden Schritte aus, um die in dieser Anleitung erstellten Ressourcen zu löschen:

Adressgruppen löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf fw-policy-addressgrp.

  3. Klicken Sie im Bereich Firewallregeln das Kästchen der Firewallregel 150 an.

  4. Klicken Sie auf Löschen.

  5. Rufen Sie in der Google Cloud Console die Seite Adressgruppen auf.

    Zu „Adressgruppen“

  6. Klicken Sie im Bereich Adressgruppen das Kästchen neben address-group-pc an.

  7. Klicken Sie auf Löschen und dann erneut auf Löschen, um den Löschvorgang zu bestätigen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um die Firewallregel zu löschen, die mit der IP‑Adressgruppe address-group-pc verknüpft ist:

    gcloud compute network-firewall-policies rules delete 150 \
    --firewall-policy fw-policy-addressgrp \
    --global-firewall-policy

  2. Führen Sie den folgenden Befehl aus, um ein vorhandenes Element aus einer Adressgruppe zu entfernen:

    gcloud network-security address-groups remove-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

  3. Führen Sie den folgenden Befehl aus, um eine IP-Adressgruppe zu löschen:

    gcloud network-security address-groups delete address-group-pc \
    --location global

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Firewallrichtlinie löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Klicken Sie im Abschnitt Netzwerk-Firewallrichtlinien auf den Namen fw-policy-addressgrp.

  3. Klicken Sie auf den Tab Verknüpfungen.

  4. Markieren Sie die Kästchen der vpc-producer-VM und der vpc-consumer-VM und klicken Sie dann auf Verknüpfung entfernen.

  5. Klicken Sie im Dialogfeld Firewallrichtlinien-Verknüpfung entfernen auf Entfernen.

  6. Klicken Sie neben dem Titel fw-policy-addressgrp auf Löschen.

  7. Klicken Sie im Dialogfeld Firewallrichtlinie löschen auf Löschen.

gcloud

  1. Entfernen Sie die Verknüpfung zwischen der Firewallrichtlinie und dem VPC-Produzentennetzwerk.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-producer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  2. Entfernen Sie die Verknüpfung zwischen der Firewallrichtlinie und dem VPC-Nutzer-Netzwerk.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-consumer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  3. Löschen Sie die Firewallrichtlinie.

    gcloud compute network-firewall-policies delete fw-policy-addressgrp \
    --global

VPC-Netzwerk-Peering löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Markieren Sie die Kästchen für peering-cp und peering-pc.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im Dialogfeld Möchten Sie 2 Peerings löschen? auf Löschen.

gcloud

  1. Führen Sie folgenden Befehl aus, um das Peering zwischen der Nutzer-VPC und der Producer-VPC zu löschen:

    gcloud compute networks peerings delete peering-cp \
    --network=vpc-consumer

  2. Führen Sie den folgenden Befehl aus , um das Peering zwischen der Ersteller-VPC und der Consumer-VPC zu löschen:

    gcloud compute networks peerings delete peering-pc \
    --network=vpc-producer

Cloud NAT-Gateway und Cloud Router löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Cloud Router auf.

    Zu "Cloud Router"

  2. Markieren Sie das router-addressgrp-Kästchen.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im Dialogfeld router-addressgrp löschen auf Löschen.

Wenn Sie einen Cloud Router löschen, wird auch das zugehörige Cloud NAT-Gateway gelöscht.

gcloud

Führen Sie den folgenden Befehl aus, um den Cloud Router router-addressgrp zu löschen:

gcloud compute routers delete router-addressgrp \
    --region=us-central1

Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Wenn Sie einen Cloud Router löschen, wird auch das zugehörige Cloud NAT-Gateway gelöscht.

VMs löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:

    Zu "VM-Instanzen"

  2. Markieren Sie die Kästchen für die VMs vm-consumer-allowed, vm-consumer-blocked und vm-producer.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im Dialogfeld Möchten Sie 3 Instanzen löschen? auf Löschen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um alle VMs zu löschen:

    gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \
    --zone=us-central1-a

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Nutzer-VPC-Netzwerk und dessen Subnetze löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie in der Spalte Name auf vpc-consumer.

  3. Klicken Sie auf VPC-Netzwerk löschen.

  4. Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.

Wenn Sie eine VPC löschen, werden auch deren Subnetze gelöscht.

gcloud

  1. Führen Sie folgenden Befehl aus, um die Subnetze des VPC-Netzwerks vpc-consumer zu löschen:

    gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \
   --region=us-central1

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie folgenden Befehl aus, um das VPC-Netzwerk vpc-consumer zu löschen:

    gcloud compute networks delete vpc-consumer

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Produzenten-VPC-Netzwerk und dessen Subnetz löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie in der Spalte Name auf vpc-producer.

  3. Klicken Sie auf VPC-Netzwerk löschen.

  4. Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.

Wenn Sie eine VPC löschen, werden auch deren Subnetze gelöscht.

gcloud

  1. Führen Sie folgenden Befehl aus, um das Subnetz des VPC-Netzwerks vpc-producer zu löschen:

    gcloud compute networks subnets delete subnet-vpc-producer \
   --region=us-central1

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie folgenden Befehl aus, um das VPC-Netzwerk vpc-producer zu löschen:

    gcloud compute networks delete vpc-producer

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.