Mengonfigurasi grup alamat untuk kebijakan firewall

Tutorial ini menjelaskan cara membuat dan mengonfigurasi grup alamat untuk kebijakan firewall di jaringan Anda. Dokumen ini membahas contoh pembuatan jaringan Virtual Private Cloud (VPC) dengan subnet, pembuatan grup alamat cakupan project, penyiapan kebijakan firewall yang menggunakan grup alamat dengan aturan firewall, dan pengujian aturan firewall. Untuk mengetahui informasi selengkapnya, lihat Grup alamat untuk kebijakan firewall.

Tujuan

Tutorial ini menunjukkan kepada Anda cara menyelesaikan tugas-tugas berikut:

  • Buat dua jaringan VPC kustom dengan subnet.
  • Buat tiga instance virtual machine (VM) (dua VM konsumen di subnet terpisah dari satu jaringan VPC dan VM produsen di jaringan VPC kedua). Semua VM dibuat tanpa alamat IP eksternal.
  • Instal server Apache di VM produser.
  • Buat Peering Jaringan VPC.
  • Buat Cloud Router dan gateway Cloud NAT yang memungkinkan VM produsen mengakses internet publik.
  • Buat grup alamat lingkup project.
  • Buat kebijakan firewall jaringan global dengan aturan berikut:
    • Izinkan konektivitas SSH Identity-Aware Proxy (IAP) ke VM.
    • Izinkan traffic dari VM konsumen yang diizinkan ke VM produsen menggunakan grup alamat cakupan project.
  • Uji koneksi.

Diagram berikut menunjukkan traffic antara VM produsen dan konsumen di region us-central1 dalam dua jaringan VPC kustom. Kebijakan firewall jaringan global menggunakan aturan grup alamat cakupan project untuk mengizinkan traffic masuk antara VM vm-consumer-allowed dan vm-producer. Traffic antara VM vm-consumer-blocked dan VM vm-producer ditolak karena setiap VM memiliki aturan firewall masuk implisit yang menolak semua traffic.

Kebijakan firewall jaringan global yang mengizinkan traffic masuk dari subnet ke VM target di jaringan VPC lain.
Kebijakan firewall jaringan global yang mengizinkan traffic masuk dari subnet ke VM target di jaringan VPC lain (klik untuk memperbesar).

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Aktifkan Compute Engine API untuk project Anda.
  7. Pastikan Anda memiliki peran Compute Network Admin (roles/compute.networkAdmin).
  8. Aktifkan Identity-Aware Proxy API untuk project Anda.
  9. Jika Anda lebih suka bekerja dari command line, instal Google Cloud CLI. Untuk mengetahui informasi konseptual dan penginstalan tentang alat ini, lihat Ringkasan gcloud CLI.

    Catatan: Jika Anda belum pernah menjalankan Google Cloud CLI sebelumnya, lakukan inisialisasi direktori gcloud CLI Anda dengan menjalankan perintah gcloud init.

Membuat jaringan VPC konsumen dengan subnet

Di bagian ini, Anda akan membuat jaringan VPC konsumen dengan dua subnet IPv4: subnet-consumer-allowed dan subnet-consumer-blocked.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka jaringan VPC

  2. Klik Create VPC network.

  3. Untuk Name, masukkan vpc-consumer.

  4. Untuk Mode pembuatan subnet, klik Kustom.

  5. Di bagian New subnet, tentukan parameter konfigurasi berikut untuk subnet:

    • Nama: subnet-consumer-allowed
    • Region: us-central1
    • Rentang IPv4: 192.168.10.0/29

  6. Klik Done.

  7. Klik Tambahkan subnet, lalu tentukan parameter konfigurasi berikut:

    • Nama: subnet-consumer-blocked
    • Region: us-central1
    • Rentang IPv4: 192.168.20.0/29

  8. Klik Done.

  9. Klik Create.

gcloud

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

  2. Untuk membuat jaringan VPC, jalankan perintah berikut:

    gcloud compute networks create vpc-consumer \
  --subnet-mode=custom

  3. Di dialog Authorize cloud shell, klik Authorize.

  4. Untuk membuat subnet, jalankan perintah berikut:

    gcloud compute networks subnets create subnet-consumer-allowed \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.10.0/29

  5. Untuk membuat subnet lain, jalankan perintah berikut:

    gcloud compute networks subnets create subnet-consumer-blocked \
  --network=vpc-consumer \
  --region=us-central1 \
  --range=192.168.20.0/29

Buat jaringan VPC produsen dengan subnet

Di bagian ini, Anda akan membuat jaringan VPC produsen dengan subnet IPv4.

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka jaringan VPC

  2. Klik Create VPC network.

  3. Untuk Name, masukkan vpc-producer.

  4. Untuk Mode pembuatan subnet, klik Kustom.

  5. Di bagian New subnet, tentukan parameter konfigurasi berikut untuk subnet:

    • Nama: subnet-vpc-producer
    • Region: us-central1
    • Rentang IPv4: 172.16.10.0/29

  6. Klik Done.

  7. Klik Create.

gcloud

  1. Untuk membuat jaringan VPC, jalankan perintah berikut:

    gcloud compute networks create vpc-producer \
  --subnet-mode=custom

  2. Untuk membuat subnet, jalankan perintah berikut:

    gcloud compute networks subnets create subnet-vpc-producer \
  --network=vpc-producer \
  --region=us-central1 \
  --range=172.16.10.0/29

Buat Cloud Router dan gateway Cloud NAT

Agar VM vm-producer dapat mengakses internet publik, Anda harus membuat Cloud Router dan gateway Cloud NAT.

Konsol

  1. Di konsol Google Cloud , buka halaman Cloud NAT.

    Buka Cloud NAT

  2. Klik Get started atau Create Cloud NAT gateway.

  3. Untuk Gateway name, masukkan nat-gateway-addressgrp.

  4. Untuk NAT type, pilih Public.

  5. Di bagian Select Cloud Router, tentukan parameter konfigurasi berikut:

    • Jaringan: vpc-producer
    • Region: us-central1 (lowa)
    • Cloud Router: Klik Create new router.
      1. Untuk Name, masukkan router-addressgrp.
      2. Klik Buat.

  6. Klik Buat.

gcloud

  1. Untuk membuat Cloud Router, jalankan perintah berikut:

    gcloud compute routers create router-addressgrp \
  --network=vpc-producer \
  --region=us-central1

  2. Untuk membuat gateway Cloud NAT, jalankan perintah berikut:

    gcloud compute routers nats create nat-gateway-addressgrp \
  --router=router-addressgrp \
  --region=us-central1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

Membuat VM

Di setiap subnet jaringan VPC yang Anda buat di bagian sebelumnya, buat VM tanpa alamat IP eksternal.

Membuat VM untuk jaringan VPC yang diizinkan konsumen

Buat VM di subnet subnet-consumer-allowed.

Konsol

  1. Di konsol Google Cloud , buka halaman Create an instance.

    Buka halaman Buat instance

  2. Di panel Machine configuration, lakukan hal berikut:

    1. Untuk Name, masukkan vm-consumer-allowed.
    2. Untuk Region, pilih us-central1 (Iowa).

  3. Di menu navigasi, klik Networking.

    1. Di bagian Network interfaces, klik default dan tentukan parameter konfigurasi berikut:
      • Jaringan: vpc-consumer
      • Subnetwork: subnet-consumer-allowed IPv4 (192.168.10.0/29)
      • External IPv4 address: None
    2. Klik Done.

  4. Klik Create.

gcloud 

gcloud compute instances create vm-consumer-allowed \
     --network=vpc-consumer \
     --zone=us-central1-a \
     --stack-type=IPV4_ONLY \
     --no-address \
     --subnet=subnet-consumer-allowed

Membuat VM untuk jaringan VPC yang diblokir konsumen

Di bagian ini, Anda akan membuat VM di subnet subnet-consumer-blocked.

Konsol

  1. Di konsol Google Cloud , buka halaman Create an instance.

    Buka halaman Buat instance

  2. Di panel Machine configuration, lakukan hal berikut:

    1. Untuk Name, masukkan vm-consumer-blocked.
    2. Untuk Region, pilih us-central1 (Iowa).

  3. Di menu navigasi, klik Networking.

    1. Di bagian Network interfaces, klik default dan tentukan parameter konfigurasi berikut:
      • Jaringan: vpc-consumer
      • Subnetwork: subnet-consumer-blocked IPv4 (192.168.20.0/29)
      • External IPv4 address: None
    2. Klik Done.

  4. Klik Create.

gcloud 

gcloud compute instances create vm-consumer-blocked \
    --network=vpc-consumer \
    --zone=us-central1-a \
    --stack-type=IPV4_ONLY \
    --no-address \
    --subnet=subnet-consumer-blocked

Buat VM untuk jaringan VPC produsen

Buat VM di subnet subnet-vpc-producer dan instal server Apache di VM tersebut.

Konsol

  1. Di konsol Google Cloud , buka halaman Create an instance.

    Buka halaman Buat instance

  2. Di panel Machine configuration, lakukan hal berikut:

    1. Untuk Name, masukkan vm-producer.
    2. Untuk Region, pilih us-central1 (Iowa).

  3. Di menu navigasi, klik Networking.

    1. Di bagian Network interfaces, klik default dan tentukan parameter konfigurasi berikut:
      • Jaringan: vpc-producer
      • Subnetwork: subnet-vpc-producer IPv4 (172.16.10.0/29)
    2. Klik Done.

  4. Di menu navigasi, klik Advanced dan masukkan skrip berikut di kolom Startup script:

      #! /bin/bash
  apt-get update
  apt-get install apache2 -y
  a2ensite default-ssl
  a2enmod ssl
  # Read VM network configuration:
  md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
  vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
  filter="{print \$NF}"
  vm_network="$(curl $md_vm/network-interfaces/0/network \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  vm_zone="$(curl $md_vm/zone \
  -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
  # Apache configuration:
  echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
  tee /var/www/html/index.html
  systemctl restart apache2

    Skrip sebelumnya men-deploy dan memulai server web Apache di VM ini.

  5. Klik Buat.

gcloud

Untuk membuat VM produser, jalankan perintah berikut:

  gcloud compute instances create vm-producer \
      --network=vpc-producer \
      --zone=us-central1-a \
      --stack-type=IPV4_ONLY \
      --no-address \
      --subnet=subnet-vpc-producer \
      --image-project=debian-cloud \
      --image-family=debian-10 \
      --metadata=startup-script='#! /bin/bash
        apt-get update
        apt-get install apache2 -y
        a2ensite default-ssl
        a2enmod ssl
        # Read VM network configuration:
        md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
        vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
        filter="{print \$NF}"
        vm_network="$(curl $md_vm/network-interfaces/0/network \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        vm_zone="$(curl $md_vm/zone \
        -H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
        # Apache configuration:
        echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
        tee /var/www/html/index.html
        systemctl restart apache2'

Membuat koneksi Peering Jaringan VPC

Untuk menghubungkan jaringan VPC vpc-consumer dan vpc-producer secara pribadi dalam project yang sama, gunakan Peering Jaringan VPC. Peering Jaringan VPC memungkinkan konektivitas alamat IP internal di dua jaringan VPC, terlepas dari apakah jaringan VPC tersebut berasal dari project atau organisasi yang sama.

Memasangkan vpc-consumer dengan vpc-producer

Agar Peering Jaringan VPC berhasil dibuat, Anda harus mengonfigurasi asosiasi peering secara terpisah untuk jaringan vpc-consumer dan vpc-producer.

Konsol

Untuk membuat Peering Jaringan VPC antara jaringan vpc-consumer dan vpc-producer, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman VPC network peering.

    Buka VPC network peering

  2. Klik Create connection.

  3. Klik Lanjutkan.

  4. Di kolom Name, masukkan peering-cp.

  5. Di bagian Jaringan VPC Anda, pilih vpc-consumer.

  6. Di bagian VPC network name, pilih vpc-producer.

  7. Klik Buat.

gcloud

Untuk membuat Peering Jaringan VPC antara vpc-consumer dan vpc-producer, jalankan perintah berikut:

gcloud compute networks peerings create peering-cp \
    --network=vpc-consumer \
    --peer-network=vpc-producer \
    --stack-type=IPV4_ONLY

Lakukan peering jaringan vpc-producer dengan jaringan vpc-consumer

Konsol

Untuk membuat Peering Jaringan VPC antara vpc-producer dan vpc-consumer, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman VPC network peering .

    Buka VPC network peering

  2. Klik Create connection.

  3. Klik Lanjutkan.

  4. Di kolom Name, masukkan peering-pc.

  5. Di bagian Jaringan VPC Anda, pilih vpc-producer.

  6. Di bagian VPC network name, pilih vpc-consumer.

  7. Klik Buat.

gcloud

Untuk membuat Peering Jaringan VPC antara vpc-producer dan vpc-consumer, jalankan perintah berikut:

gcloud compute networks peerings create peering-pc \
    --network=vpc-producer \
    --peer-network=vpc-consumer \
    --stack-type=IPV4_ONLY

Membuat kebijakan firewall jaringan global untuk mengaktifkan IAP

Untuk mengaktifkan IAP, buat kebijakan firewall jaringan global dan tambahkan aturan firewall. IAP memungkinkan akses administratif ke instance VM.

Aturan firewall mencakup karakteristik berikut.

  • Traffic ingress dari rentang IP 35.235.240.0/20. Rentang ini berisi semua alamat IP yang digunakan IAP untuk penerusan TCP.

  • Koneksi ke semua port yang ingin Anda akses menggunakan penerusan TCP IAP, misalnya, port 22 untuk SSH.

Konsol

Untuk mengizinkan akses IAP ke semua instance VM di jaringan vpc-consumer dan vpc-producer, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Klik Create firewall policy.

  3. Di bagian Configure policy, untuk Policy name, masukkan fw-policy-addressgrp.

  4. Untuk Cakupan deployment, pilih Global, lalu klik Lanjutkan.

  5. Untuk membuat aturan bagi kebijakan Anda, di bagian Tambahkan aturan, klik Tambahkan aturan.

    1. Untuk Priority, masukkan 100.
    2. Untuk Direction of traffic, pilih Ingress.
    3. Untuk Action on match, pilih Allow.
    4. Di bagian Target, untuk Jenis target, pilih Semua instance di jaringan.
    5. Di bagian Sumber, untuk Rentang IP, masukkan 35.235.240.0/20.
    6. Di bagian Protocol and ports, pilih Specified protocols and ports.
    7. Pilih kotak centang TCP, lalu untuk Ports, masukkan 22.
    8. Klik Buat.

  6. Klik Lanjutkan.

  7. Untuk mengaitkan jaringan VPC dengan kebijakan, di bagian Associate policy with VPC networks, klik Associate.

  8. Centang kotak vpc-producer dan vpc-consumer, lalu klik Kaitkan.

  9. Klik Lanjutkan.

  10. Klik Buat.

gcloud

Untuk mengizinkan IAP mengakses instance VM di jaringan vpc-producer, jalankan perintah berikut:

  1. Untuk membuat kebijakan firewall, jalankan perintah berikut:

    gcloud compute network-firewall-policies create fw-policy-addressgrp \
    --global

  2. Untuk membuat aturan firewall yang mengizinkan traffic ke semua tujuan dan mengaktifkan log, jalankan perintah berikut:

    gcloud compute network-firewall-policies rules create 100 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --layer4-configs=tcp:22 \
    --src-ip-ranges=35.235.240.0/20 \
    --global-firewall-policy

  3. Untuk mengaitkan kebijakan firewall dengan jaringan VPC produsen, jalankan perintah berikut:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-producer \
    --name=pol-association-vpc-producer \
    --global-firewall-policy

  4. Untuk mengaitkan kebijakan firewall dengan jaringan VPC konsumen, jalankan perintah berikut:

    gcloud compute network-firewall-policies associations create \
    --firewall-policy=fw-policy-addressgrp \
    --network=vpc-consumer \
    --name=pol-association-vpc-consumer \
    --global-firewall-policy

Membuat grup alamat lingkup project

Buat grup alamat lingkup project yang menggunakan alamat IP yang ditetapkan ke subnet subnet-consumer-allowed jaringan VPC vpc-consumer.

Untuk mengetahui informasi selengkapnya tentang grup alamat lingkup project, lihat Menggunakan grup alamat dalam kebijakan firewall.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Klik Buat Grup Alamat.

  3. Di kolom Name, masukkan address-group-pc.

  4. Untuk Scope, pilih Global.

  5. Untuk Type, pilih IPv4.

  6. Di kolom Kapasitas, masukkan 1000.

  7. Di kolom IP Addresses, masukkan 192.168.10.0/29.

  8. Klik Buat.

gcloud

  1. Jika Anda menggunakan terminal Cloud Shell untuk pertama kalinya, klik alt='' Activate Cloud Shell di konsol Google Cloud .

  2. Untuk membuat grup alamat, jalankan perintah berikut:

    gcloud network-security address-groups create address-group-pc \
    --type IPv4 \
    --capacity 1000 \
    --location global

  3. Di dialog Authorize cloud shell, klik Authorize.

  4. Untuk menambahkan item ke grup alamat, jalankan perintah berikut:

    gcloud network-security address-groups add-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

    Ingat, rentang IP 192.168.10.0/29 ditetapkan ke subnet subnet-consumer-allowed dari jaringan VPC vpc-consumer.

Menambahkan aturan firewall untuk mengizinkan traffic ke grup alamat

Untuk mengizinkan koneksi masuk dari VM vm-consumer-allowed, buat aturan firewall yang menambahkan grup alamat cakupan project address-group-pc sebagai alamat IP sumber.

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di bagian Network firewall policies, klik fw-policy-addressgrp.

  3. Klik Buat aturan.

  4. Untuk Priority, masukkan 150.

  5. Untuk Direction of traffic, pilih Ingress.

  6. Untuk Action on match, pilih Allow.

  7. Untuk Logs, pilih On.

  8. Di bagian Target, untuk Jenis target, pilih Semua instance di jaringan.

  9. Di bagian Source, untuk Address group, pilih address-group-pc (PROJECT_ID) lalu klik OK.

    Ingat, grup alamat IP address-group-pc memiliki rentang IP 192.168.10.0/29 yang ditetapkan ke subnet subnet-consumer-allowed jaringan VPC konsumen.

  10. Klik Buat.

gcloud

Untuk mengupdate kebijakan firewall, jalankan perintah berikut:

gcloud compute network-firewall-policies rules create 150 \
    --firewall-policy=fw-policy-addressgrp \
    --direction=INGRESS \
    --action=ALLOW \
    --src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
    --layer4-configs=all \
    --global-firewall-policy \
    --enable-logging

Menguji koneksi

Uji koneksi dari VM vm-consumer-allowed ke VM vm-producer, dan dari VM vm-consumer-blocked ke VM vm-producer.

Uji traffic dari VM vm-consumer-allowed ke VM vm-producer

Konsol

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Dari kolom Internal IP VM vm-producer, salin alamat IP internal VM.

  3. Di kolom Connect VM vm-consumer-allowed, klik SSH.

  4. Pada dialog SSH di browser, klik Authorize dan tunggu hingga koneksi dibuat.

  5. Untuk memverifikasi koneksi, jalankan perintah berikut:

    curl INTERNAL_IP -m 2

    Ganti INTERNAL_IP dengan alamat IP VM vm-producer.

    Outputnya mirip dengan hal berikut ini:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  6. Tutup dialog SSH-in-browser.

gcloud

  1. Untuk melihat alamat IP internal VM vm-producer, jalankan perintah berikut:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Saat diminta, tekan n untuk mengonfirmasi, lalu tekan Enter. Pastikan untuk mencatat alamat IP internal VM vm-producer Anda.

  2. Untuk menggunakan SSH guna terhubung ke VM vm-consumer-allowed, jalankan perintah berikut:

    gcloud compute ssh vm-consumer-allowed \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Untuk memverifikasi koneksi, jalankan perintah berikut:

    curl INTERNAL_IP -m 2

    Ganti INTERNAL_IP dengan alamat IP internal VM vm-producer.

    Pesan respons yang diharapkan adalah sebagai berikut:

    <!doctype html><html><body><h1>Hello World!</h1></body></html>

  4. Untuk keluar dari koneksi SSH, masukkan exit.

Uji traffic dari VM vm-consumer-blocked ke VM vm-producer

Konsol

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Dari kolom Internal IP VM vm-producer, salin alamat IP internal VM.

  3. Di kolom Connect VM vm-consumer-blocked, klik SSH.

  4. Pada dialog SSH di browser, klik Authorize dan tunggu hingga koneksi dibuat.

  5. Untuk memverifikasi koneksi, jalankan perintah berikut:

    curl INTERNAL_IP -m 2

    Ganti INTERNAL_IP dengan alamat IP VM vm-producer.

    Pesan Connection timed out diharapkan muncul karena setiap VM membuat aturan firewall ingress implisit yang menolak semua traffic. Untuk mengizinkan traffic, Anda menambahkan aturan masuk ke kebijakan firewall.

  6. Tutup dialog SSH-in-browser.

gcloud

  1. Untuk melihat alamat IP internal VM vm-producer, jalankan perintah berikut:

    gcloud compute instances describe vm-producer \
   --zone=us-central1-a \
   --format='get(networkInterfaces[0].networkIP)'

    Saat diminta, tekan n untuk mengonfirmasi, lalu tekan Enter. Pastikan untuk mencatat alamat IP internal VM vm-producer Anda.

  2. Untuk menggunakan SSH guna terhubung ke VM vm-consumer-blocked, jalankan perintah berikut:

    gcloud compute ssh vm-consumer-blocked \
   --zone=us-central1-a \
   --tunnel-through-iap

  3. Untuk memverifikasi koneksi, jalankan perintah berikut:

    curl INTERNAL_IP -m 2

    Ganti INTERNAL_IP dengan alamat IP internal VM vm-producer.

    Pesan Connection timed out diharapkan karena setiap VM membuat aturan firewall ingress implisit yang menolak semua traffic. Untuk mengizinkan traffic, Anda menambahkan aturan ingress ke kebijakan firewall.

  4. Untuk keluar dari koneksi SSH, masukkan exit.

Melihat log

Untuk memverifikasi bahwa aturan firewall grup alamat diterapkan ke traffic ingress, akses log. Untuk melihat detail log, ikuti langkah-langkah berikut:

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di bagian Network firewall policies, klik nama fw-policy-addressgrp.

  3. Di kolom Hit count, pilih nomor untuk aturan yang Anda buat selama Menambahkan aturan firewall untuk mengizinkan traffic ke grup alamat. Halaman Logs explorer akan terbuka.

  4. Untuk melihat aturan firewall yang diterapkan ke traffic ingress, luaskan log individual. Anda dapat melihat detail aturan, disposisi, dan detail instance.

Pembersihan

Agar akun Google Cloud Anda tidak dikenai biaya untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

Untuk menghapus resource yang dibuat dalam tutorial ini, selesaikan langkah-langkah berikut.

Menghapus grup alamat

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di bagian Network firewall policies, klik fw-policy-addressgrp.

  3. Di bagian Firewall rules, centang kotak aturan firewall 150.

  4. Klik Delete.

  5. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  6. Di bagian Grup alamat, centang kotak di samping address-group-pc.

  7. Klik Hapus, lalu klik Hapus lagi untuk mengonfirmasi.

gcloud

  1. Untuk menghapus aturan firewall yang terkait dengan grup alamat IP address-group-pc, jalankan perintah berikut:

    gcloud compute network-firewall-policies rules delete 150 \
    --firewall-policy fw-policy-addressgrp \
    --global-firewall-policy

  2. Untuk menghapus item yang ada dari grup alamat, jalankan perintah berikut:

    gcloud network-security address-groups remove-items address-group-pc \
    --items 192.168.10.0/29 \
    --location global

  3. Untuk menghapus grup alamat IP, jalankan perintah berikut:

    gcloud network-security address-groups delete address-group-pc \
    --location global

    Saat diminta, tekan Y untuk mengonfirmasi, lalu tekan Enter.

Hapus kebijakan firewall

Konsol

  1. Di konsol Google Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Di bagian Network firewall policies, klik nama fw-policy-addressgrp.

  3. Klik tab Pengaitan.

  4. Centang kotak VM vpc-producer dan VM vpc-consumer, lalu klik Hapus atribusi.

  5. Pada dialog Hapus pengaitan kebijakan firewall, klik Hapus.

  6. Di samping judul fw-policy-addressgrp, klik Hapus.

  7. Pada dialog Hapus kebijakan firewall, klik Hapus.

gcloud

  1. Hapus pengaitan antara kebijakan firewall dan jaringan produsen VPC.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-producer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  2. Hapus pengaitan antara kebijakan firewall dan jaringan konsumen VPC.

    gcloud compute network-firewall-policies associations delete \
  --name=pol-association-vpc-consumer \
  --firewall-policy=fw-policy-addressgrp \
  --global-firewall-policy

  3. Hapus kebijakan firewall.

    gcloud compute network-firewall-policies delete fw-policy-addressgrp \
    --global

Menghapus Peering Jaringan VPC

Konsol

  1. Di konsol Google Cloud , buka halaman VPC network peering.

    Buka VPC network peering

  2. Centang kotak peering-cp dan peering-pc.

  3. Klik Hapus.

  4. Pada dialog Hapus 2 peering?, klik Hapus.

gcloud

  1. Untuk menghapus peering antara VPC konsumen dan VPC produsen, jalankan perintah berikut:

    gcloud compute networks peerings delete peering-cp \
    --network=vpc-consumer

  2. Untuk menghapus peering antara VPC produsen dan VPC konsumen , jalankan perintah berikut:

    gcloud compute networks peerings delete peering-pc \
    --network=vpc-producer

Menghapus gateway Cloud NAT dan Cloud Router

Konsol

  1. Di konsol Google Cloud , buka halaman Cloud routers.

    Buka Cloud Router

  2. Centang kotak router-addressgrp.

  3. Klik Hapus.

  4. Pada dialog Hapus router-addressgrp, klik Hapus.

Saat Anda menghapus Cloud Router, gateway Cloud NAT yang terkait juga akan dihapus.

gcloud

Untuk menghapus router-addressgrp Cloud Router, jalankan perintah berikut:

gcloud compute routers delete router-addressgrp \
    --region=us-central1

Saat diminta, tekan Y untuk mengonfirmasi, lalu tekan Enter.

Saat Anda menghapus Cloud Router, gateway Cloud NAT yang terkait juga akan dihapus.

Menghapus VM

Konsol

  1. Di konsol Google Cloud , buka halaman VM instances.

    Buka instance VM

  2. Centang kotak VM vm-consumer-allowed, vm-consumer-blocked, dan vm-producer.

  3. Klik Hapus.

  4. Pada dialog Hapus 3 instance?, klik Hapus.

gcloud

  1. Untuk menghapus semua VM, jalankan perintah berikut:

    gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \
    --zone=us-central1-a

    Saat diminta, tekan Y untuk mengonfirmasi, lalu tekan Enter.

Hapus jaringan VPC konsumen dan subnetnya

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka jaringan VPC

  2. Di kolom Nama, klik vpc-consumer.

  3. Klik Delete VPC network.

  4. Pada dialog Hapus jaringan, klik Hapus.

Saat Anda menghapus VPC, subnetnya juga akan dihapus.

gcloud

  1. Untuk menghapus subnet jaringan VPC vpc-consumer, jalankan perintah berikut:

    gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \
   --region=us-central1

    Saat diminta, tekan Y untuk mengonfirmasi, lalu tekan Enter.

  2. Untuk menghapus jaringan VPC vpc-consumer, jalankan perintah berikut:

    gcloud compute networks delete vpc-consumer

    Saat diminta, tekan Y untuk mengonfirmasi, lalu tekan Enter.

Hapus jaringan VPC produsen dan subnetnya

Konsol

  1. Di konsol Google Cloud , buka halaman VPC networks.

    Buka jaringan VPC

  2. Di kolom Nama, klik vpc-producer.

  3. Klik Delete VPC network.

  4. Pada dialog Hapus jaringan, klik Hapus.

Saat Anda menghapus VPC, subnetnya juga akan dihapus.

gcloud

  1. Untuk menghapus subnet jaringan VPC vpc-producer, jalankan perintah berikut:

    gcloud compute networks subnets delete subnet-vpc-producer \
   --region=us-central1

    Saat diminta, tekan Y untuk mengonfirmasi, lalu tekan Enter.

  2. Untuk menghapus jaringan VPC vpc-producer, jalankan perintah berikut:

    gcloud compute networks delete vpc-producer

    Saat diminta, tekan Y untuk mengonfirmasi, lalu tekan Enter.

Langkah berikutnya