Configurare il servizio di filtraggio degli URL nella rete

Il servizio di filtraggio degli URL ti consente di filtrare il traffico dei carichi di lavoro Google Cloud utilizzando le informazioni SNI (Server Name Indication) e di dominio disponibili nei messaggi HTTP o HTTPS in uscita. Il servizio protegge la tua rete dalle minacce bloccando la comunicazione con un elenco configurato di URL dannosi. Per attivare questo servizio sulla tua rete, devi configurare più componenti di Cloud Next Generation Firewall. Questo tutorial descrive il flusso di lavoro end-to-end per configurare il servizio di filtro degli URL nella tua rete.

Obiettivi

Questo tutorial mostra come completare le seguenti attività:

  • Crea una rete Virtual Private Cloud (VPC) con due subnet.
  • Crea un'istanza di macchina virtuale (VM) del server nella prima subnet della rete VPC e installa il server Apache sulla VM.
  • Crea un'istanza VM client nella seconda subnet della rete VPC.
  • Crea un profilo di sicurezza con filtro degli URL insieme a un gruppo di profili di sicurezza.
  • Crea un endpoint firewall e associalo alla rete VPC.
  • Aggiungi una policy del firewall di rete globale con le seguenti regole firewall:
    • Una regola firewall per abilitare l'accesso di Identity-Aware Proxy (IAP) alle istanze VM nella rete VPC.
    • Una regola firewall per indirizzare tutto il traffico in uscita per l'ispezione di livello 7.
  • Verifica se il traffico verso l'istanza VM del server è consentito.
  • Esegui la pulizia delle risorse.

Il seguente diagramma mostra l'architettura di alto livello della configurazione del deployment in questo tutorial. Il criterio firewall fw-policy-urlf sul VPC vpc-urlf reindirizza tutto il traffico in uscita all'endpoint firewall endpoint-urlf nella zona asia-southeast1-a. L'endpoint esamina le informazioni su dominio e SNI disponibili nei messaggi HTTP o HTTPS in uscita per trovare una corrispondenza con l'URL elencato nel profilo di sicurezza del filtro degli URL sec-profile-urlf. Se l'endpoint trova una corrispondenza, consente il traffico; in caso contrario, lo nega.

Servizio di filtro URL in una rete VPC personalizzata per impedire la comunicazione con URL dannosi.
Servizio di filtro degli URL in una rete VPC personalizzata (fai clic per ingrandire).

Costi

La creazione degli endpoint firewall comporta un costo. Per i dettagli sui prezzi, consulta Prezzi di Cloud Next Generation Firewall.

Prima di iniziare

  1. Accedi al tuo account Google Cloud . Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Abilita l'API Compute Engine per il tuo progetto.
  7. Abilita l'API Network Security per il tuo progetto.
  8. Abilita l'API Identity-Aware Proxy per il tuo progetto.
  9. Disporre del ruolo IAM Compute Network Admin (roles/compute.networkAdmin) nella tua organizzazione.
  10. Se preferisci lavorare dalla riga di comando, installa Google Cloud CLI. Per informazioni concettuali e sull'installazione dello strumento, consulta la panoramica di gcloud CLI.

    Nota:se non hai mai eseguito gcloud CLI, esegui prima gcloud init per inizializzare la directory gcloud CLI.

Crea una rete VPC personalizzata con subnet

In questa sezione, creerai una rete VPC in modalità personalizzata con due subnet IPv4.

Console

  1. Nella console Google Cloud , vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic su Crea rete VPC.

  3. In Nome, inserisci vpc-urlf.

  4. In Descrizione, inserisci VPC network to set up URL filtering service.

  5. In Modalità di creazione subnet, seleziona Personalizzata.

  6. Nella sezione Nuova subnet, specifica i seguenti parametri di configurazione per una subnet:

    • Nome: subnet-server-urlf
    • Regione: asia-southeast1
    • Intervallo IPv4: 10.0.0.0/24

  7. Fai clic su Fine.

  8. Fai clic su Aggiungi subnet e specifica i seguenti parametri di configurazione:

    • Nome: subnet-client-urlf
    • Regione: us-central1
    • Intervallo IPv4: 192.168.10.0/24

  9. Fai clic su Fine.

  10. Fai clic su Crea.

gcloud

  1. Per creare una rete VPC, esegui questo comando:

    gcloud compute networks create vpc-urlf \
  --subnet-mode custom \
  --description "VPC network to set up URL filtering service."

  2. Nella finestra di dialogo Autorizza Cloud Shell, fai clic su Autorizza.

  3. Per creare una subnet, esegui questo comando:

    gcloud compute networks subnets create subnet-server-urlf \
  --network vpc-urlf \
  --region asia-southeast1 \
  --range 10.0.0.0/24

  4. Per creare un'altra subnet, esegui questo comando:

    gcloud compute networks subnets create subnet-client-urlf \
  --network vpc-urlf \
  --region us-central1 \
  --range 192.168.10.0/24

Crea un router Cloud e un gateway Cloud NAT

Prima di creare istanze VM Linux client e server senza indirizzi IPv4 pubblici nella sezione successiva, devi creare un router Cloud e un gateway Cloud NAT, che consentono a queste VM di accedere a internet pubblico.

Console

  1. Nella console Google Cloud , vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Fai clic su Inizia o Crea gateway Cloud NAT.

  3. In Nome gateway, inserisci gateway-urlf.

  4. Per Tipo NAT, seleziona Pubblico.

  5. Nella sezione Seleziona router Cloud, specifica i seguenti parametri di configurazione:

    • Rete: vpc-urlf
    • Regione: asia-southeast1
    • Router Cloud: Crea nuovo router.
      1. In Nome, inserisci router-urlf.
      2. Fai clic su Crea.

  6. Fai clic su Crea.

gcloud

  1. Per creare un router Cloud, esegui questo comando:

    gcloud compute routers create router-urlf \
  --network=vpc-urlf \
  --region=asia-southeast1

  2. Per creare un gateway Cloud NAT, esegui questo comando:

    gcloud compute routers nats create gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

crea istanze VM

In questa sezione crei le istanze VM server e client. Per visualizzare le autorizzazioni e i ruoli necessari per creare istanze VM, consulta Ruoli richiesti.

Crea l'istanza VM server

In questa sezione, crei un'istanza VM nella subnet subnet-server-urlf e installi il server Apache.

Console

  1. Nella console Google Cloud , vai alla pagina Crea un'istanza.

    Vai a Crea un'istanza

  2. Nel riquadro Configurazione macchina, segui questi passaggi:

    1. In Nome, inserisci vm-server-urlf.
    2. In Regione, seleziona asia-southeast1 (Singapore).
    3. In Zona, seleziona asia-southeast1-a.

  3. Nel menu di navigazione, fai clic su Sistema operativo e spazio di archiviazione.

    Nella sezione Sistema operativo e spazio di archiviazione, verifica che Immagine sia Debian GNU/Linux 12 (bookworm). In caso contrario, fai clic su Cambia e imposta il campo Sistema operativo su Debian e il campo Versione su Debian GNU/Linux 12 (bookworm).

  4. Nel menu di navigazione, fai clic su Networking.

    1. Nella sezione Interfacce di rete, specifica i seguenti parametri di configurazione:
      • Rete: vpc-urlf
      • Subnet: subnet-server-urlf IPv4 (10.0.0.0/24)
      • Indirizzo IPv4 esterno: None
    2. Fai clic su Fine.

  5. Nel menu di navigazione, fai clic su Avanzate e inserisci il seguente script nel campo Script di avvio disponibile nella sezione Automazione:

      #! /bin/bash
  apt update
  apt -y install apache2
  cat <<EOF > /var/www/html/index.html
  <html><body><p>Hello world.</p></body></html>
  EOF

  6. Fai clic su Crea.

gcloud

Per creare la VM server, esegui questo comando:

gcloud compute instances create vm-server-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-server-urlf,no-address \
    --image-project debian-cloud \
    --image-family debian-12 \
    --metadata=startup-script='#! /bin/bash
     apt update
     apt -y install apache2
     cat <<EOF > /var/www/html/index.html
     <html><body><p>Hello World.</p></body></html>
     EOF'

Per utilizzare un URL di dominio per la VM server, segui questi passaggi:

Crea l'istanza VM client

In questa sezione, crei un'istanza VM nella subnet subnet-client-urlf.

Console

  1. Nella console Google Cloud , vai alla pagina Crea un'istanza.

    Vai a Crea un'istanza

  2. Nel riquadro Configurazione macchina, segui questi passaggi:

    1. In Nome, inserisci vm-client-urlf.
    2. In Regione, seleziona us-central1 (Iowa).
    3. In Zona, seleziona us-central1-a.

  3. Nel menu di navigazione, fai clic su Networking.

    1. Nella sezione Interfacce di rete, specifica i seguenti parametri di configurazione:
      • Rete: vpc-urlf
      • Subnet: subnet-client-urlf IPv4 (192.168.10.0/24)
      • Indirizzo IPv4 esterno: None
    2. Fai clic su Fine.

  4. Fai clic su Crea.

gcloud

Per creare la VM client, esegui questo comando:

gcloud compute instances create vm-client-urlf \
    --network vpc-urlf \
    --zone us-central1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-client-urlf,no-address \

Crea un profilo di sicurezza con filtro degli URL

In questa sezione, crei un profilo di sicurezza di tipo url-filtering nella tua organizzazione. Per visualizzare le autorizzazioni e i ruoli necessari per creare un profilo di sicurezza con filtro degli URL, consulta Crea un profilo di sicurezza con filtro degli URL.

Console

  1. Nella console Google Cloud , vai alla pagina Profili di sicurezza.

    Vai a Profili di sicurezza

  2. Nel menu del selettore dei progetti, seleziona la tua organizzazione.

  3. Seleziona la scheda Profili di sicurezza.

  4. Fai clic su Crea profilo.

  5. In Nome, inserisci sec-profile-urlf.

  6. In Descrizione, inserisci Security profile to set up URL filtering service.

  7. Nella sezione Scopo, seleziona Cloud NGFW Enterprise per specificare che vuoi creare un profilo di sicurezza associato al firewall.

  8. Nella sezione Tipo, seleziona Filtro degli URL per specificare che vuoi creare un profilo di sicurezza di tipo url-filtering.

  9. Nella sezione Filtri URL, fai clic sul pulsante Crea filtro URL per creare un nuovo filtro URL. Nel riquadro Crea un filtro URL, specifica questi dettagli:

    • Priorità: specifica la priorità del filtro URL. Ad esempio, 1000.
    • Azione: specifica Consenti per consentire il traffico verso l'istanza VM del server.
    • Elenco di URL: specifica l'URL del dominio dell'istanza VM del server. Ad esempio, www.example.com.

  10. Fai clic su Crea.

gcloud

Crea un file YAML con i seguenti contenuti per il profilo di sicurezza:

name: sec-profile-urlf
type: url-filtering
urlFilteringProfile:
  urlFilters:
    - filteringAction: ALLOW
      priority: 1000
      urls: URL

Per creare un profilo di sicurezza utilizzando il file YAML, esegui questo comando:

gcloud network-security security-profiles import sec-profile-urlf \
    --location global \
    --source FILE_NAME \
    --organization ORGANIZATION_ID \

Sostituisci quanto segue:

  • URL: l'URL di dominio dell'istanza VM del server. Ad esempio, www.example.com.
  • FILE_NAME: il nome del file YAML che hai creato.
  • ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza.

Creare un gruppo di profili di sicurezza

In questa sezione, crei un gruppo di profili di sicurezza per includere il profilo di sicurezza con filtro degli URL che hai creato nella sezione precedente. Per visualizzare le autorizzazioni e i ruoli necessari per creare un gruppo di profili di sicurezza, consulta Crea un gruppo di profili di sicurezza.

Console

  1. Nella console Google Cloud , vai alla pagina Profili di sicurezza.

    Vai a Profili di sicurezza

  2. Nel menu del selettore dei progetti, seleziona la tua organizzazione.

  3. Seleziona la scheda Gruppi di profili di sicurezza.

  4. Fai clic su Crea gruppo di profili.

  5. In Nome, inserisci sec-profile-group-urlf.

  6. In Descrizione, inserisci Security profile group to set up URL filtering service.

  7. Per creare un gruppo di profili di sicurezza per Cloud Next Generation Firewall Enterprise, nella sezione Scopo, seleziona Cloud NGFW Enterprise.

  8. Nell'elenco Profilo di filtro degli URL, seleziona sec-profile-urlf.

  9. Fai clic su Crea.

gcloud

Per creare un gruppo di profili di sicurezza, esegui questo comando:

gcloud network-security security-profile-groups \
    create sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --url-filtering-profile  \
    organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-urlf \
    --description "Security profile group to set up URL filtering service."

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili di sicurezza.
  • PROJECT_ID: un ID progetto da utilizzare per le quote e le limitazioni di accesso al gruppo di profili di sicurezza.

Crea un endpoint firewall

In questa sezione crei un endpoint firewall in una zona specifica. Per visualizzare le autorizzazioni e i ruoli necessari per creare un endpoint firewall, consulta Crea un endpoint firewall.

Nota: quando crei un endpoint firewall, il relativo stato viene impostato su Creating. Quando l'endpoint firewall è pronto, lo stato diventa Active. Puoi visualizzare un endpoint per verificarne lo stato.

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Nel menu del selettore dei progetti, seleziona la tua organizzazione.

  3. Fai clic su Crea.

  4. Nell'elenco Regione, seleziona asia-southeast1 (Singapore).

  5. Nell'elenco Zona, seleziona asia-southeast1-a.

  6. In Nome, inserisci endpoint-urlf.

  7. Nell'elenco Progetto di fatturazione, seleziona il progetto Google Cloud che vuoi utilizzare per la fatturazione dell'endpoint firewall e poi fai clic su Continua.

  8. Fai clic su Crea.

gcloud

Per creare un endpoint firewall, esegui questo comando:

gcloud network-security firewall-endpoints \
    create endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a \
    --billing-project PROJECT_ID

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'organizzazione in cui viene creato l'endpoint firewall.
  • PROJECT_ID: un ID progetto da utilizzare per la fatturazione dell'endpoint firewall.

Crea un'associazione di endpoint firewall

In questa sezione, associa l'endpoint firewall alla rete VPC che hai creato in precedenza. Per visualizzare le autorizzazioni e i ruoli necessari per creare un'associazione di endpoint firewall, consulta Crea associazioni di endpoint firewall.

Nota: quando crei un'associazione di endpoint firewall, il relativo stato viene impostato su Creating. Quando l'associazione degli endpoint firewall è pronta, lo stato diventa Active. Puoi visualizzare un'associazione di endpoint per verificarne lo stato.

Console

  1. Nella console Google Cloud , vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic sulla rete vpc-urlf per visualizzare la pagina Dettagli rete VPC.

  3. Seleziona la scheda Endpoint firewall.

  4. Fai clic su Crea associazione endpoint.

  5. Nell'elenco Regione, seleziona asia-southeast1.

  6. Nell'elenco Zona, seleziona asia-southeast1-a.

  7. Nell'elenco Endpoint firewall, seleziona endpoint-urlf.

  8. Fai clic su Crea.

gcloud

Per creare un'associazione di endpoint firewall, esegui questo comando:

gcloud network-security firewall-endpoint-associations \
    create endpoint-association-urlf \
    --endpoint  organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --project PROJECT_ID

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'organizzazione in cui viene creato l'endpoint firewall.
  • PROJECT_ID: un ID progetto in cui viene creata l'associazione.

Crea una policy del firewall di rete globale

In questa sezione, crei una policy del firewall di rete globale che contiene le due regole firewall seguenti:

  1. Una regola firewall in entrata con priorità 100 per consentire il traffico TCP alla porta 22. Questa regola consente l'accesso IAP alle istanze VM nella rete VPC.
  2. Una regola firewall in uscita con priorità 200 per eseguire l'ispezione di livello 7 sul traffico in uscita verso la VM server in una zona specifica.

Per visualizzare le autorizzazioni e i ruoli necessari per creare una policy del firewall di rete globale e le relative regole, consulta Crea una policy del firewall di rete globale, Crea una regola in entrata per le VM di destinazione e Crea una regola in uscita per le VM di destinazione.

Console

  1. Nella console Google Cloud , vai alla pagina Policy del firewall.

    Vai a Criteri firewall

  2. Nell'elenco del selettore dei progetti, seleziona il tuo progetto all'interno della tua organizzazione.

  3. Fai clic su Crea criterio firewall.

  4. In Nome della policy, inserisci fw-policy-urlf.

  5. Per Tipo di policy, seleziona Policy VPC.

  6. In Ambito di deployment, seleziona Globale.

  7. Fai clic su Continua e poi su Crea regola firewall.

  8. Nel campo Priorità, inserisci 100.

  9. Per Direzione del traffico, seleziona In entrata.

  10. In Azione in caso di corrispondenza, seleziona Consenti.

  11. Per Log, seleziona Attivato.

  12. Per il filtro Origine, seleziona IPv4, quindi nel campo Intervalli IP inserisci 35.235.240.0/20.

  13. Nella sezione Protocolli e porte, seleziona Protocolli e porte specificati.

  14. Seleziona TCP e, per Porte, inserisci 22.

  15. Fai clic su Crea.

  16. Fai clic su Crea regola firewall.

  17. Nel campo Priorità, inserisci 200.

  18. In Direzione del traffico, seleziona In uscita.

  19. In Azione in caso di corrispondenza, seleziona Applica gruppo di profili di sicurezza.

  20. Nell'elenco Gruppo di profili di sicurezza, seleziona sec-profile-group-urlf.

  21. Per Log, seleziona Attivato.

  22. Nel filtro Destinazione, seleziona IPv4, quindi nel campo Intervalli IP inserisci 0.0.0.0/0.

  23. Nella sezione Protocolli e porte, seleziona Protocolli e porte specificati.

  24. Seleziona TCP e, per Porte, inserisci 80, 443.

  25. Fai clic su Crea.

  26. Fai clic su Continua per passare alla sezione Aggiungi regole di mirroring.

  27. Fai di nuovo clic su Continua per aprire la sezione Associa criterio alle emittenti.

  28. Seleziona la rete vpc-urlf.

  29. Fai clic su Associa.

  30. Fai clic su Crea.

gcloud

  1. Per creare una policy del firewall di rete globale, esegui questo comando:

    gcloud compute network-firewall-policies \
  create fw-policy-urlf \
  --global \
  --project PROJECT_ID

    Sostituisci quanto segue:

    • PROJECT_ID: un ID progetto in cui viene creata la policy del firewall di rete globale.

  2. Per aggiungere la regola firewall per abilitare l'accesso IAP, esegui questo comando:

    gcloud compute network-firewall-policies rules create 100 \
  --firewall-policy fw-policy-urlf \
  --direction INGRESS \
  --action ALLOW \
  --src-ip-ranges 35.235.240.0/20 \
  --layer4-configs tcp:22 \
  --global-firewall-policy \
  --enable-logging

  3. Per aggiungere la regola firewall per abilitare l'ispezione del livello 7 per il filtro URL, esegui questo comando:

    gcloud compute network-firewall-policies rules create 200 \
  --direction EGRESS \
  --firewall-policy fw-policy-urlf \
  --action apply_security_profile_group \
  --dest-ip-ranges 0.0.0.0/0 \
  --layer4-configs tcp:80, tcp:443 \
  --global-firewall-policy \
  --security-profile-group \
  //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \
  /locations/global/securityProfileGroups/sec-profile-group-urlf \
  --enable-logging

    Sostituisci quanto segue:

    • ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili sicuri.

  4. Per associare i criteri firewall alla rete VPC, esegui questo comando:

    gcloud compute network-firewall-policies associations create \
 --firewall-policy fw-policy-urlf \
 --network vpc-urlf \
 --name fw-pol-association-urlf \
 --global-firewall-policy \
 --project PROJECT_ID

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto in cui viene creata l'associazione VPC.

Testa la configurazione

In questa sezione, testerai la configurazione generando traffico intercettato dall'endpoint e la policy del firewall di rete globale viene applicata per eseguire l'ispezione di livello 7.

Console

  1. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Nella colonna Connetti della VM vm-client-urlf, fai clic su SSH.

  3. Nella finestra di dialogo SSH nel browser, fai clic su Autorizza e attendi che la connessione venga stabilita.

  4. Per verificare se una richiesta all'istanza VM server è consentita, esegui il seguente comando: 

    curl URL -m 2

    Sostituisci URL con l'URL del dominio dell'istanza VM del server vm-server-urlf. Ad esempio: www.example.com.

    La richiesta ha esito positivo perché il filtro URL (con priorità 1000) consente il pacchetto.

  5. Chiudi la finestra di dialogo SSH nel browser.

gcloud

  1. Per connetterti alla VM vm-client-urlf, esegui questo comando:

    gcloud compute ssh vm-client-urlf \
   --zone=us-central1-a \
   --tunnel-through-iap

    Quando richiesto, premi Y per confermare, quindi premi Invio.

  2. Per verificare se una richiesta all'istanza VM server è consentita, esegui questo comando: 

    curl URL -m 2

    Sostituisci URL con l'URL del dominio dell'istanza VM del server vm-server-urlf. Ad esempio: www.example.com.

    La richiesta ha esito positivo perché il filtro URL (con priorità 1000) consente il pacchetto.

  3. Per chiudere SSH nel browser, inserisci exit.

Visualizzare i log del servizio di filtraggio degli URL

  1. Vai a Esplora log.

  2. Inserisci la seguente query nel riquadro Query. Sostituisci PROJECT_ID con l'ID del tuo progetto.

      resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

In questa sezione, eliminerai le risorse create in questo tutorial.

Elimina l'associazione di endpoint firewall

Console

  1. Nella console Google Cloud , vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Fai clic sulla rete vpc-urlf per visualizzare la pagina Dettagli rete VPC.

  3. Seleziona la scheda Endpoint firewall. La scheda mostra un elenco delle associazioni di endpoint firewall configurate.

  4. Seleziona la casella di controllo accanto a endpoint-association-urlf, quindi fai clic su Elimina.

  5. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare l'associazione dell'endpoint firewall, esegui questo comando:

gcloud network-security firewall-endpoint-associations \
    delete endpoint-association-urlf \
    --zone asia-southeast1-a

Elimina l'endpoint firewall

Console

  1. Nella console Google Cloud , vai alla pagina Endpoint firewall.

    Vai a Endpoint firewall

  2. Seleziona endpoint-urlf, quindi fai clic su Elimina.

  3. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare l'endpoint firewall, esegui questi comandi:

gcloud network-security firewall-endpoints delete endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'organizzazione in cui viene creato l'endpoint.

Elimina la policy firewall di rete globale

Console

  1. Nella console Google Cloud , vai alla pagina Policy del firewall.

    Vai a Criteri firewall

  2. Nel menu del selettore dei progetti, seleziona il progetto che contiene la policy.

  3. Fai clic su fw-policy-urlf.

  4. Fai clic sulla scheda Associazioni.

  5. Seleziona tutte le associazioni.

  6. Fai clic su Rimuovi associazioni.

  7. Dopo aver rimosso tutte le associazioni, fai clic su Elimina.

gcloud

  1. Per rimuovere l'associazione tra la policy del firewall e la rete VPC, esegui questo comando:

    gcloud compute network-firewall-policies associations delete \
  --name fw-pol-association-urlf \
  --firewall-policy fw-policy-urlf \
  --global-firewall-policy

  2. Elimina la policy del firewall.

    gcloud compute network-firewall-policies delete fw-policy-urlf --global

    Quando richiesto, premi Y per confermare, quindi premi Invio.

Elimina il gruppo di profili di sicurezza

Console

  1. Nella console Google Cloud , vai alla pagina Profili di sicurezza.

    Vai a Profili di sicurezza

  2. Seleziona la scheda Gruppi di profili di sicurezza.

  3. Seleziona sec-profile-group-urlf, quindi fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare il gruppo di profili di sicurezza, esegui questo comando:

gcloud network-security security-profile-groups \
    delete sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'organizzazione in cui viene creato il gruppo di profili di sicurezza.

Elimina il profilo di sicurezza con filtro degli URL

Console

  1. Nella console Google Cloud , vai alla pagina Profili di sicurezza.

    Vai a Profili di sicurezza

  2. Seleziona la scheda Profili di sicurezza. La scheda mostra un elenco di profili di sicurezza configurati.

  3. Seleziona sec-profile-urlf, quindi fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

gcloud

Per eliminare il profilo di sicurezza, esegui questo comando:

gcloud network-security security-profiles url-filtering \
    delete sec-profile-urlf \
    --organization ORGANIZATION_ID \
    --location global

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'organizzazione in cui viene creato il profilo di sicurezza.

Elimina le VM

Console

  1. Nella console Google Cloud , vai alla pagina Istanze VM.

    Vai a Istanze VM

  2. Seleziona le caselle di controllo delle VM vm-client-urlf e vm-server-urlf.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo Elimina 2 istanze, fai clic su Elimina.

gcloud

  1. Per eliminare la VM vm-client-urlf, esegui questo comando:

    gcloud compute instances delete vm-client-urlf \
  --zone us-central1-a

    Quando richiesto, premi Y per confermare, quindi premi Invio.

  2. Per eliminare la VM vm-server-urlf, esegui questo comando:

    gcloud compute instances delete vm-server-urlf \
  --zone asia-southeast1-a

    Quando richiesto, premi Y per confermare, quindi premi Invio.

Elimina il gateway Cloud NAT e il router Cloud

Console

  1. Nella console Google Cloud , vai alla pagina Cloud NAT.

    Vai a Cloud NAT

  2. Seleziona la casella di controllo accanto alla configurazione del gateway gateway-urlf.

  3. Nel menu, fai clic su Elimina.

  4. Nella console Google Cloud , vai alla pagina Router Cloud.

    Vai a Router Cloud

  5. Seleziona la casella di controllo accanto al router router-urlf.

  6. Fai clic su Elimina.

gcloud

  1. Per eliminare il gateway Cloud NAT, esegui questo comando:

    gcloud compute routers nats delete gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1

  2. Per eliminare router Cloud, esegui questo comando:

    gcloud compute routers delete router-urlf \
  --project=PROJECT_ID \
  --region=asia-southeast1

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene router Cloud.

Elimina la rete VPC e le relative subnet

Console

  1. Nella console Google Cloud , vai alla pagina Reti VPC.

    Vai a Reti VPC

  2. Nella colonna Nome, fai clic su vpc-urlf.

  3. Fai clic su Elimina rete VPC.

  4. Nella finestra di dialogo Elimina rete, fai clic su Elimina.

Quando elimini un VPC, vengono eliminate anche le relative subnet.

gcloud

  1. Per eliminare la subnet subnet-client-urlf della rete VPC vpc-urlf, esegui questo comando:

    gcloud compute networks subnets delete subnet-client-urlf \
    --region us-central1

    Quando richiesto, premi Y per confermare, quindi premi Invio.

  2. Per eliminare la subnet subnet-server-urlf della rete VPC vpc-urlf, esegui questo comando:

    gcloud compute networks subnets delete subnet-server-urlf \
    --region=asia-southeast1

    Quando richiesto, premi Y per confermare, quindi premi Invio.

  3. Per eliminare la rete VPC vpc-urlf, esegui questo comando:

    gcloud compute networks delete vpc-urlf

Elimina la zona DNS

Elimina la zona DNS che hai creato per l'URL del dominio VM server.

Passaggi successivi