Der Dienst zur Einbruchserkennung und -vermeidung überwacht Ihren Google Cloud Arbeitslast-Traffic auf schädliche Aktivitäten und ergreift präventive Maßnahmen zu deren Vermeidung. Damit Sie diesen Dienst in Ihrem Netzwerk aktivieren können, müssen Sie mehrere Cloud Next Generation Firewall-Komponenten einrichten. In dieser Anleitung wird der End-to-End-Workflow beschrieben, mit dem Sie den Dienst zur Erkennung und Abwehr von Eindringversuchen in Ihrem Netzwerk konfigurieren.
Benutzerdefiniertes VPC-Netzwerk mit Subnetzen erstellen
In diesem Abschnitt erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus mit zwei IPv4-Subnetzen.
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie auf VPC-Netzwerk erstellen.
Geben Sie für Name
vpc-ipsein.Geben Sie unter Beschreibung
VPC network to set up intrusion detection and prevention serviceein.Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.
Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:
- Name:
subnet-ips-server - Region:
asia-southeast1 - IPv4-Bereich:
10.0.0.0/24
- Name:
Klicken Sie auf Fertig.
Klicken Sie auf Subnetz hinzufügen und geben Sie folgende Konfigurationsparameter an:
- Name:
subnet-ips-client - Region:
us-central1 - IPv4-Bereich:
192.168.10.0/24
- Name:
Klicken Sie auf Fertig.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um ein VPC-Netzwerk zu erstellen:
gcloud compute networks create vpc-ips \ --subnet-mode custom \ --description "VPC network to set up intrusion detection and prevention service."
Klicken Sie im Dialogfeld Cloud Shell autorisieren auf Autorisieren.
Führen Sie folgenden Befehl aus, um ein Subnetz zu erstellen:
gcloud compute networks subnets create subnet-ips-server \ --network vpc-ips \ --region asia-southeast1 \ --range 10.0.0.0/24
Führen Sie folgenden Befehl aus, um ein weiteres Subnetz zu erstellen:
gcloud compute networks subnets create subnet-ips-client \ --network vpc-ips \ --region us-central1 \ --range 192.168.10.0/24
Cloud Router und Cloud NAT-Gateway erstellen
Bevor Sie im nächsten Abschnitt Client- und Server-Linux-VM-Instanzen ohne öffentliche IPv4-Adressen erstellen, müssen Sie einen Cloud Router und ein Cloud NAT-Gateway erstellen, damit diese VMs auf das öffentliche Internet zugreifen können.
Console
Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.
Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.
Geben Sie als Gatewayname
gateway-ipsein.Wählen Sie als NAT-Typ Öffentlich aus.
Geben Sie im Bereich Cloud Router wählen folgende Konfigurationsparameter an:
- Netz:
vpc-ips - Region:
asia-southeast1 - Cloud Router: Neuen Router erstellen.
- Geben Sie für Name
router-ipsein. - Klicken Sie auf Erstellen.
- Geben Sie für Name
- Netz:
Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:
gcloud compute routers create router-ips \ --network=vpc-ips \ --region=asia-southeast1
Führen Sie folgenden Befehl aus, um ein Cloud NAT-Gateway zu erstellen:
gcloud compute routers nats create gateway-ips \ --router=router-ips \ --region=asia-southeast1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
VM-Instanzen erstellen
In diesem Abschnitt erstellen Sie Server- und Client-VM-Instanzen.
Server-VM-Instanz erstellen
In diesem Abschnitt erstellen Sie eine VM-Instanz im Subnetz subnet-ips-server und installieren den Apache-Server darauf.
Console
Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.
Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:
- Geben Sie für Name
vm-server-ipsein. - Wählen Sie bei Region die Option
asia-southeast1 (Singapore)aus. - Wählen Sie bei Zone die Option
asia-southeast1-aaus.
- Geben Sie für Name
Klicken Sie im Navigationsmenü auf Betriebssystem und Speicher.
Prüfen Sie im Abschnitt Betriebssystem und Speicher, ob Image auf Debian GNU/Linux 12 (Bookworm) festgelegt ist. Falls nicht, klicken Sie auf Ändern und legen Sie für das Feld Betriebssystem die Option Debian und für das Feld Version die Option Debian GNU/Linux 12 (Bookworm) fest.
Klicken Sie im Navigationsmenü auf Netzwerk.
- Klicken Sie im Bereich Netzwerkschnittstellen auf
defaultund geben Sie die folgenden Konfigurationsparameter an:- Netz:
vpc-ips - Subnetzwerk:
subnet-ips-server IPv4 (10.0.0.0/24) - Externe IPv4-Adresse: Keine
- Netz:
- Klicken Sie auf Fertig.
- Klicken Sie im Bereich Netzwerkschnittstellen auf
Klicken Sie im Navigationsmenü auf Erweitert und geben Sie das folgende Skript in das Feld Startskript ein:
#! /bin/bash apt update apt -y install apache2 cat <<EOF > /var/www/html/index.html <html><body><p>Hello world.</p></body></html> EOFKlicken Sie auf Erstellen.
Notieren Sie sich die externe IP-Adresse der Server-VM, sobald sie erstellt wurde.
gcloud
Führen Sie den folgenden Befehl aus, um die Server-VM zu erstellen:
gcloud compute instances create vm-server-ips \
--network vpc-ips \
--zone asia-southeast1-a \
--subnet subnet-ips-server \
--stack-type IPV4_ONLY \
--image-project debian-cloud \
--image-family debian-11 \
--metadata=startup-script='#! /bin/bash
apt update
apt -y install apache2
cat <<EOF > /var/www/html/index.html
<html><body><p>Hello World.</p></body></html>
EOF'
Notieren Sie sich die externe IP-Adresse der VM im zurückgegebenen Status.
Client-VM-Instanz erstellen
In diesem Abschnitt erstellen Sie eine VM-Instanz im Subnetz subnet-ips-client.
Console
Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.
Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:
- Geben Sie für Name
vm-client-ipsein. - Wählen Sie bei Region die Option
us-central1 (Iowa)aus. - Wählen Sie bei Zone die Option
us-central1-aaus.
- Geben Sie für Name
Klicken Sie im Navigationsmenü auf Netzwerk.
- Klicken Sie im Bereich Netzwerkschnittstellen auf
defaultund geben Sie die folgenden Konfigurationsparameter an:- Netz:
vpc-ips - Subnetzwerk:
subnet-ips-client IPv4 (192.168.10.0/24)
- Netz:
- Klicken Sie auf Fertig.
- Klicken Sie im Bereich Netzwerkschnittstellen auf
Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um die Client-VM zu erstellen:
gcloud compute instances create vm-client-ips \
--network vpc-ips \
--zone us-central1-a \
--subnet subnet-ips-client \
--stack-type IPV4_ONLY
Sicherheitsprofil erstellen
In diesem Abschnitt erstellen Sie ein Sicherheitsprofil vom Typ threat-prevention in Ihrer Organisation. Informationen zu den Berechtigungen, die zum Erstellen eines Sicherheitsprofils erforderlich sind, finden Sie unter Sicherheitsprofil für die Bedrohungsvermeidung erstellen.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Wählen Sie den Tab Sicherheitsprofile aus.
Klicken Sie auf Profil erstellen.
Geben Sie für Name
sec-profile-ipsein.Geben Sie unter Beschreibung
Security profile to set up intrusion detection and prevention serviceein.Klicken Sie auf Weiter.
Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um ein Sicherheitsprofil zu erstellen:
gcloud network-security security-profiles \
threat-prevention \
create sec-profile-ips \
--organization ORGANIZATION_ID \
--location global \
--project PROJECT_ID \
--description "Security profile to set up intrusion detection and prevention service."
Ersetzen Sie Folgendes:
ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil erstellt wird.PROJECT_ID: Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für das Sicherheitsprofil verwendet wird.
Sicherheitsprofilgruppe erstellen
In diesem Abschnitt erstellen Sie eine Sicherheitsprofilgruppe, die das Sicherheitsprofil enthält, das Sie im vorherigen Abschnitt erstellt haben. Informationen zu den Berechtigungen, die zum Erstellen einer Sicherheitsprofilgruppe erforderlich sind, finden Sie unter Erforderliche Berechtigungen für diese Aufgabe.
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Wählen Sie den Tab Sicherheitsprofilgruppen aus.
Klicken Sie auf Profilgruppe erstellen.
Geben Sie für Name
sec-profile-group-ipsein.Geben Sie unter Beschreibung
Security profile group to set up intrusion detection and prevention serviceein.Wählen Sie in der Liste Bedrohungsschutzprofil
sec-profile-ipsaus.Klicken Sie auf Erstellen.
gcloud
Führen Sie den folgenden Befehl aus, um eine Sicherheitsprofilgruppe zu erstellen:
gcloud network-security security-profile-groups \
create sec-profile-group-ips \
--organization ORGANIZATION_ID \
--location global \
--project PROJECT_ID \
--threat-prevention-profile \
organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-ips \
--description "Security profile group to set up intrusion detection and prevention service."
Ersetzen Sie Folgendes:
ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.PROJECT_ID: Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe verwendet wird.
Firewall-Endpunkt erstellen
In diesem Abschnitt erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone. Informationen zu den Berechtigungen, die zum Erstellen eines Firewall-Endpunkts erforderlich sind, finden Sie unter Erforderliche Berechtigungen für diese Aufgabe.
Hinweis: Wenn Sie einen Firewall-Endpunkt erstellen, wird der Status des Firewall-Endpunkts auf Creating festgelegt. Wenn der Firewall-Endpunkt bereit ist, ändert sich der Status in Active.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.
Klicken Sie auf Erstellen.
Wählen Sie in der Liste Region
asia-southeast1 (Singapore)aus.Wählen Sie in der Liste Zone
asia-southeast1-aaus.Geben Sie für Name
endpoint-ipsein.Klicken Sie auf Erstellen.
gcloud
Führen Sie folgenden Befehl aus, um eine Firewallr-Endpunkt zu erstellen:
gcloud network-security firewall-endpoints \
create endpoint-ips \
--organization ORGANIZATION_ID \
--zone asia-southeast1-a \
--billing-project PROJECT_ID
Ersetzen Sie Folgendes:
ORGANIZATION_ID: Organisation, in der der Firewall-Endpunkt erstellt wird.PROJECT_ID: Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.
Firewall-Endpunktverknüpfung erstellen
In diesem Abschnitt verknüpfen Sie den Firewall-Endpunkt mit dem VPC-Netzwerk, das Sie im vorherigen Schritt erstellt haben.
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie auf das
vpc-ips-Netzwerk, um dessen Seite VPC-Netzwerkdetails aufzurufen.Wählen Sie den Tab Firewall-Endpunkt aus.
Klicken Sie auf Endpunktverknüpfung hinzufügen.
Wählen Sie in der Liste Region
asia-southeast1aus.Wählen Sie in der Liste Zone
asia-southeast1-aaus.Wählen Sie in der Liste Firewall-Endpunkt die Option
endpoint-ipsaus.Klicken Sie auf Erstellen.
gcloud
Führen Sie folgenden Befehl aus, um eine Firewall-Endpunktverknüpfung zu erstellen:
gcloud network-security firewall-endpoint-associations \
create endpoint-association-ips \
--endpoint organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-ips \
--network vpc-ips \
--zone asia-southeast1-a \
--project PROJECT_ID
Ersetzen Sie Folgendes:
ORGANIZATION_ID: Organisation, in der der Firewall-Endpunkt erstellt wird.PROJECT_ID: Projekt-ID, in der die Verknüpfung erstellt wird.
Globale Netzwerk-Firewall-richtlinie erstellen
In diesem Abschnitt erstellen Sie eine globale Netzwerkfirewall-Richtlinie mit den folgenden zwei Firewallregeln:
- Eine Firewallregel für eingehenden Traffic mit der Priorität
100, die TCP-Traffic an die Ports3389und22erlaubt. Diese Regel ermöglicht den IAP-Zugriff auf die VM-Instanzen im VPC-Netzwerk. - Eine Firewallregel für eingehenden Traffic mit der Priorität
200, um die Layer-7-Prüfung für den eingehenden Traffic zur Server-VM in einer bestimmten Zone durchzuführen.
Console
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Wählen Sie in der Liste zur Projektauswahl Ihr Projekt in Ihrer Organisation aus.
Klicken Sie auf Firewallrichtlinie erstellen.
Geben Sie für Name
fw-policy-ipsein.Wählen Sie unter Bereitstellungsbereich die Option Global aus.
Klicken Sie auf Weiter und dann auf Regel hinzufügen.
Geben Sie in das Feld für die Priorität den Wert
100ein.Wählen Sie für Logs Ein aus.
Wählen Sie für Traffic-Richtung die Option Eingehend aus.
Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.
Wählen Sie für den Filter Quelle die Option IPv4 aus und geben Sie dann im Feld IP-Bereich die Option
35.235.240.0/20ein.Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.
Wählen Sie TCP aus und geben Sie unter Ports
22,3389ein.Klicken Sie auf Erstellen.
Klicken Sie auf Regel hinzufügen.
Geben Sie in das Feld für die Priorität den Wert
200ein.Wählen Sie für Logs Ein aus.
Wählen Sie für Traffic-Richtung die Option Eingehend aus.
Wählen Sie unter Aktion bei Übereinstimmung die Option Weiter zur L7-Prüfung aus.
Wählen Sie in der Liste Sicherheitsprofilgruppe die Option
sec-profile-group-ipsaus.Wählen Sie im Filter Ziel die Option IPv4 aus und geben Sie dann im Feld IP-Bereich die externe IP-Adresse der Server-VM ein, die Sie im Abschnitt Server-VM-Instanzen erstellen erstellt haben.
Klicken Sie auf Erstellen.
Klicken Sie auf Weiter.
Klicken Sie auf Richtlinie mit VPC-Netzwerken verknüpfen.
Wählen Sie das
vpc-ips-Netzwerk.Klicken Sie auf Verknüpfen.
Klicken Sie auf Erstellen.
gcloud
Führen Sie folgenden Befehl aus, um eine globale Netzwerkfirewall-Richtlinie zu erstellen:
gcloud compute network-firewall-policies \ create fw-policy-ips \ --global \ --project PROJECT_ID
Ersetzen Sie Folgendes:
PROJECT_ID: Eine Projekt-ID, in der die globale Richtlinie für Netzwerkfirewalls erstellt wird.
Führen Sie den folgenden Befehl aus, um die Firewallregel hinzuzufügen und den IAP-Zugriff zu aktivieren:
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy fw-policy-ips \ --direction INGRESS \ --action ALLOW \ --src-ip-ranges 35.235.240.0/20 \ --layer4-configs tcp:22, tcp:3389 \ --global-firewall-policy \ --enable-logging
Führen Sie den folgenden Befehl aus, um die Firewallregel hinzuzufügen und die Layer-7-Prüfung für Bedrohungsvermeidung und -erkennung zu aktivieren:
gcloud compute network-firewall-policies rules create 200 \ --direction INGRESS \ --firewall-policy fw-policy-ips \ --action apply_security_profile_group \ --dest-ip-ranges SERVER_VM_IP \ --layer4-configs tcp:0-65535 \ --global-firewall-policy \ --security-profile-group \ //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \ /locations/global/securityProfileGroups/sec-profile-group-ips \ --enable-logging
Ersetzen Sie Folgendes:
SERVER_VM_IP: externe IP-Adresse der Server-VM, die Sie im Abschnitt Server-VM-Instanzen erstellen erstellt haben.ORGANIZATION_ID: Organisation, in der die Sicherheitsprofilgruppe erstellt wird.
Führen Sie folgenden Befehl aus, um die Firewallrichtlinie mit dem VPC-Netzwerk zu verknüpfen:
gcloud compute network-firewall-policies associations create \ --firewall-policy fw-policy-ips \ --network vpc-ips \ --name fw-pol-association-ips \ --global-firewall-policy \ --project PROJECT_ID
Ersetzen Sie Folgendes:
PROJECT_ID: Projekt-ID, in der die VPC-Verknüpfung erstellt wird.
Einrichtung testen
In diesem Abschnitt testen Sie die Einrichtung, indem Sie Traffic generieren, der vom Endpunkt abgefangen wird. Dann wird die globale Netzwerk-Firewallrichtlinie angewendet und die Layer-7-Prüfung durchgeführt.
Console
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:
Kopieren Sie in der Spalte Externe IP-Adresse der
vm-server-ips-VM die externe IP-Adresse der VM.Klicken Sie in der Spalte Verbinden der
vm-client-ips-VM auf SSH.Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.
Führen Sie den folgenden Befehl aus, um zu prüfen, dass eine Anfrage, die keine Bedrohung darstellt, nicht blockiert wird:
curl EXTERNAL_IP -m 2
Ersetzen Sie
EXTERNAL_IPdurch die externe IP-Adresse dervm-server-ips-VM.Die erwartete Antwort lautet:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Führen Sie den folgenden Befehl aus, um zu prüfen, ob eine schädliche Anfrage blockiert wird. Mit diesem Befehl wird eine Anfrage zum Zugriff auf die Passwortdatei gesendet, was nicht zulässig ist.
curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/
Ersetzen Sie
EXTERNAL_IPdurch die externe IP-Adresse dervm-server-ips-VM.Es wird eine
Connection timed out-Nachricht erwartet, da der Firewall-Endpunkt die Bedrohung in der Anfrage erkennt und das Paket blockiert.Schließen Sie das Dialogfeld SSH-in-browser.
gcloud
Führen Sie folgenden Befehl aus, um eine Verbindung zur
vm-client-ips-VM herzustellen:gcloud compute ssh vm-client-ips \ --zone=us-central1-a \ --tunnel-through-iap
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Führen Sie den folgenden Befehl aus, um zu prüfen, dass eine Anfrage, die keine Bedrohung darstellt, nicht blockiert wird:
curl EXTERNAL_IP -m 2
Ersetzen Sie
EXTERNAL_IPdurch die externe IP-Adresse dervm-server-ips-VM.Die erwartete Antwort lautet:
<!doctype html><html><body><h1>Hello World!</h1></body></html>Führen Sie den folgenden Befehl aus, um zu prüfen, ob eine schädliche Anfrage blockiert wird:
curl -m 2 EXTERNAL_IP:80/cgi-bin/../../../../bin/cat%20/etc/passwd/
Ersetzen Sie
EXTERNAL_IPdurch die externe IP-Adresse dervm-server-ips-VM.Es wird eine
Connection timed out-Nachricht erwartet, da der Firewall-Endpunkt die Bedrohung in der Anfrage erkennt und das Paket blockiert.Geben Sie
exitein, um den SSH-in-Browser zu schließen.
Bedrohungslogs ansehen
Rufen Sie in der Google Cloud Console die Seite Bedrohungen auf.
Wählen Sie bei Bedarf Ihr Google Cloud Projekt aus.
Im Abschnitt Bedrohung sehen Sie den Logeintrag für die Bedrohung, die in Ihrem
vpc-ips-Netzwerk erkannt wurde.
Bereinigen
Damit Ihrem Google Cloud -Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.
In diesem Abschnitt löschen Sie die in dieser Anleitung erstellten Ressourcen.
Firewall-Endpunktverknüpfung löschen
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie auf das
vpc-ips-Netzwerk, um dessen Seite VPC-Netzwerkdetails aufzurufen.Wählen Sie den Tab Firewall-Endpunkt aus. Der Tab enthält eine Liste der konfigurierten Firewall-Endpunktverknüpfungen.
Markieren Sie das Kästchen neben
endpoint-ipsund klicken Sie dann auf Löschen.Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Führen Sie folgenden Befehl aus, um die Firewall-Endpunktverknüpfung zu löschen: Ja,
gcloud network-security firewall-endpoint-association
delete endpoint-ips
--zone asia-southeast1-a
Firewall-Endpunkt löschen
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.
Wählen Sie
endpoint-ipsund klicken Sie dann auf Löschen.Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Führen Sie die folgenden Befehle aus, um den Firewall-Endpunkt zu löschen:
gcloud network-security firewall-endpoints delete endpoint-ips \
--organization ORGANIZATION_ID \
--zone asia-southeast1-a
Ersetzen Sie Folgendes:
ORGANIZATION_ID: Organisation, in der der Endpunkt erstellt wurde.
Globale Netzwerkfirewall-Endpunktrichtlinie löschen
Console
Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.
Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.
Klicken Sie auf
fw-policy-ips.Klicken Sie auf den Tab Verknüpfungen.
Wählen Sie alle Verknüpfungen aus.
Klicken Sie auf Verknüpfungen entfernen.
Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.
gcloud
Führen Sie den folgenden Befehl aus, um die Verknüpfung zwischen Firewallrichtlinie und VPC-Netzwerk zu entfernen:
gcloud compute network-firewall-policies associations delete \ --name fw-pol-association-ips \ --firewall-policy fw-policy-ips \ --global-firewall-policy
Löschen Sie die Firewallrichtlinie.
gcloud compute network-firewall-policies delete fw-policy-ips --global
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Sicherheitsprofilgruppe löschen
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie den Tab Sicherheitsprofilgruppen aus.
Wählen Sie
sec-profile-group-ipsund klicken Sie dann auf Löschen.Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Führen Sie den folgenden Befehl aus, um die Sicherheitsprofilgruppe zu löschen:
gcloud network-security security-profile-groups \
delete sec-profile-group-ips \
--organization ORGANIZATION_ID \
--location global
Ersetzen Sie Folgendes:
ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.
Sicherheitsprofil löschen
Console
Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.
Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.
Wählen Sie
sec-profile-ipsund klicken Sie dann auf Löschen.Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Führen Sie den folgenden Befehl aus, um das Sicherheitsprofil zu löschen:
gcloud network-security security-profiles threat-prevention \
delete sec-profile-ips \
--organization ORGANIZATION_ID \
--location global
Ersetzen Sie Folgendes:
ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil erstellt wird.
VMs löschen
Console
Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf:
Markieren Sie die Kästchen für die VMs
vm-client-ipsundvm-server-ips.Klicken Sie auf Löschen.
Klicken Sie im Dialogfeld Möchten Sie 2 Instanzen löschen? auf Löschen.
gcloud
Führen Sie den folgenden Befehl aus, um die
vm-client-ips-VM zu löschen:gcloud compute instances delete vm-client-ips \ --zone us-central1-a
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Führen Sie den folgenden Befehl aus, um die
vm-server-ips-VM zu löschen:gcloud compute instances delete vm-server-ips \ --zone asia-southeast1-a
Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
VPC-Netzwerk und dessen Subnetze löschen
Console
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.
Klicken Sie in der Spalte Name auf
vpc-ips.Klicken Sie auf VPC-Netzwerk löschen.
Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.
Wenn Sie eine VPC löschen, werden auch deren Subnetze gelöscht.
gcloud
Führen Sie folgenden Befehl aus, um das Subnetz
subnet-ips-clientdes VPC-Netzwerksvpc-ipszu löschen:gcloud compute networks subnets delete subnet-ips-client \ --region us-central1Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Führen Sie folgenden Befehl aus, um das Subnetz
subnet-ips-serverdes VPC-Netzwerksvpc-ipszu löschen:gcloud compute networks subnets delete subnet-ips-server \ --region=asia-southeast1Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.
Führen Sie folgenden Befehl aus, um das VPC-Netzwerk
vpc-ipszu löschen:gcloud compute networks delete vpc-ips