הגדרת קבוצות של כתובות לכללי מדיניות של חומת אש

במדריך הזה מוסבר איך ליצור ולהגדיר קבוצות של כתובות למדיניות חומת האש ברשת. במאמר מוסבר איך ליצור רשת ענן וירטואלי פרטי (VPC) עם רשתות משנה, ליצור קבוצת כתובות בהיקף הפרויקט, להגדיר מדיניות חומת אש שמשתמשת בקבוצת הכתובות עם כללי חומת אש, ואז לבדוק את כללי חומת האש. מידע נוסף זמין במאמר בנושא קבוצות כתובות למדיניות של חומת האש.

מטרות

במדריך הזה מוסבר איך לבצע את הפעולות הבאות:

  • יוצרים שתי רשתות VPC מותאמות אישית עם רשתות משנה.
  • יוצרים שלוש מכונות וירטואליות (VM) (שתי מכונות וירטואליות של צרכן ברשתות משנה נפרדות של רשת VPC אחת ומכונה וירטואלית של ספק ברשת VPC שנייה). כל המכונות הווירטואליות נוצרות ללא כתובת IP חיצונית.
  • מתקינים את שרת Apache במכונה הווירטואלית של המפיק.
  • יוצרים קישור בין רשתות VPC שכנות (peering).
  • יוצרים Cloud Router ושער Cloud NAT, שמאפשרים למכונה הווירטואלית של היצרן לגשת לאינטרנט הציבורי.
  • יוצרים קבוצת כתובות בהיקף הפרויקט.
  • יוצרים מדיניות חומת אש בין רשתות גלובלית עם הכללים הבאים:
    • מאפשרים קישוריות SSH לשרת proxy לאימות זהויות (IAP) למכונות הווירטואליות.
    • מאפשרים תנועה ממכונת הצרכן הווירטואלית המותרת למכונת היצרן הווירטואלית באמצעות קבוצת הכתובות בהיקף הפרויקט.
  • בודקים את החיבור.

בתרשים הבא מוצגת התעבורה בין מכונות וירטואליות של יצרן וצרכן באזור us-central1 בשתי רשתות VPC בהתאמה אישית. מדיניות גלובלית של חומת אש ברשת משתמשת בכלל של קבוצת כתובות בהיקף הפרויקט כדי לאפשר תעבורת נתונים נכנסת בין המכונות הווירטואליות vm-consumer-allowed ו-vm-producer. התנועה בין מכונה וירטואלית vm-consumer-blocked למכונה וירטואלית vm-producer נדחית כי לכל מכונה וירטואלית יש כלל חומת אש מרומז לתנועה נכנסת שדוחה את כל התנועה.

מדיניות חומת אש בין רשתות גלובלית שמאפשרת תעבורת נתונים נכנסת (ingress) מתת-רשת למכונה וירטואלית (VM) יעד ברשת VPC אחרת.
מדיניות חומת אש גלובלית ברשת שמאפשרת תעבורת נתונים נכנסת מרשת משנה למכונה וירטואלית יעד ברשת VPC אחרת (לחצו כדי להגדיל).

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. מפעילים את Compute Engine API בפרויקט.
  7. חשוב לוודא שהקצו לכם את התפקיד 'אדמין רשת Compute' (roles/compute.networkAdmin).
  8. מפעילים את Identity-Aware Proxy API בפרויקט.
  9. אם אתם מעדיפים לעבוד משורת הפקודה, אתם יכולים להתקין את Google Cloud CLI. מידע על המושגים ועל ההתקנה של הכלי זמין במאמר סקירה כללית של ה-CLI של gcloud.

    הערה: אם לא הפעלתם את ה-CLI של gcloud בעבר, אתחלו את ספריית ה-CLI של gcloud באמצעות הפקודה gcloud init.

יצירת רשת VPC של צרכן עם רשתות משנה

בקטע הזה, יוצרים רשת VPC של צרכן עם שתי תת-רשתות IPv4: ‏ subnet-consumer-allowed ו-subnet-consumer-blocked.

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על יצירת רשת VPC.

  3. בשדה Name (שם), מזינים vpc-consumer.

  4. בקטע Subnet creation mode (מצב יצירת רשת משנה), בוחרים באפשרות Custom (בהתאמה אישית).

  5. בקטע New subnet (רשת משנה חדשה), מציינים את פרמטרי ההגדרה הבאים של רשת משנה:

    • Name (שם): subnet-consumer-allowed
    • אזור: us-central1
    • טווח IPv4: 192.168.10.0/29

  6. לוחצים על סיום.

  7. לוחצים על הוספת רשת משנה ומציינים את פרמטרי ההגדרה הבאים:

    • Name (שם): subnet-consumer-blocked
    • אזור: us-central1
    • טווח IPv4: 192.168.20.0/29

  8. לוחצים על סיום.

  9. לוחצים על יצירה.

gcloud

  1. במסוף Google Cloud , מפעילים את Cloud Shell.

    הפעלת Cloud Shell

  2. כדי ליצור רשת VPC, מריצים את הפקודה הבאה:

    gcloud compute networks create vpc-consumer \
  --subnet-mode=custom

  3. בתיבת הדו-שיח Authorize cloud shell (אישור Cloud Shell), לוחצים על Authorize (אישור).

  4. כדי ליצור רשת משנה, מריצים את הפקודה הבאה:

    gcloud compute networks subnets create subnet-consumer-allowed \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.10.0/29

  5. כדי ליצור רשת משנה נוספת, מריצים את הפקודה הבאה:

    gcloud compute networks subnets create subnet-consumer-blocked \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.20.0/29

יצירת רשת VPC של ספק עם רשת משנה

בקטע הזה יוצרים רשת VPC של ספק עם תת-רשת IPv4.

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על יצירת רשת VPC.

  3. בשדה Name (שם), מזינים vpc-producer.

  4. בקטע Subnet creation mode (מצב יצירת רשת משנה), בוחרים באפשרות Custom (בהתאמה אישית).

  5. בקטע New subnet (רשת משנה חדשה), מציינים את פרמטרי ההגדרה הבאים של רשת משנה:

    • Name (שם): subnet-vpc-producer
    • אזור: us-central1
    • טווח IPv4: 172.16.10.0/29

  6. לוחצים על סיום.

  7. לוחצים על יצירה.

gcloud

  1. כדי ליצור רשת VPC, מריצים את הפקודה הבאה:

    gcloud compute networks create vpc-producer \
  --subnet-mode=custom

  2. כדי ליצור את רשת המשנה, מריצים את הפקודה הבאה:

    gcloud compute networks subnets create subnet-vpc-producer \
  --network=vpc-producer \
  --region=us-central1 \
  --range=172.16.10.0/29

יצירת Cloud Router ושער Cloud NAT

כדי לאפשר למכונה הווירטואלית vm-producer גישה לאינטרנט הציבורי, יוצרים Cloud Router ושער Cloud NAT.

המסוף

  1. נכנסים לדף Cloud NAT במסוף Google Cloud .

    כניסה ל-Cloud NAT

  2. לוחצים על Get started (תחילת העבודה) או על Create Cloud NAT gateway (יצירת שער Cloud NAT).

  3. בשדה שם השער, מזינים nat-gateway-addressgrp.

  4. בקטע NAT type (סוג NAT), בוחרים באפשרות Public (ציבורי).

  5. בקטע Select Cloud Router, מציינים את פרמטרי ההגדרה הבאים:

    • רשת: vpc-producer
    • אזור: us-central1 (lowa)
    • Cloud Router: לוחצים על יצירת נתב חדש.
      1. בשדה Name (שם), מזינים router-addressgrp.
      2. לוחצים על יצירה.

  6. לוחצים על יצירה.

gcloud

  1. כדי ליצור Cloud Router, מריצים את הפקודה הבאה:

    gcloud compute routers create router-addressgrp \
  --network=vpc-producer \
  --region=us-central1

  2. כדי ליצור שער Cloud NAT, מריצים את הפקודה הבאה:

    gcloud compute routers nats create nat-gateway-addressgrp \
  --router=router-addressgrp \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

יצירת מכונות וירטואליות

בכל רשת משנה של רשת ה-VPC שיצרתם בקטע הקודם, יוצרים מכונות וירטואליות ללא כתובת IP חיצונית.

יצירת מכונה וירטואלית ברשת VPC שמוגדרת כרשת מותרת לצרכן

יוצרים מכונה וירטואלית בתת-הרשת subnet-consumer-allowed.

המסוף

  1. נכנסים לדף Create an instance במסוף Google Cloud .

    כניסה לדף Create an instance

  2. בחלונית Machine configuration:

    1. בשדה Name (שם), מזינים vm-consumer-allowed.
    2. בשדה אזור, בוחרים באפשרות us-central1 (Iowa).

  3. בתפריט הניווט, לוחצים על Networking (רשת).

    1. בקטע Network interfaces (ממשקי רשת), לוחצים על default ומציינים את פרמטרי ההגדרה הבאים:
      • רשת: vpc-consumer
      • Subnetwork: subnet-consumer-allowed IPv4 (192.168.10.0/29)
      • כתובת IPv4 חיצונית: ללא
    2. לוחצים על סיום.

  4. לוחצים על יצירה.

gcloud 

gcloud compute instances create vm-consumer-allowed \
     --network=vpc-consumer \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-consumer-allowed

יצירת מכונה וירטואלית ברשת VPC חסומה של צרכן

בקטע הזה, יוצרים מכונה וירטואלית בתת-הרשת subnet-consumer-blocked.

המסוף

  1. נכנסים לדף Create an instance במסוף Google Cloud .

    כניסה לדף Create an instance

  2. בחלונית Machine configuration:

    1. בשדה Name (שם), מזינים vm-consumer-blocked.
    2. בשדה אזור, בוחרים באפשרות us-central1 (Iowa).

  3. בתפריט הניווט, לוחצים על Networking (רשת).

    1. בקטע Network interfaces (ממשקי רשת), לוחצים על default ומציינים את פרמטרי ההגדרה הבאים:
      • רשת: vpc-consumer
      • Subnetwork: subnet-consumer-blocked IPv4 (192.168.20.0/29)
      • כתובת IPv4 חיצונית: ללא
    2. לוחצים על סיום.

  4. לוחצים על יצירה.

gcloud 

gcloud compute instances create vm-consumer-blocked \
    --network=vpc-consumer \
    --zone=us-central1-a \
    --stack-type=IPV4_ONLY \
    --no-address \
    --subnet=subnet-consumer-blocked

יצירת מכונה וירטואלית ברשת ה-VPC של הספק

יוצרים מכונה וירטואלית ברשת המשנה subnet-vpc-producer ומתקינים בה שרת Apache.

המסוף

  1. נכנסים לדף Create an instance במסוף Google Cloud .

    כניסה לדף Create an instance

  2. בחלונית Machine configuration:

    1. בשדה Name (שם), מזינים vm-producer.
    2. בשדה אזור, בוחרים באפשרות us-central1 (Iowa).

  3. בתפריט הניווט, לוחצים על Networking (רשת).

    1. בקטע Network interfaces (ממשקי רשת), לוחצים על default ומציינים את פרמטרי ההגדרה הבאים:
      • רשת: vpc-producer
      • Subnetwork: subnet-vpc-producer IPv4 (172.16.10.0/29)
    2. לוחצים על סיום.

  4. בתפריט הניווט, לוחצים על מתקדם ומזינים את הסקריפט הבא בשדה סקריפט לטעינה בזמן ההפעלה:

      #! /bin/bash
  apt-get update
  apt-get install apache2 -y
  a2ensite default-ssl
  a2enmod ssl
  # Read VM network configuration:
  md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
  vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
  filter="{print \$NF}"
  vm_network="$(curl $md_vm/network-interfaces/0/network \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  vm_zone="$(curl $md_vm/zone \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  # Apache configuration:
  echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
  tee /var/www/html/index.html
  systemctl restart apache2

    הסקריפט הקודם פורס ומפעיל שרת אינטרנט של Apache במכונה הווירטואלית הזו.

  5. לוחצים על יצירה.

gcloud

כדי ליצור מכונה וירטואלית של יצרן, מריצים את הפקודה הבאה:

  gcloud compute instances create vm-producer \
      --network=vpc-producer \
      --zone=us-central1-a \
      --stack-type=IPV4_ONLY \
      --no-address \
      --subnet=subnet-vpc-producer \
      --image-project=debian-cloud \
      --image-family=debian-10 \
      --metadata=startup-script='#! /bin/bash
        apt-get update
        apt-get install apache2 -y
        a2ensite default-ssl
        a2enmod ssl
        # Read VM network configuration:
        md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
        vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
        filter="{print \$NF}"
        vm_network="$(curl $md_vm/network-interfaces/0/network \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        vm_zone="$(curl $md_vm/zone \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        # Apache configuration:
        echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
        tee /var/www/html/index.html
        systemctl restart apache2'

יצירת קישור בין רשתות VPC שכנות (peering)

כדי ליצור חיבור פרטי בין רשתות ה-VPC‏ vpc-consumer ו-vpc-producer באותו פרויקט, משתמשים ב-VPC Network Peering. קישור בין רשתות VPC שכנות מאפשר קישוריות של כתובות IP פנימיות בין שתי רשתות VPC, בלי קשר לשאלה אם רשתות ה-VPC שייכות לאותו פרויקט או לאותו ארגון.

התאמה עם vpc-consumer vpc-producer

כדי ליצור בהצלחה קישור בין רשתות שכנות של VPC, צריך להגדיר בנפרד את הקישור בין הרשתות vpc-consumer ו-vpc-producer.

המסוף

כדי ליצור קישור בין רשתות VPC שכנות (peering) בין רשתות vpc-consumer ו-vpc-producer, מבצעים את השלבים הבאים:

  1. במסוף Google Cloud , נכנסים לדף קישור בין רשתות שכנות (peering) של רשת VPC.

    מעבר לקישור בין רשתות VPC שכנות (peering)

  2. לוחצים על יצירת קישור.

  3. לוחצים על Continue.

  4. בשדה שם מזינים peering-cp.

  5. בקטע רשת VPC, לוחצים על vpc-consumer.

  6. בקטע VPC network name (שם רשת ה-VPC), בוחרים באפשרות vpc-producer.

  7. לוחצים על יצירה.

gcloud

כדי ליצור קישור בין רשתות VPC שכנות (peering) בין vpc-consumer לבין vpc-producer, מריצים את הפקודה הבאה:

gcloud compute networks peerings create peering-cp \
    --network=vpc-consumer \
    --peer-network=vpc-producer \
    --stack-type=IPV4_ONLY

ביצוע Peer בין רשת vpc-producer לרשת vpc-consumer

המסוף

כדי ליצור קישור בין רשתות VPC שכנות (peering) בין vpc-producer לבין vpc-consumer, פועלים לפי השלבים הבאים:

  1. במסוף Google Cloud , נכנסים לדף קישור בין רשתות שכנות (peering) של רשת VPC .

    מעבר לקישור בין רשתות VPC שכנות (peering)

  2. לוחצים על יצירת קישור.

  3. לוחצים על Continue.

  4. בשדה שם מזינים peering-pc.

  5. בקטע רשת VPC, לוחצים על vpc-producer.

  6. בקטע VPC network name (שם רשת ה-VPC), בוחרים באפשרות vpc-consumer.

  7. לוחצים על יצירה.

gcloud

כדי ליצור קישור בין רשתות VPC שכנות (peering) בין vpc-producer לבין vpc-consumer, מריצים את הפקודה הבאה:

gcloud compute networks peerings create peering-pc \
    --network=vpc-producer \
    --peer-network=vpc-consumer \
    --stack-type=IPV4_ONLY

יצירת מדיניות חומת אש בין רשתות גלובלית כדי להפעיל את IAP

כדי להפעיל את IAP, יוצרים מדיניות גלובלית של חומת אש בין רשתות ומוסיפים כלל של חומת אש. ‫IAP מאפשר גישת אדמין למופעי מכונות וירטואליות.

כלל חומת האש כולל את המאפיינים הבאים.

  • תעבורת נתונים נכנסת (ingress) מטווח כתובות ה-IP‏ 35.235.240.0/20. הטווח הזה מכיל את כל כתובות ה-IP שמשמשות את IAP להעברת TCP.

  • חיבור לכל היציאות שרוצים שתהיה אליהן גישה באמצעות העברת TCP ב-IAP, לדוגמה, יציאה 22 ל-SSH.

המסוף

כדי לאפשר גישה ל-IAP לכל המכונות הווירטואליות ברשתות vpc-consumer ו-vpc-producer, פועלים לפי השלבים הבאים:

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. לוחצים על יצירת מדיניות חומת אש.

  3. בקטע Configure policy (הגדרת המדיניות), בשדה Policy name (שם המדיניות), מזינים fw-policy-addressgrp.

  4. בקטע היקף הפריסה, בוחרים באפשרות גלובלי ולוחצים על המשך.

  5. כדי ליצור כללים למדיניות, בקטע הוספת כללים, לוחצים על הוספת כלל.

    1. בשדה עדיפות מזינים 100.
    2. בשדה כיוון התנועה, בוחרים באפשרות תנועה נכנסת.
    3. בקטע פעולה בהתאמה, בוחרים באפשרות אישור.
    4. בקטע יעד, בוחרים באפשרות כל המופעים ברשת בשדה סוג היעד.
    5. בקטע Source, בשדה IP ranges, מזינים 35.235.240.0/20.
    6. בקטע פרוטוקול ויציאות, בוחרים באפשרות פרוטוקולים ויציאות ספציפיים.
    7. מסמנים את תיבת הסימון TCP, ובשדה Ports (יציאות) מזינים 22.
    8. לוחצים על יצירה.

  6. לוחצים על Continue.

  7. כדי לשייך רשת VPC למדיניות, בקטע Associate policy with VPC networks (שיוך מדיניות לרשתות VPC), לוחצים על Associate (שיוך).

  8. מסמנים את תיבות הסימון vpc-producer וvpc-consumer ולוחצים על שיוך.

  9. לוחצים על Continue.

  10. לוחצים על יצירה.

gcloud

כדי לאפשר ל-IAP גישה למכונות הווירטואליות ברשת vpc-producer, מריצים את הפקודה הבאה:

  1. כדי ליצור מדיניות חומת אש, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies create fw-policy-addressgrp \
    --global

  2. כדי ליצור כלל חומת אש שמאפשר תעבורת נתונים לכל היעדים ומפעיל את היומנים, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy

  3. כדי לשייך את מדיניות חומת האש לרשת ה-VPC של היצרן, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-producer \
    --name=pol-association-vpc-producer \
    --global-firewall-policy

  4. כדי לשייך את מדיניות חומת האש לרשת ה-VPC של הלקוח, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-consumer \
    --name=pol-association-vpc-consumer \
    --global-firewall-policy

יצירת קבוצת כתובות בהיקף הפרויקט

יוצרים קבוצת כתובות בהיקף הפרויקט שמשתמשת בכתובת ה-IP שהוקצתה לתת-הרשת subnet-consumer-allowed של רשת ה-VPC vpc-consumer.

מידע נוסף על קבוצות כתובות בהיקף הפרויקט זמין במאמר שימוש בקבוצות כתובות במדיניות חומת האש.

המסוף

  1. נכנסים לדף Address groups במסוף Google Cloud .

    מעבר אל קבוצות כתובות

  2. לוחצים על יצירת קבוצת כתובות.

  3. בשדה שם מזינים address-group-pc.

  4. בוחרים באפשרות Global בשדה היקף.

  5. בשדה Type, בוחרים באפשרות IPv4.

  6. בשדה קיבולת, מזינים 1000.

  7. בשדה IP Addresses, מזינים 192.168.10.0/29.

  8. לוחצים על יצירה.

gcloud

  1. אם זו הפעם הראשונה שאתם משתמשים בטרמינל Cloud Shell, לוחצים על alt='' Activate Cloud Shell במסוף Google Cloud .

  2. כדי ליצור קבוצת כתובות, מריצים את הפקודה הבאה:

    gcloud network-security address-groups create address-group-pc \
    --type IPv4 \
    --capacity 1000 \
    --location global

  3. בתיבת הדו-שיח Authorize cloud shell (אישור Cloud Shell), לוחצים על Authorize (אישור).

  4. כדי להוסיף פריט לקבוצת כתובות, מריצים את הפקודה הבאה:

    gcloud network-security address-groups add-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

    חשוב לזכור שטווח כתובות ה-IP‏ 192.168.10.0/29 מוקצה לרשת המשנה subnet-consumer-allowed של רשת ה-VPC‏ vpc-consumer.

הוספה של כלל חומת אש כדי לאפשר תעבורה לקבוצת כתובות

כדי לאפשר חיבורים נכנסים מהמכונה הווירטואלית vm-consumer-allowed, יוצרים כלל חומת אש שמוסיף את קבוצת הכתובות בהיקף הפרויקט address-group-pc ככתובת ה-IP של המקור.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בקטע Network firewall policies לוחצים על fw-policy-addressgrp.

  3. לוחצים על יצירת כלל.

  4. בשדה עדיפות מזינים 150.

  5. בשדה כיוון התנועה, בוחרים באפשרות תנועה נכנסת.

  6. בקטע פעולה בהתאמה, בוחרים באפשרות אישור.

  7. בקטע יומנים, בוחרים באפשרות מופעל.

  8. בקטע יעד, בוחרים באפשרות כל המופעים ברשת בשדה סוג היעד.

  9. בקטע Source, בשדה Address group, בוחרים באפשרות address-group-pc (PROJECT_ID) ולוחצים על OK.

    חשוב לזכור שלקבוצת כתובות ה-IP‏ address-group-pc יש טווח כתובות IP‏ 192.168.10.0/29 שמוקצה לרשת המשנה subnet-consumer-allowed של רשת ה-VPC של הצרכן.

  10. לוחצים על יצירה.

gcloud

כדי לעדכן את מדיניות חומת האש, מריצים את הפקודה הבאה:

gcloud compute network-firewall-policies rules create 150 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

בדיקת החיבור

בודקים את החיבור מ-vm-consumer-allowed VM ל-vm-producer VM ומ-vm-consumer-blocked VM ל-vm-producer VM.

בדיקת התנועה מהמכונה הווירטואלית vm-consumer-allowed אל המכונה הווירטואלית vm-producer

המסוף

  1. נכנסים לדף VM instances במסוף Google Cloud .

    כניסה לדף VM instances

  2. מהעמודה כתובת IP פנימית של המכונה הווירטואלית vm-producer, מעתיקים את כתובת ה-IP הפנימית של המכונה הווירטואלית.

  3. בעמודה Connect (התחברות) של המכונה הווירטואלית vm-consumer-allowed, לוחצים על SSH.

  4. בתיבת הדו-שיח SSH-in-browser, לוחצים על Authorize ומחכים עד שהחיבור יתבצע.

  5. כדי לאמת את החיבור, מריצים את הפקודה הבאה:

    curl INTERNAL_IP -m 2

    מחליפים את INTERNAL_IP בכתובת ה-IP של המכונה הווירטואלית vm-producer.

    הפלט אמור להיראות כך:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. סוגרים את תיבת הדו-שיח SSH-in-browser.

gcloud

  1. כדי להציג את כתובת ה-IP הפנימית של מכונת ה-VM של vm-producer, מריצים את הפקודה הבאה:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    כשמופיעה הנחיה, מקישים על n כדי לאשר, ואז מקישים על Enter. חשוב לשים לב לכתובת ה-IP הפנימית של המכונה הווירטואלית vm-producer.

  2. כדי להשתמש ב-SSH כדי להתחבר למכונת ה-VM של vm-consumer-allowed, מריצים את הפקודה הבאה:

    gcloud compute ssh vm-consumer-allowed \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. כדי לאמת את החיבור, מריצים את הפקודה הבאה:

    curl INTERNAL_IP -m 2

    מחליפים את INTERNAL_IP בכתובת ה-IP הפנימית של המכונה הווירטואלית vm-producer.

    הודעת התגובה הצפויה היא:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. כדי לצאת מחיבור ה-SSH, מזינים exit.

בדיקת התנועה מהמכונה הווירטואלית vm-consumer-blocked אל המכונה הווירטואלית vm-producer

המסוף

  1. נכנסים לדף VM instances במסוף Google Cloud .

    כניסה לדף VM instances

  2. מהעמודה כתובת IP פנימית של המכונה הווירטואלית vm-producer, מעתיקים את כתובת ה-IP הפנימית של המכונה הווירטואלית.

  3. בעמודה Connect (התחברות) של המכונה הווירטואלית vm-consumer-blocked, לוחצים על SSH.

  4. בתיבת הדו-שיח SSH-in-browser, לוחצים על Authorize ומחכים עד שהחיבור יתבצע.

  5. כדי לאמת את החיבור, מריצים את הפקודה הבאה:

    curl INTERNAL_IP -m 2

    מחליפים את INTERNAL_IP בכתובת ה-IP של המכונה הווירטואלית vm-producer.

    ההודעה Connection timed out צפויה כי כל מכונה וירטואלית יוצרת כלל חומת אש מרומז לכניסה שדוחה את כל התעבורה. כדי לאפשר תעבורה, מוסיפים כלל כניסה למדיניות חומת האש.

  6. סוגרים את תיבת הדו-שיח SSH-in-browser.

gcloud

  1. כדי להציג את כתובת ה-IP הפנימית של מכונת ה-VM של vm-producer, מריצים את הפקודה הבאה:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    כשמופיעה הנחיה, מקישים על n כדי לאשר, ואז מקישים על Enter. חשוב לשים לב לכתובת ה-IP הפנימית של המכונה הווירטואלית vm-producer.

  2. כדי להשתמש ב-SSH כדי להתחבר למכונת ה-VM של vm-consumer-blocked, מריצים את הפקודה הבאה:

    gcloud compute ssh vm-consumer-blocked \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. כדי לאמת את החיבור, מריצים את הפקודה הבאה:

    curl INTERNAL_IP -m 2

    מחליפים את INTERNAL_IP בכתובת ה-IP הפנימית של המכונה הווירטואלית vm-producer.

    ההודעה Connection timed out צפויה כי כל מכונה וירטואלית יוצרת כלל חומת אש מרומז לכניסה שדוחה את כל התעבורה. כדי לאפשר תנועה, מוסיפים כלל תנועה נכנסת למדיניות חומת האש.

  4. כדי לצאת מחיבור ה-SSH, מזינים exit.

צפייה ביומנים

כדי לוודא שכללי חומת האש של קבוצת הכתובות הוחלו על תעבורת נתונים נכנסת (ingress), צריך לגשת ליומנים. כדי להציג את פרטי היומן: פועלים לפי השלבים הבאים:

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בקטע Network firewall policies (מדיניות חומת אש ברשת), לוחצים על השם fw-policy-addressgrp.

  3. בעמודה Hit count (מספר הפעמים שהכלל הופעל), בוחרים את המספר של הכלל שיצרתם במהלך הוספת כלל לחומת האש כדי לאפשר תנועה לקבוצת כתובות. ייפתח הדף Logs Explorer.

  4. כדי לראות את כלל חומת האש שחל על תעבורת נתונים נכנסת (ingress), מרחיבים את היומן הספציפי. אפשר לראות את פרטי הכלל, את ההחלטה ואת פרטי המופע.

הסרת המשאבים

כדי להימנע מחיובים בחשבון Google Cloud בגלל השימוש במשאבים שנעשה במסגרת המדריך הזה, אפשר למחוק את הפרויקט שמכיל את המשאבים או להשאיר את הפרויקט ולמחוק את המשאבים הספציפיים.

כדי למחוק את המשאבים שנוצרו במדריך הזה, מבצעים את השלבים הבאים.

מחיקת קבוצת כתובות

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בקטע Network firewall policies (מדיניות חומת אש ברשת), לוחצים על fw-policy-addressgrp.

  3. בקטע Firewall rules (כללי חומת אש), מסמנים את תיבת הסימון של כלל חומת האש 150.

  4. לוחצים על מחיקה.

  5. נכנסים לדף Address groups במסוף Google Cloud .

    מעבר אל קבוצות כתובות

  6. בקטע קבוצות של כתובות, מסמנים את תיבת הסימון לצד address-group-pc.

  7. לוחצים על מחיקה ואז שוב על מחיקה כדי לאשר.

gcloud

  1. כדי למחוק את כלל חומת האש שמשויך לקבוצת כתובות ה-IP‏ address-group-pc, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies rules delete 150 \
    --firewall-policy fw-policy-addressgrp \
    --global-firewall-policy

  2. כדי להסיר פריט קיים מקבוצת כתובות, מריצים את הפקודה הבאה:

    gcloud network-security address-groups remove-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

  3. כדי למחוק קבוצה של כתובות IP, מריצים את הפקודה הבאה:

    gcloud network-security address-groups delete address-group-pc \
    --location global

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

מחיקת מדיניות חומת האש

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בקטע Network firewall policies (מדיניות חומת אש ברשת), לוחצים על השם fw-policy-addressgrp.

  3. לוחצים על הכרטיסייה שיוכים.

  4. מסמנים את התיבה של מכונת vpc-producer וירטואלית ואת התיבה של מכונת vpc-consumer וירטואלית, ואז לוחצים על הסרת שיוך.

  5. בתיבת הדו-שיח הסרת שיוך של מדיניות חומת אש, לוחצים על הסרה.

  6. לצד הכותרת fw-policy-addressgrp, לוחצים על מחיקה.

  7. בתיבת הדו-שיח מחיקה של מדיניות חומת אש, לוחצים על מחיקה.

gcloud

  1. מסירים את השיוך בין מדיניות חומת האש לבין רשת ה-VPC של הספק.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-producer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  2. מסירים את הקישור בין מדיניות חומת האש לבין רשת ה-VPC של הצרכן.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-consumer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  3. מוחקים את מדיניות חומת האש.

    gcloud compute network-firewall-policies delete fw-policy-addressgrp \
    --global

מחיקת קישור בין רשתות VPC שכנות (peering)

המסוף

  1. במסוף Google Cloud , נכנסים לדף קישור בין רשתות שכנות (peering) של רשת VPC.

    מעבר לקישור בין רשתות VPC שכנות (peering)

  2. מסמנים את התיבות לצד peering-cp ו-peering-pc.

  3. לוחצים על Delete.

  4. בתיבת הדו-שיח למחוק 2 קישורי Peering?, לוחצים על מחיקה.

gcloud

  1. כדי למחוק את ה-peering בין ה-VPC של הצרכן לבין ה-VPC של היצרן, מריצים את הפקודה הבאה:

    gcloud compute networks peerings delete peering-cp \
    --network=vpc-consumer

  2. כדי למחוק את הקישור בין רשת ה-VPC של היצרן לבין רשת ה-VPC של הצרכן , מריצים את הפקודה הבאה:

    gcloud compute networks peerings delete peering-pc \
    --network=vpc-producer

מחיקת שער Cloud NAT ו-Cloud Router

המסוף

  1. נכנסים לדף Cloud routers במסוף Google Cloud .

    כניסה ל-Cloud Routers

  2. מסמנים את תיבת הסימון router-addressgrp.

  3. לוחצים על Delete.

  4. בתיבת הדו-שיח Delete router-addressgrp, לוחצים על Delete.

כשמוחקים Cloud Router, נמחק גם שער Cloud NAT שמשויך אליו.

gcloud

כדי למחוק את router-addressgrp Cloud Router, מריצים את הפקודה הבאה:

gcloud compute routers delete router-addressgrp \
    --region=us-central1

כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

כשמוחקים Cloud Router, נמחק גם שער Cloud NAT שמשויך אליו.

מחיקת המכונות הווירטואליות

המסוף

  1. נכנסים לדף VM instances במסוף Google Cloud .

    כניסה לדף VM instances

  2. מסמנים את תיבות הסימון של המכונות הווירטואליות vm-consumer-allowed,‏ vm-consumer-blocked ו-vm-producer.

  3. לוחצים על Delete.

  4. בתיבת הדו-שיח Delete 3 instances? (למחוק 3 מופעים?), לוחצים על Delete (מחיקה).

gcloud

  1. כדי למחוק את כל המכונות הווירטואליות, מריצים את הפקודה הבאה:

    gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \
    --zone=us-central1-a

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

מחיקה של רשת ה-VPC של הצרכן ורשתות המשנה שלה

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. בעמודה שם, לוחצים על vpc-consumer.

  3. לוחצים על מחיקת רשת VPC.

  4. בתיבת הדו-שיח מחיקת רשת, לוחצים על מחיקה.

כשמוחקים VPC, גם רשתות המשנה שלו נמחקות.

gcloud

  1. כדי למחוק את תת-הרשתות של רשת ה-VPC‏ vpc-consumer, מריצים את הפקודה הבאה:

    gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \
   --region=us-central1

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

  2. כדי למחוק את רשת ה-VPC‏ vpc-consumer, מריצים את הפקודה הבאה:

    gcloud compute networks delete vpc-consumer

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

מחיקת רשת ה-VPC של הספק והתת-רשת שלה

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. בעמודה שם, לוחצים על vpc-producer.

  3. לוחצים על מחיקת רשת VPC.

  4. בתיבת הדו-שיח מחיקת רשת, לוחצים על מחיקה.

כשמוחקים VPC, גם רשתות המשנה שלו נמחקות.

gcloud

  1. כדי למחוק את רשת המשנה של רשת ה-VPC‏ vpc-producer, מריצים את הפקודה הבאה:

    gcloud compute networks subnets delete subnet-vpc-producer \
   --region=us-central1

    כשמופיעה הנחיה, מקישים על Y כדי לאשר ואז מקישים על Enter.

  2. כדי למחוק את רשת ה-VPC‏ vpc-producer, מריצים את הפקודה הבאה:

    gcloud compute networks delete vpc-producer

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

המאמרים הבאים