Le service de filtrage d'URL vous permet de filtrer le trafic de votre charge de travail Google Cloud en utilisant les informations de domaine et d'indication de nom de serveur (SNI) disponibles dans les messages HTTP ou HTTPS sortants. Ce service protège votre réseau contre les menaces en bloquant la communication avec une liste configurée d'URL malveillantes. Pour activer ce service sur votre réseau, vous devez configurer plusieurs composants de Cloud Next Generation Firewall. Ce tutoriel décrit le workflow de bout en bout pour configurer le service de filtrage d'URL dans votre réseau.
Objectifs
Ce guide vous explique comment effectuer les tâches suivantes :
- Créer un réseau cloud privé virtuel (VPC) avec deux sous-réseaux.
- Créer une instance de machine virtuelle (VM) de serveur dans le premier sous-réseau du réseau VPC et installer le serveur Apache sur la VM.
- Créer une instance de VM cliente dans le deuxième sous-réseau du réseau VPC.
- Créez un profil de sécurité de filtrage d'URL ainsi qu'un groupe de profils de sécurité.
- Créer un point de terminaison de pare-feu et l'associer au réseau VPC.
- Ajouter une stratégie de pare-feu de réseau mondial avec les règles de pare-feu suivantes :
- Une règle de pare-feu pour autoriser l'accès Identity-Aware Proxy (IAP) aux instances de VM du réseau VPC.
- Une règle de pare-feu pour rediriger tout le trafic sortant vers l'inspection de la couche 7.
- Vérifier si le trafic vers l'instance de VM de serveur est autorisé.
- Nettoyer les ressources.
Le schéma suivant illustre l'architecture générale de la configuration de déploiement de ce tutoriel. La stratégie de pare-feu fw-policy-urlf sur le VPC vpc-urlf redirige tout le trafic sortant vers le point de terminaison du pare-feu endpoint-urlf dans la zone asia-southeast1-a. Le point de terminaison inspecte les informations de domaine et de SNI disponibles dans les messages HTTP ou HTTPS sortants pour trouver une correspondance avec l'URL listée dans le profil de sécurité du filtrage d'URL sec-profile-urlf.
Si le point de terminaison trouve une correspondance, il autorise le trafic. Sinon, il le refuse.
Coûts
La création de points de terminaison de pare-feu génère des frais. Pour en savoir plus sur les tarifs, consultez la page Tarifs du pare-feu Cloud nouvelle génération.
Avant de commencer
- Connectez-vous à votre compte Google Cloud . Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $de crédits sans frais pour exécuter, tester et déployer des charges de travail.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
- Activez l'API Compute Engine pour votre projet.
- Activez l'API Network Security pour votre projet.
- Activez l'API Identity-Aware Proxy pour votre projet.
- Vous devez disposer du rôle IAM Administrateur de réseaux Compute (
roles/compute.networkAdmin) dans votre organisation. - Si vous préférez travailler à partir de la ligne de commande, installez Google Cloud CLI.
Pour obtenir des informations conceptuelles et d'installation sur l'outil, consultez la présentation de gcloud CLI.
Remarque : Si vous n'avez pas encore utilisé gcloud CLI, commencez par exécuter la commande
gcloud initpour initialiser votre répertoire gcloud CLI.
Créer un réseau VPC personnalisé avec des sous-réseaux
Dans cette section, vous allez créer un réseau VPC en mode personnalisé avec deux sous-réseaux IPv4.
Console
Dans la console Google Cloud , accédez à la page Réseaux VPC.
Cliquez sur Créer un réseau VPC.
Dans le champ Nom, saisissez
vpc-urlf.Dans Description, saisissez
VPC network to set up URL filtering service.Dans le champ Mode de création de sous-réseau, sélectionnez Personnalisé.
Dans la section Nouveau sous-réseau, spécifiez les paramètres de configuration de sous-réseau suivants :
- Nom :
subnet-server-urlf - Région :
asia-southeast1 - Plage IPv4 :
10.0.0.0/24
- Nom :
Cliquez sur OK.
Cliquez sur Ajouter un sous-réseau et spécifiez les paramètres de configuration suivants :
- Nom :
subnet-client-urlf - Région :
us-central1 - Plage IPv4 :
192.168.10.0/24
- Nom :
Cliquez sur OK.
Cliquez sur Créer.
gcloud
Pour créer un réseau VPC, exécutez la commande suivante :
gcloud compute networks create vpc-urlf \ --subnet-mode custom \ --description "VPC network to set up URL filtering service."
Dans la boîte de dialogue Autoriser Cloud Shell, cliquez sur Autoriser.
Pour créer un sous-réseau, exécutez la commande suivante :
gcloud compute networks subnets create subnet-server-urlf \ --network vpc-urlf \ --region asia-southeast1 \ --range 10.0.0.0/24
Pour créer un autre sous-réseau, exécutez la commande suivante :
gcloud compute networks subnets create subnet-client-urlf \ --network vpc-urlf \ --region us-central1 \ --range 192.168.10.0/24
Créer un routeur Cloud Router et une passerelle Cloud NAT
Avant de créer des instances de VM Linux clientes et de serveur sans adresses IPv4 publiques dans la section suivante, vous devez créer Cloud Router et une passerelle Cloud NAT, qui permettent à ces VM d'accéder à l'Internet public.
Console
Dans la console Google Cloud , accédez à la page Cloud NAT.
Cliquez sur Commencer ou sur Créer une passerelle Cloud NAT.
Dans le champ Nom de la passerelle, saisissez
gateway-urlf.Dans le champ Type de NAT, sélectionnez Publique.
Dans la section Sélectionner le routeur Cloud Router, spécifiez les paramètres de configuration suivants :
- Réseau :
vpc-urlf - Région :
asia-southeast1 - Cloud Router : Créer un nouveau routeur.
- Dans le champ Nom, saisissez
router-urlf. - Cliquez sur Créer.
- Dans le champ Nom, saisissez
- Réseau :
Cliquez sur Créer.
gcloud
Pour créer un routeur Cloud Router, exécutez la commande suivante :
gcloud compute routers create router-urlf \ --network=vpc-urlf \ --region=asia-southeast1
Pour créer une passerelle Cloud NAT, exécutez la commande suivante :
gcloud compute routers nats create gateway-urlf \ --router=router-urlf \ --region=asia-southeast1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
Créer des instances de VM
Dans cette section, vous allez créer des instances de VM serveur et client. Pour afficher les autorisations et les rôles requis pour créer des instances de VM, consultez Rôles requis.
Créer l'instance de VM serveur
Dans cette section, vous allez créer une instance de VM dans le sous-réseau subnet-server-urlf et y installer le serveur Apache.
Console
Accédez à la page Créer une instance dans la console Google Cloud .
Dans le volet Configuration de la machine, procédez comme suit :
- Dans le champ Nom, saisissez
vm-server-urlf. - Pour Région, sélectionnez
asia-southeast1 (Singapore). - Pour Zone, sélectionnez
asia-southeast1-a.
- Dans le champ Nom, saisissez
Dans le menu de navigation, cliquez sur OS et stockage.
Dans la section Système d'exploitation et stockage, vérifiez que l'image est Debian GNU/Linux 12 (bookworm). Si ce n'est pas le cas, cliquez sur Modifier, puis définissez le champ Système d'exploitation sur Debian et le champ Version sur Debian GNU/Linux 12 (bookworm).
Dans le menu de navigation, cliquez sur Mise en réseau.
- Dans la section Interfaces réseau, spécifiez les paramètres de configuration suivants :
- Réseau :
vpc-urlf - Sous-réseau :
subnet-server-urlf IPv4 (10.0.0.0/24) - Adresse IPv4 externe :
None
- Réseau :
- Cliquez sur OK.
- Dans la section Interfaces réseau, spécifiez les paramètres de configuration suivants :
Dans le menu de navigation, cliquez sur Avancé, puis saisissez le script suivant dans le champ Script de démarrage de la section Automatisation :
#! /bin/bash apt update apt -y install apache2 cat <<EOF > /var/www/html/index.html <html><body><p>Hello world.</p></body></html> EOFCliquez sur Créer.
gcloud
Pour créer la VM serveur, exécutez la commande suivante :
gcloud compute instances create vm-server-urlf \
--network vpc-urlf \
--zone asia-southeast1-a \
--network-interface=stack-type=IPV4_ONLY,subnet=subnet-server-urlf,no-address \
--image-project debian-cloud \
--image-family debian-12 \
--metadata=startup-script='#! /bin/bash
apt update
apt -y install apache2
cat <<EOF > /var/www/html/index.html
<html><body><p>Hello World.</p></body></html>
EOF'
Pour utiliser une URL de domaine pour la VM du serveur, procédez comme suit :
- Si vous n'avez pas de domaine enregistré, enregistrez-en un.
- Configurer le domaine à l'aide de Cloud DNS
Créer l'instance de VM cliente
Dans cette section, vous allez créer une instance de VM dans le sous-réseau subnet-client-urlf.
Console
Accédez à la page Créer une instance dans la console Google Cloud .
Dans le volet Configuration de la machine, procédez comme suit :
- Dans le champ Nom, saisissez
vm-client-urlf. - Pour Région, sélectionnez
us-central1 (Iowa). - Pour Zone, sélectionnez
us-central1-a.
- Dans le champ Nom, saisissez
Dans le menu de navigation, cliquez sur Mise en réseau.
- Dans la section Interfaces réseau, spécifiez les paramètres de configuration suivants :
- Réseau :
vpc-urlf - Sous-réseau :
subnet-client-urlf IPv4 (192.168.10.0/24) - Adresse IPv4 externe :
None
- Réseau :
- Cliquez sur OK.
- Dans la section Interfaces réseau, spécifiez les paramètres de configuration suivants :
Cliquez sur Créer.
gcloud
Pour créer la VM cliente, exécutez la commande suivante :
gcloud compute instances create vm-client-urlf \
--network vpc-urlf \
--zone us-central1-a \
--network-interface=stack-type=IPV4_ONLY,subnet=subnet-client-urlf,no-address \
Créer un profil de sécurité de filtrage des URL
Dans cette section, vous allez créer un profil de sécurité de type url-filtering dans votre organisation. Pour connaître les autorisations et les rôles requis pour créer un profil de sécurité de filtrage d'URL, consultez Créer un profil de sécurité de filtrage d'URL.
Console
Dans la console Google Cloud , accédez à la page Profils de sécurité.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Sélectionnez l'onglet Profils de sécurité.
Cliquez sur Créer un profil.
Dans le champ Nom, saisissez
sec-profile-urlf.Dans Description, saisissez
Security profile to set up URL filtering service.Dans la section Objectif, sélectionnez Cloud NGFW Enterprise pour indiquer que vous souhaitez créer un profil de sécurité associé au pare-feu.
Dans la section Type, sélectionnez Filtrage d'URL pour indiquer que vous souhaitez créer un profil de sécurité de type
url-filtering.Dans la section Filtres d'URL, cliquez sur le bouton Créer un filtre d'URL pour créer un filtre d'URL. Dans le volet Créer un filtre d'URL, spécifiez les détails suivants :
- Priorité : spécifiez la priorité du filtre d'URL. Exemple :
1000 - Action : spécifiez Autoriser pour autoriser le trafic vers l'instance de VM du serveur.
- Liste d'URL : spécifiez l'URL du domaine de l'instance de VM du serveur. Exemple :
www.example.com
- Priorité : spécifiez la priorité du filtre d'URL. Exemple :
Cliquez sur Créer.
gcloud
Créez un fichier YAML avec le contenu suivant pour le profil de sécurité :
name: sec-profile-urlf
type: url-filtering
urlFilteringProfile:
urlFilters:
- filteringAction: ALLOW
priority: 1000
urls: URL
Pour créer un profil de sécurité à l'aide du fichier YAML, exécutez la commande suivante :
gcloud network-security security-profiles import sec-profile-urlf \
--location global \
--source FILE_NAME \
--organization ORGANIZATION_ID \
Remplacez les éléments suivants :
URL: URL du domaine de l'instance de VM du serveur. Exemple :www.example.comFILE_NAME: nom du fichier YAML que vous avez créé.ORGANIZATION_ID: organisation dans laquelle le profil de sécurité est créé.
Créer un groupe de profils de sécurité
Dans cette section, vous allez créer un groupe de profils de sécurité pour inclure le profil de sécurité de filtrage d'URL que vous avez créé dans la section précédente. Pour afficher les autorisations et les rôles requis pour créer un groupe de profils de sécurité, consultez Créer un groupe de profils de sécurité.
Console
Dans la console Google Cloud , accédez à la page Profils de sécurité.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Sélectionnez l'onglet Groupes de profils de sécurité.
Cliquez sur Créer un groupe de profils.
Dans le champ Nom, saisissez
sec-profile-group-urlf.Dans Description, saisissez
Security profile group to set up URL filtering service.Pour créer un groupe de profils de sécurité pour Cloud Next Generation Firewall Enterprise, dans la section Usage, sélectionnez Cloud NGFW Enterprise.
Dans la liste Profil de filtrage d'URL, sélectionnez
sec-profile-urlf.Cliquez sur Créer.
gcloud
Pour créer un groupe de profils de sécurité, exécutez la commande suivante :
gcloud network-security security-profile-groups \
create sec-profile-group-urlf \
--organization ORGANIZATION_ID \
--location global \
--project PROJECT_ID \
--url-filtering-profile \
organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-urlf \
--description "Security profile group to set up URL filtering service."
Remplacez les éléments suivants :
ORGANIZATION_ID: organisation dans laquelle le groupe de profils de sécurité est créé.PROJECT_ID: ID de projet à utiliser pour les quotas et les restrictions d'accès sur le groupe de profils de sécurité.
Créer un point de terminaison de pare-feu
Dans cette section, vous allez créer un point de terminaison de pare-feu dans une zone spécifique. Pour afficher les autorisations et les rôles requis pour créer un point de terminaison de pare-feu, consultez Créer un point de terminaison de pare-feu.
Remarque : Lorsque vous créez un point de terminaison de pare-feu, son état est défini sur Creating. Une fois le point de terminaison de pare-feu prêt, l'état passe à Active. Vous pouvez afficher un point de terminaison pour vérifier son état.
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Dans le menu de sélection du projet, sélectionnez votre organisation.
Cliquez sur Créer.
Dans la liste Région, sélectionnez
asia-southeast1 (Singapore).Dans la liste Zone, sélectionnez
asia-southeast1-a.Dans le champ Nom, saisissez
endpoint-urlf.Dans la liste Projet de facturation, sélectionnez le projet Google Cloud que vous souhaitez utiliser pour facturer le point de terminaison de pare-feu, puis cliquez sur Continuer.
Cliquez sur Créer.
gcloud
Pour créer un point de terminaison de pare-feu, exécutez la commande suivante :
gcloud network-security firewall-endpoints \
create endpoint-urlf \
--organization ORGANIZATION_ID \
--zone asia-southeast1-a \
--billing-project PROJECT_ID
Remplacez les éléments suivants :
ORGANIZATION_ID: identifiant de l'organisation dans laquelle le point de terminaison de pare-feu est créé.PROJECT_ID: ID de projet à utiliser pour la facturation du point de terminaison de pare-feu.
Créer une association de point de terminaison de pare-feu
Dans cette section, vous allez associer le point de terminaison de pare-feu au réseau VPC que vous avez créé précédemment. Pour afficher les autorisations et les rôles requis pour créer une association de point de terminaison de pare-feu, consultez Créer des associations de points de terminaison de pare-feu.
Remarque : Lorsque vous créez une association de points de terminaison de pare-feu, son état est défini sur Creating. Une fois l'association du point de terminaison de pare-feu prête, l'état passe à Active. Vous pouvez afficher une association de point de terminaison pour vérifier son état.
Console
Dans la console Google Cloud , accédez à la page Réseaux VPC.
Cliquez sur le réseau
vpc-urlfpour afficher la page Détails du réseau VPC correspondante.Sélectionnez l'onglet Points de terminaison de pare-feu.
Cliquez sur Créer une association de point de terminaison.
Dans la liste Région, sélectionnez
asia-southeast1.Dans la liste Zone, sélectionnez
asia-southeast1-a.Dans la liste Point de terminaison de pare-feu, sélectionnez
endpoint-urlf.Cliquez sur Créer.
gcloud
Pour créer une association de point de terminaison de pare-feu, exécutez la commande suivante :
gcloud network-security firewall-endpoint-associations \
create endpoint-association-urlf \
--endpoint organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-urlf \
--network vpc-urlf \
--zone asia-southeast1-a \
--project PROJECT_ID
Remplacez les éléments suivants :
ORGANIZATION_ID: identifiant de l'organisation dans laquelle le point de terminaison de pare-feu est créé.PROJECT_ID: ID de projet dans lequel l'association est créée.
Créer une stratégie de pare-feu de réseau au niveau mondial
Dans cette section, vous allez créer une stratégie de pare-feu réseau mondiale contenant les deux règles de pare-feu suivantes :
- Une règle de pare-feu d'entrée avec la priorité
100pour autoriser le trafic TCP vers le port22. Cette règle permet à IAP d'accéder aux instances de VM du réseau VPC. - Une règle de pare-feu de sortie avec priorité
200pour effectuer une inspection de couche 7 sur le trafic sortant vers la VM serveur dans une zone spécifique.
Pour afficher les autorisations et les rôles requis pour créer une stratégie de pare-feu réseau mondiale et ses règles, consultez Créer une stratégie de pare-feu réseau mondiale, Créer une règle d'entrée pour les cibles de VM et Créer une règle de sortie pour les cibles de VM.
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans la liste des sélecteurs de projet, choisissez votre projet au sein de votre organisation.
Cliquez sur Créer une stratégie de pare-feu.
Dans le champ Nom de la règle, saisissez
fw-policy-urlf.Pour Type de règle, sélectionnez Règle VPC.
Pour le Champ d'application du déploiement, sélectionnez Mondial.
Cliquez sur Continuer, puis sur Créer une règle de pare-feu.
Dans le champ Priorité, saisissez
100.Pour le Sens du trafic, sélectionnez Entrée.
Pour l'option Action en cas de correspondance, sélectionnez Autoriser.
Pour Journaux, sélectionnez Activé.
Pour le filtre Source, sélectionnez IPv4, puis saisissez
35.235.240.0/20dans le champ Plages d'adresses IP.Dans la section Protocoles et ports, sélectionnez Protocoles et ports spécifiés.
Sélectionnez TCP, puis saisissez
22dans le champ Ports.Cliquez sur Créer.
Cliquez sur Créer une règle de pare-feu.
Dans le champ Priorité, saisissez
200.Pour le champ Sens du trafic, sélectionnez Sortie.
Dans le champ Action en cas de correspondance, sélectionnez Appliquer un groupe de profils de sécurité.
Dans la liste Groupe de profils de sécurité, sélectionnez
sec-profile-group-urlf.Pour Journaux, sélectionnez Activé.
Dans le filtre Destination, sélectionnez IPv4, puis saisissez
0.0.0.0/0dans le champ Plages d'adresses IP.Dans la section Protocoles et ports, sélectionnez Protocoles et ports spécifiés.
Sélectionnez TCP, puis saisissez
80, 443dans le champ Ports.Cliquez sur Créer.
Cliquez sur Continuer pour accéder à la section Ajouter des règles de mise en miroir.
Cliquez à nouveau sur Continuer pour ouvrir la section Associer la règle à des réseaux.
Sélectionnez un réseau
vpc-urlf.Cliquez sur Associer.
Cliquez sur Créer.
gcloud
Pour créer une stratégie de pare-feu réseau mondiale, exécutez la commande suivante :
gcloud compute network-firewall-policies \ create fw-policy-urlf \ --global \ --project PROJECT_ID
Remplacez les éléments suivants :
PROJECT_ID: ID de projet dans lequel la stratégie de pare-feu de réseau mondiale est créée.
Pour ajouter la règle de pare-feu afin d'activer l'accès IAP, exécutez la commande suivante :
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy fw-policy-urlf \ --direction INGRESS \ --action ALLOW \ --src-ip-ranges 35.235.240.0/20 \ --layer4-configs tcp:22 \ --global-firewall-policy \ --enable-logging
Pour ajouter la règle de pare-feu afin d'activer l'inspection de couche 7 pour le filtrage d'URL, exécutez la commande suivante :
gcloud compute network-firewall-policies rules create 200 \ --direction EGRESS \ --firewall-policy fw-policy-urlf \ --action apply_security_profile_group \ --dest-ip-ranges 0.0.0.0/0 \ --layer4-configs tcp:80, tcp:443 \ --global-firewall-policy \ --security-profile-group \ //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \ /locations/global/securityProfileGroups/sec-profile-group-urlf \ --enable-logging
Remplacez les éléments suivants :
ORGANIZATION_ID: organisation dans laquelle le groupe de profils sécurisé est créé.
Pour associer la stratégie de pare-feu au réseau VPC, exécutez la commande suivante :
gcloud compute network-firewall-policies associations create \ --firewall-policy fw-policy-urlf \ --network vpc-urlf \ --name fw-pol-association-urlf \ --global-firewall-policy \ --project PROJECT_ID
Remplacez les éléments suivants :
PROJECT_ID: ID du projet dans lequel l'association de VPC est créée.
Tester la configuration
Dans cette section, vous allez tester la configuration en générant du trafic intercepté par le point de terminaison. La stratégie de pare-feu réseau mondiale sera appliquée pour effectuer l'inspection de couche 7.
Console
Dans la console Google Cloud , accédez à la page Instances de VM.
Dans la colonne Connecter de la VM
vm-client-urlf, cliquez sur SSH.Dans la boîte de dialogue SSH dans votre navigateur, cliquez sur Autoriser et attendez que la connexion soit établie.
Pour vérifier si une requête adressée à l'instance de VM serveur est autorisée, exécutez la commande suivante :
curl URL -m 2
Remplacez
URLpar l'URL du domaine de l'instance de VM du serveurvm-server-urlf. Par exemple,www.example.com.La requête aboutit, car le filtre d'URL (avec la priorité
1000) autorise le paquet.Fermez la boîte de dialogue SSH dans votre navigateur.
gcloud
Pour vous connecter à la VM
vm-client-urlf, exécutez la commande suivante :gcloud compute ssh vm-client-urlf \ --zone=us-central1-a \ --tunnel-through-iap
Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.
Pour vérifier si une requête adressée à l'instance de VM serveur est autorisée, exécutez la commande suivante :
curl URL -m 2
Remplacez
URLpar l'URL du domaine de l'instance de VM du serveurvm-server-urlf. Par exemple,www.example.com.La requête aboutit, car le filtre d'URL (avec la priorité
1000) autorise le paquet.Pour fermer SSH dans le navigateur, saisissez
exit.
Afficher les journaux du service de filtrage d'URL
- Accédez à l'explorateur de journaux.
Saisissez la requête suivante dans le volet Requête. Remplacez
PROJECT_IDpar l'ID de votre projet.resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"
Effectuer un nettoyage
Pour éviter que les ressources utilisées lors de ce tutoriel soient facturées sur votre compte Google Cloud , supprimez le projet contenant les ressources, ou conservez le projet et supprimez chaque ressource individuellement.
Dans cette section, vous allez supprimer les ressources créées dans ce tutoriel.
Supprimer l'association de point de terminaison de pare-feu
Console
Dans la console Google Cloud , accédez à la page Réseaux VPC.
Cliquez sur le réseau
vpc-urlfpour afficher la page Détails du réseau VPC correspondante.Sélectionnez l'onglet Points de terminaison de pare-feu. Cet onglet affiche la liste des associations de point de terminaison de pare-feu configurées.
Cochez la case à côté de
endpoint-association-urlf, puis cliquez sur Supprimer.Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer l'association de point de terminaison de pare-feu, exécutez la commande suivante :
gcloud network-security firewall-endpoint-associations \
delete endpoint-association-urlf \
--zone asia-southeast1-a
Supprimer le point de terminaison de pare-feu
Console
Dans la console Google Cloud , accédez à la page Points de terminaison de pare-feu.
Sélectionnez
endpoint-urlf, puis cliquez sur Supprimer.Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer le point de terminaison de pare-feu, exécutez les commandes suivantes :
gcloud network-security firewall-endpoints delete endpoint-urlf \
--organization ORGANIZATION_ID \
--zone asia-southeast1-a
Remplacez les éléments suivants :
ORGANIZATION_ID: organisation dans laquelle le point de terminaison est créé.
Supprimer la stratégie de pare-feu réseau mondiale
Console
Dans la console Google Cloud , accédez à la page Règles de pare-feu.
Dans le menu permettant de sélectionner le projet, sélectionnez le projet contenant la stratégie.
Cliquez sur
fw-policy-urlf.Cliquez sur l'onglet Associations.
Sélectionnez toutes les associations.
Cliquez sur Supprimer les associations.
Une fois toutes les associations supprimées, cliquez sur Supprimer.
gcloud
Pour supprimer l'association entre la stratégie de pare-feu et le réseau VPC, exécutez la commande suivante :
gcloud compute network-firewall-policies associations delete \ --name fw-pol-association-urlf \ --firewall-policy fw-policy-urlf \ --global-firewall-policy
Supprimez la stratégie de pare-feu.
gcloud compute network-firewall-policies delete fw-policy-urlf --global
Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.
Supprimer le groupe de profils de sécurité
Console
Dans la console Google Cloud , accédez à la page Profils de sécurité.
Sélectionnez l'onglet Groupes de profils de sécurité.
Sélectionnez
sec-profile-group-urlf, puis cliquez sur Supprimer.Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer le groupe de profils de sécurité, exécutez la commande suivante :
gcloud network-security security-profile-groups \
delete sec-profile-group-urlf \
--organization ORGANIZATION_ID \
--location global
Remplacez les éléments suivants :
ORGANIZATION_ID: organisation dans laquelle le groupe de profils de sécurité est créé.
Supprimer le profil de sécurité de filtrage des URL
Console
Dans la console Google Cloud , accédez à la page Profils de sécurité.
Sélectionnez l'onglet Profils de sécurité. L'onglet affiche une liste des profils de sécurité configurés.
Sélectionnez
sec-profile-urlf, puis cliquez sur Supprimer.Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Pour supprimer le profil de sécurité, exécutez la commande suivante :
gcloud network-security security-profiles url-filtering \
delete sec-profile-urlf \
--organization ORGANIZATION_ID \
--location global
Remplacez les éléments suivants :
ORGANIZATION_ID: organisation dans laquelle le profil de sécurité est créé.
Supprimer les VM
Console
Dans la console Google Cloud , accédez à la page Instances de VM.
Cochez les cases correspondant aux VM
vm-client-urlfetvm-server-urlf.Cliquez sur Supprimer.
Dans la boîte de dialogue Supprimer deux instances, cliquez sur Supprimer.
gcloud
Pour supprimer la VM
vm-client-urlf, exécutez la commande suivante :gcloud compute instances delete vm-client-urlf \ --zone us-central1-a
Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.
Pour supprimer la VM
vm-server-urlf, exécutez la commande suivante :gcloud compute instances delete vm-server-urlf \ --zone asia-southeast1-a
Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.
Supprimer la passerelle Cloud NAT et le routeur Cloud Router
Console
Dans la console Google Cloud , accédez à la page Cloud NAT.
Cochez la case à côté de la configuration de passerelle
gateway-urlf.Dans le Menu, cliquez sur Supprimer.
Dans la console Google Cloud , accédez à la page Routeurs cloud.
Cochez la case à côté du routeur
router-urlf.Cliquez sur Supprimer.
gcloud
Pour supprimer la passerelle Cloud NAT, exécutez la commande suivante :
gcloud compute routers nats delete gateway-urlf \ --router=router-urlf \ --region=asia-southeast1
Pour supprimer le routeur Cloud Router, exécutez la commande suivante :
gcloud compute routers delete router-urlf \ --project=PROJECT_ID \ --region=asia-southeast1
Remplacez les éléments suivants :
PROJECT_ID: ID du projet contenant Cloud Router.
Supprimer le réseau VPC et ses sous-réseaux
Console
Dans la console Google Cloud , accédez à la page Réseaux VPC.
Dans la colonne Nom, cliquez sur
vpc-urlf.Cliquez sur Supprimer le réseau VPC.
Dans la boîte de dialogue Supprimer le réseau, cliquez sur Supprimer.
Lorsque vous supprimez un VPC, ses sous-réseaux sont également supprimés.
gcloud
Pour supprimer le sous-réseau
subnet-client-urlfdu réseau VPCvpc-urlf, exécutez la commande suivante :gcloud compute networks subnets delete subnet-client-urlf \ --region us-central1Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.
Pour supprimer le sous-réseau
subnet-server-urlfdu réseau VPCvpc-urlf, exécutez la commande suivante :gcloud compute networks subnets delete subnet-server-urlf \ --region=asia-southeast1Lorsque vous y êtes invité, appuyez sur Y pour confirmer, puis sur Entrée.
Pour supprimer le réseau VPC
vpc-urlf, exécutez la commande suivante :gcloud compute networks delete vpc-urlf
Supprimer la zone DNS
Supprimez la zone DNS que vous avez créée pour l'URL du domaine de la VM du serveur.
Étapes suivantes
- Pour obtenir des informations conceptuelles sur le filtrage d'URL, consultez la présentation du service de filtrage d'URL.
- Pour obtenir des informations conceptuelles sur les stratégies de pare-feu, consultez la page Stratégies de pare-feu.
- Pour obtenir des informations conceptuelles sur les règles de stratégie de pare-feu, consultez la section Règles de stratégie de pare-feu.
- Pour déterminer les coûts, consultez la section Tarifs de Cloud NGFW.