Configurar o serviço de filtragem de URL na sua rede

O serviço de filtragem de URL permite filtrar o tráfego da sua Google Cloud carga de trabalho usando as informações de domínio e indicação de nome do servidor (SNI) disponíveis nas mensagens HTTP ou HTTPS de saída. O serviço protege sua rede contra ameaças bloqueando a comunicação com uma lista configurada de URLs maliciosos. Para ativar esse serviço na rede, você precisa configurar vários componentes do Cloud Next Generation Firewall. Neste tutorial, descrevemos o fluxo de trabalho completo para configurar o serviço de filtragem de URL na sua rede.

Objetivos

Nesta seção, mostramos como concluir as seguintes tarefas:

  • Criar uma rede de nuvem privada virtual (VPC) com duas sub-redes.
  • Criar uma instância de máquina virtual (VM) de servidor na primeira sub-rede da rede VPC e instale o servidor Apache na VM.
  • Criar uma instância de VM do cliente na segunda sub-rede da rede VPC.
  • Crie um perfil de segurança de filtragem de URL e um grupo de perfis de segurança.
  • Criar um endpoint de firewall para associá-lo à rede VPC.
  • Adicionar uma política de firewall de rede global com as seguintes regras de firewall:
    • Uma regra de firewall para ativar o acesso do Identity-Aware Proxy (IAP) às instâncias da VM na rede VPC.
    • Uma regra de firewall que direcione todo o tráfego de saída para a inspeção da camada 7.
  • Verificar se o tráfego para a instância de VM do servidor é permitido.
  • Limpar os recursos.

O diagrama a seguir mostra a arquitetura de alto nível da configuração de implantação neste tutorial. A política de firewall fw-policy-urlf na VPC vpc-urlf redireciona todo o tráfego de saída para o endpoint de firewall endpoint-urlf na zona asia-southeast1-a. O endpoint inspeciona as informações de domínio e SNI disponíveis nas mensagens HTTP ou HTTPS de saída para uma correspondência com o URL listado no perfil de segurança de filtragem de URL sec-profile-urlf. Se o endpoint encontrar uma correspondência, ele vai permitir o tráfego. Caso contrário, ele vai negar.

Serviço de filtragem de URL em uma rede VPC personalizada para evitar a comunicação com URLs maliciosos.
Serviço de filtragem de URL em uma rede VPC personalizada (clique para ampliar).

Custos

Há um custo associado à criação dos endpoints de firewall. Para mais detalhes sobre preços, consulte Preços do Cloud Next Generation Firewall.

Antes de começar

  1. Faça login na sua conta do Google Cloud . Se você começou a usar o Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Ative a API Compute Engine no projeto.
  7. Ative a API Network Security no projeto.
  8. Ative a API Identity-Aware Proxy no projeto.
  9. Tenha o papel do IAM Administrador de rede do Compute (roles/compute.networkAdmin) na sua organização.
  10. Se você preferir trabalhar na linha de comando, instale a CLI do Google Cloud. Veja informações de conceitos e instalação sobre a ferramenta em Visão geral da gcloud CLI.

    Observação: se você ainda não executou a gcloud CLI, primeiro execute gcloud init para inicializar o diretório gcloud CLI.

Criar uma rede VPC personalizada com sub-redes

Nesta seção, você vai criar uma rede VPC de modo personalizado com duas sub-redes IPv4.

Console

  1. No console do Google Cloud , acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique em Criar rede VPC.

  3. Em Nome, insira vpc-urlf.

  4. Em Descrição, insira VPC network to set up URL filtering service.

  5. Em Modo de criação da sub-rede, selecione Personalizado.

  6. Na seção Nova sub-rede, especifique os parâmetros de configuração a seguir para uma sub-rede:

    • Name: subnet-server-urlf
    • Região: asia-southeast1
    • Intervalo IPv4: 10.0.0.0/24

  7. Clique em Concluído.

  8. Clique em Adicionar sub-rede e especifique os seguintes parâmetros de configuração:

    • Name: subnet-client-urlf
    • Região: us-central1
    • Intervalo IPv4: 192.168.10.0/24

  9. Clique em Concluído.

  10. Clique em Criar.

gcloud

  1. Para criar uma rede VPC, execute o seguinte comando:

    gcloud compute networks create vpc-urlf \
  --subnet-mode custom \
  --description "VPC network to set up URL filtering service."

  2. Na caixa de diálogo Autorizar o Cloud Shell, clique em Autorizar.

  3. Para criar uma sub-rede, execute o comando a seguir.

    gcloud compute networks subnets create subnet-server-urlf \
  --network vpc-urlf \
  --region asia-southeast1 \
  --range 10.0.0.0/24

  4. Para criar outra sub-rede, execute o seguinte comando:

    gcloud compute networks subnets create subnet-client-urlf \
  --network vpc-urlf \
  --region us-central1 \
  --range 192.168.10.0/24

Criar um Cloud Router e um gateway NAT do Cloud

Antes de criar instâncias de VM do Linux de cliente e servidor sem endereços IPv4 públicos na próxima seção, crie um Cloud Router e um gateway do Cloud NAT, que permite que essas VMs acessem a Internet pública.

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Clique em Primeiros passos ou Criar gateway Cloud NAT.

  3. Em Nome do gateway, digite gateway-urlf.

  4. Em Tipo de NAT, selecione Public.

  5. Na seção Selecionar o Cloud Router, especifique os seguintes parâmetros de configuração:

    • Rede: vpc-urlf
    • Região: asia-southeast1
    • Cloud Router: criar novo roteador.
      1. Em Nome, insira router-urlf.
      2. Clique em Criar.

  6. Clique em Criar.

gcloud

  1. Para criar um Cloud Router, execute o seguinte comando:

    gcloud compute routers create router-urlf \
  --network=vpc-urlf \
  --region=asia-southeast1

  2. Para criar um gateway do Cloud NAT, execute o seguinte comando:

    gcloud compute routers nats create gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

Crie instâncias de VM

Nesta seção, você vai criar instâncias de VM do servidor e do cliente. Para conferir as permissões e os papéis necessários para criar instâncias de VM, consulte Papéis obrigatórios.

Criar a instância de VM do servidor

Nesta seção, você cria uma instância de VM na sub-rede subnet-server-urlf e e instalar o servidor Apache.

Console

  1. No console do Google Cloud , acesse a página Criar uma instância.

    Acesse "Criar uma instância"

  2. No painel Configuração da máquina, faça o seguinte:

    1. Em Nome, insira vm-server-urlf.
    2. Em Região, selecione asia-southeast1 (Singapore).
    3. Em Zona, selecione asia-southeast1-a.

  3. No menu de navegação, clique em SO e armazenamento.

    Na seção Sistema operacional e armazenamento, verifique se a Imagem é Debian GNU/Linux 12 (bookworm). Se não for, clique em Mudar e defina o campo Sistema operacional como Debian e o campo Versão como Debian GNU/Linux 12 (bookworm).

  4. No menu de navegação, clique em Rede.

    1. Na seção Interfaces de rede, especifique os seguintes parâmetros de configuração:
      • Rede: vpc-urlf
      • Sub-rede: subnet-server-urlf IPv4 (10.0.0.0/24)
      • Endereço IPv4 externo: None
    2. Clique em Concluído.

  5. No menu de navegação, clique em Avançado e insira o script a seguir no campo Script de inicialização, disponível na seção Automação:

      #! /bin/bash
  apt update
  apt -y install apache2
  cat <<EOF > /var/www/html/index.html
  <html><body><p>Hello world.</p></body></html>
  EOF

  6. Clique em Criar.

gcloud

Para criar a VM do servidor, execute o seguinte comando:

gcloud compute instances create vm-server-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-server-urlf,no-address \
    --image-project debian-cloud \
    --image-family debian-12 \
    --metadata=startup-script='#! /bin/bash
     apt update
     apt -y install apache2
     cat <<EOF > /var/www/html/index.html
     <html><body><p>Hello World.</p></body></html>
     EOF'

Siga estas etapas para usar um URL de domínio na VM do servidor:

Criar a instância de VM do cliente

Nesta seção, você criará uma instância de VM na sub-rede subnet-client-urlf.

Console

  1. No console do Google Cloud , acesse a página Criar uma instância.

    Acesse "Criar uma instância"

  2. No painel Configuração da máquina, faça o seguinte:

    1. Em Nome, insira vm-client-urlf.
    2. Em Região, selecione us-central1 (Iowa).
    3. Em Zona, selecione us-central1-a.

  3. No menu de navegação, clique em Rede.

    1. Na seção Interfaces de rede, especifique os seguintes parâmetros de configuração:
      • Rede: vpc-urlf
      • Sub-rede: subnet-client-urlf IPv4 (192.168.10.0/24)
      • Endereço IPv4 externo: None
    2. Clique em Concluído.

  4. Clique em Criar.

gcloud

Para criar a VM, execute o seguinte comando:

gcloud compute instances create vm-client-urlf \
    --network vpc-urlf \
    --zone us-central1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-client-urlf,no-address \

Criar um perfil de segurança de filtragem de URL

Nesta seção, você vai criar um perfil de segurança do tipo url-filtering em em toda a organização. Para conferir as permissões e os papéis necessários para criar um perfil de segurança de filtragem de URL, consulte Criar um perfil de segurança de filtragem de URL.

Console

  1. No console do Google Cloud , acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. No menu do seletor de projetos, selecione sua organização.

  3. Selecione a guia Perfis de segurança.

  4. Clique em Create profile.

  5. Em Nome, insira sec-profile-urlf.

  6. Em Descrição, insira Security profile to set up URL filtering service.

  7. Na seção Finalidade, selecione Cloud NGFW Enterprise para especificar que você quer criar um perfil de segurança associado ao firewall.

  8. Na seção Tipo, selecione Filtragem de URL para especificar que você quer criar um perfil de segurança do tipo url-filtering.

  9. Na seção Filtros de URL, clique no botão Criar filtro de URL para criar um filtro. No painel Criar um filtro de URL, especifique estes detalhes:

    • Prioridade: especifique a prioridade do filtro de URL. Por exemplo, 1000.
    • Ação: especifique Permitir para permitir o tráfego para a instância da VM do servidor.
    • Lista de URLs: especifique o URL do domínio da instância de VM do servidor. Por exemplo, www.example.com.

  10. Clique em Criar.

gcloud

Crie um arquivo YAML com o seguinte conteúdo para o perfil de segurança:

name: sec-profile-urlf
type: url-filtering
urlFilteringProfile:
  urlFilters:
    - filteringAction: ALLOW
      priority: 1000
      urls: URL

Para criar um perfil de segurança usando o arquivo YAML, execute o seguinte comando:

gcloud network-security security-profiles import sec-profile-urlf \
    --location global \
    --source FILE_NAME \
    --organization ORGANIZATION_ID \

Substitua:

  • URL: o URL do domínio da instância de VM do servidor. Por exemplo, www.example.com.
  • FILE_NAME: o nome do arquivo YAML que você criou.
  • ORGANIZATION_ID: a organização em que o perfil de segurança é criado.

Criar um grupo de perfis de segurança

Nesta seção, você vai criar um grupo de perfis de segurança para incluir o perfil de segurança de filtragem de URL que você criou na seção anterior. Para conferir as permissões e os papéis necessários para criar um grupo de perfis de segurança, consulte Criar um grupo de perfis de segurança.

Console

  1. No console do Google Cloud , acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. No menu do seletor de projetos, selecione sua organização.

  3. Selecione a guia Grupos de perfis de segurança.

  4. Clique em Criar grupo de perfis.

  5. Em Nome, insira sec-profile-group-urlf.

  6. Em Descrição, insira Security profile group to set up URL filtering service.

  7. Para criar um grupo de perfis de segurança para o Cloud Next Generation Firewall Enterprise, na seção Finalidade, selecione Cloud NGFW Enterprise.

  8. Na lista Perfil de filtragem de URL, selecione sec-profile-urlf.

  9. Clique em Criar.

gcloud

Para criar um grupo de perfis de segurança, execute o seguinte comando:

gcloud network-security security-profile-groups \
    create sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --url-filtering-profile  \
    organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-urlf \
    --description "Security profile group to set up URL filtering service."

Substitua:

  • ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado.
  • PROJECT_ID: um ID do projeto a ser usado para cotas e restrições de acesso no grupo de perfis de segurança.

Criar um endpoint de firewall

Nesta seção, você vai criar um endpoint de firewall em uma zona específica. Para conferir as permissões e os papéis necessários para criar um endpoint de firewall, consulte Criar um endpoint de firewall.

Observação: quando você cria um endpoint de firewall, o estado do endpoint do firewall será definido como Creating. Depois que o endpoint de firewall estiver pronto, o estado mudará para Active. Você pode ver um endpoint para verificar o estado dele.

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. No menu do seletor de projetos, selecione sua organização.

  3. Clique em Criar.

  4. Na lista Região, selecione asia-southeast1 (Singapore).

  5. Na lista Zona, selecione asia-southeast1-a.

  6. Em Nome, insira endpoint-urlf.

  7. Na lista Projeto de faturamento, selecione o projeto Google Cloud que você quer usar para o faturamento do endpoint do firewall e clique em Continuar.

  8. Clique em Criar.

gcloud

Para criar um endpoint de firewall, execute o seguinte comando:

gcloud network-security firewall-endpoints \
    create endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a \
    --billing-project PROJECT_ID

Substitua:

  • ORGANIZATION_ID: o identificador da organização em que o endpoint de firewall foi criado.
  • PROJECT_ID: um ID do projeto a ser usado para o faturamento do endpoint de firewall.

Criar uma associação de endpoint de firewall

Nesta seção, você vai associar o endpoint de firewall à rede VPC criada anteriormente. Para conferir as permissões e funções necessárias para criar uma associação de endpoint de firewall, consulte Criar associações de endpoint de firewall.

Observação: quando você cria uma associação de endpoint de firewall, o estado dela é definido como Creating. Depois que a associação de endpoint de firewall estiver pronta, o estado mudará para Active. Você pode ver uma associação de endpoint para verificar o estado dela.

Console

  1. No console do Google Cloud , acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique na rede vpc-urlf para mostrar a página Detalhes da rede VPC.

  3. Selecione a guia Endpoints de firewall.

  4. Clique em Criar associação de endpoint.

  5. Na lista Região, selecione asia-southeast1.

  6. Na lista Zona, selecione asia-southeast1-a.

  7. Na lista Endpoint de firewall, selecione endpoint-urlf.

  8. Clique em Criar.

gcloud

Para criar uma associação de endpoint de firewall, execute o seguinte comando:

gcloud network-security firewall-endpoint-associations \
    create endpoint-association-urlf \
    --endpoint  organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --project PROJECT_ID

Substitua:

  • ORGANIZATION_ID: o identificador da organização em que o endpoint de firewall foi criado.
  • PROJECT_ID: um ID do projeto em que a associação é criada.

Criar uma política de firewall de rede global

Nesta seção, você vai criar uma política de firewall de rede global com as duas regras de firewall a seguir:

  1. Uma regra de firewall de entrada com prioridade 100 para permitir o tráfego TCP para a porta 22. Essa regra permite o acesso do IAP às instâncias de VM na rede VPC.
  2. Uma regra de firewall de saída com prioridade 200 para realizar a inspeção na camada 7 sobre o tráfego de saída para a VM do servidor em uma zona específica.

Para conferir as permissões e os papéis necessários para criar uma política de firewall de rede global e as regras dela, consulte Criar uma política de firewall de rede global, Criar uma regra de entrada para destinos de VM e Criar uma regra de saída para destinos de VM.

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. Na lista do seletor de projetos, selecione seu projeto na organização.

  3. Clique em Criar política de firewall.

  4. Em Nome da política, insira fw-policy-urlf.

  5. Em Tipo de política, selecione Política de VPC.

  6. Em Escopo da implantação, selecione Global.

  7. Clique em Continuar e em Criar regra de firewall.

  8. No campo Priority, digite 100.

  9. Em Direção de tráfego, selecione Entrada.

  10. Em Ação se houver correspondência, selecione Permitir.

  11. Em Registros, selecione Ativado.

  12. No filtro Origem, selecione IPv4 e, em seguida, no campo Intervalos de IP, insira 35.235.240.0/20.

  13. Na seção Protocolos e portas, selecione Portas e protocolos especificados.

  14. Selecione TCP e, em Portas, insira 22.

  15. Clique em Criar.

  16. Clique em Criar regra de firewall.

  17. No campo Priority, digite 200.

  18. Em Direção do tráfego, selecione Saída.

  19. Em Ação se houver correspondência, selecione Aplicar grupo de perfis de segurança.

  20. Na lista Grupo de perfis de segurança, selecione sec-profile-group-urlf.

  21. Em Registros, selecione Ativado.

  22. No filtro Destino, selecione IPv4 e, em seguida, no campo Intervalos de IP, insira 0.0.0.0/0.

  23. Na seção Protocolos e portas, selecione Portas e protocolos especificados.

  24. Selecione TCP e, em Portas, insira 80, 443.

  25. Clique em Criar.

  26. Clique em Continuar para acessar a seção Adicionar regras de espelhamento.

  27. Clique em Continuar novamente para abrir a seção Associar política a redes.

  28. Selecione a rede vpc-urlf.

  29. Clique em Associar.

  30. Clique em Criar.

gcloud

  1. Para criar uma política de firewall de rede global, execute o seguinte comando:

    gcloud compute network-firewall-policies \
  create fw-policy-urlf \
  --global \
  --project PROJECT_ID

    Substitua:

    • PROJECT_ID: um ID do projeto em que a política de firewall de rede global do Compute Engine é criada.

  2. Para adicionar a regra de firewall que ativa o acesso ao IAP, execute o seguinte comando:

    gcloud compute network-firewall-policies rules create 100 \
  --firewall-policy fw-policy-urlf \
  --direction INGRESS \
  --action ALLOW \
  --src-ip-ranges 35.235.240.0/20 \
  --layer4-configs tcp:22 \
  --global-firewall-policy \
  --enable-logging

  3. Para adicionar a regra de firewall que ativa a inspeção na camada 7 para filtragem de URL, execute o seguinte comando:

    gcloud compute network-firewall-policies rules create 200 \
  --direction EGRESS \
  --firewall-policy fw-policy-urlf \
  --action apply_security_profile_group \
  --dest-ip-ranges 0.0.0.0/0 \
  --layer4-configs tcp:80, tcp:443 \
  --global-firewall-policy \
  --security-profile-group \
  //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \
  /locations/global/securityProfileGroups/sec-profile-group-urlf \
  --enable-logging

    Substitua:

    • ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado.

  4. Para associar a política de firewall à rede VPC, execute o seguinte comando:

    gcloud compute network-firewall-policies associations create \
 --firewall-policy fw-policy-urlf \
 --network vpc-urlf \
 --name fw-pol-association-urlf \
 --global-firewall-policy \
 --project PROJECT_ID

    Substitua:

    • PROJECT_ID: o ID do projeto em que a associação de VPC é criada.

Testar a configuração

Nesta seção, você vai testar a configuração gerando tráfego que é interceptado pelo endpoint, e a política de firewall de rede global é aplicada para realizar a inspeção da camada 7.

Console

  1. No console do Google Cloud , acesse a página Instâncias de VM.

    Acessar instâncias de VM

  2. Na coluna Conectar da VM vm-client-urlf, clique em SSH.

  3. Na caixa de diálogo SSH no navegador, clique em Autorizar e aguarde a conexão ser estabelecida.

  4. Para verificar se uma solicitação à instância de VM do servidor é permitida, execute o seguinte comando: 

    curl URL -m 2

    Substitua URL pelo URL do domínio da instância de VM do servidor vm-server-urlf. Por exemplo, www.example.com.

    A solicitação é bem-sucedida porque o filtro de URL (com prioridade 1000) permite o pacote.

  5. Feche a caixa de diálogo SSH no navegador.

gcloud

  1. Para se conectar à VM vm-client-urlf, execute este comando:

    gcloud compute ssh vm-client-urlf \
   --zone=us-central1-a \
   --tunnel-through-iap

    Quando solicitado, pressione Y para confirmar e depois Enter.

  2. Para verificar se uma solicitação à instância de VM do servidor é permitida, execute o seguinte comando: 

    curl URL -m 2

    Substitua URL pelo URL do domínio da instância de VM do servidor vm-server-urlf. Por exemplo, www.example.com.

    A solicitação é bem-sucedida porque o filtro de URL (com prioridade 1000) permite o pacote.

  3. Para fechar o SSH no navegador, digite exit.

Ver os registros do serviço de filtragem de URL

  1. Acessar o Explorador de registros

  2. Insira a seguinte consulta no painel Consulta. Substitua PROJECT_ID pelo ID do seu projeto.

      resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"

Limpar

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados neste tutorial, exclua o projeto que os contém ou mantenha o projeto e exclua os recursos individuais.

Nesta seção, você vai excluir os recursos criados neste tutorial.

Excluir a associação de endpoint de firewall

Console

  1. No console do Google Cloud , acesse a página Redes VPC.

    Acessar redes VPC

  2. Clique na rede vpc-urlf para mostrar a página Detalhes da rede VPC.

  3. Selecione a guia Endpoints de firewall. A guia mostra uma lista de associações de endpoints de firewall configurados.

  4. Marque a caixa de seleção ao lado de endpoint-association-urlf e clique em Excluir.

  5. Clique em Excluir novamente para confirmar.

gcloud

Para excluir a associação de endpoint de firewall, execute o seguinte comando:

gcloud network-security firewall-endpoint-associations \
    delete endpoint-association-urlf \
    --zone asia-southeast1-a

Excluir o endpoint de firewall

Console

  1. No console do Google Cloud , acesse a página Endpoints de firewall.

    Acessar endpoints de firewall

  2. Selecione endpoint-urlf e clique em Excluir.

  3. Clique em Excluir novamente para confirmar.

gcloud

Para excluir o endpoint do firewall, execute os seguintes comandos:

gcloud network-security firewall-endpoints delete endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a

Substitua:

  • ORGANIZATION_ID: a organização em que o endpoint está ativado.

Excluir a política de firewall de rede global

Console

  1. No console do Google Cloud , acesse a página Políticas de firewall.

    Acesse as políticas de firewall

  2. No menu do seletor de projetos, selecione o projeto que contém a política.

  3. Clique em fw-policy-urlf.

  4. Clique na guia Associações.

  5. Selecione todas as associações.

  6. Clique em Remover associações.

  7. Depois que todas as associações forem removidas, clique em Excluir.

gcloud

  1. Para remover a associação entre a política de firewall e a rede VPC, execute o seguinte comando:

    gcloud compute network-firewall-policies associations delete \
  --name fw-pol-association-urlf \
  --firewall-policy fw-policy-urlf \
  --global-firewall-policy

  2. Exclua a política de firewall.

    gcloud compute network-firewall-policies delete fw-policy-urlf --global

    Quando solicitado, pressione Y para confirmar e depois Enter.

Excluir o grupo de perfis de segurança

Console

  1. No console do Google Cloud , acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. Selecione a guia Grupos de perfis de segurança.

  3. Selecione sec-profile-group-urlf e clique em Excluir.

  4. Clique em Excluir novamente para confirmar.

gcloud

Para excluir o grupo de perfis de segurança, execute o seguinte comando:

gcloud network-security security-profile-groups \
    delete sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global

Substitua:

  • ORGANIZATION_ID: a organização em que o grupo de perfis de segurança foi criado.

Excluir o perfil de segurança de filtragem de URL

Console

  1. No console do Google Cloud , acesse a página Perfis de segurança.

    Acessar Perfis de segurança

  2. Selecione a guia Perfis de segurança. A guia mostra uma lista de perfis de segurança configurados.

  3. Selecione sec-profile-urlf e clique em Excluir.

  4. Clique em Excluir novamente para confirmar.

gcloud

Para excluir o perfil de segurança, execute o seguinte comando:

gcloud network-security security-profiles url-filtering \
    delete sec-profile-urlf \
    --organization ORGANIZATION_ID \
    --location global

Substitua:

  • ORGANIZATION_ID: a organização em que o perfil de segurança é criado.

Excluir as VMs

Console

  1. No console do Google Cloud , acesse a página Instâncias de VM.

    Acessar instâncias de VM

  2. Marque as caixas de seleção das VMs vm-client-urlf e vm-server-urlf.

  3. Clique em Excluir.

  4. Na caixa de diálogo Excluir 2 instâncias, clique em Excluir.

gcloud

  1. Para excluir a VM vm-client-urlf, execute o seguinte comando:

    gcloud compute instances delete vm-client-urlf \
  --zone us-central1-a

    Quando solicitado, pressione Y para confirmar e depois Enter.

  2. Para excluir a VM vm-server-urlf, execute o seguinte comando:

    gcloud compute instances delete vm-server-urlf \
  --zone asia-southeast1-a

    Quando solicitado, pressione Y para confirmar e depois Enter.

Excluir o gateway do Cloud NAT e o Cloud Router

Console

  1. No console do Google Cloud , acesse a página Cloud NAT.

    Acesse o Cloud NAT

  2. Marque a caixa de seleção ao lado da configuração de gateway gateway-urlf.

  3. No Menu, clique em Excluir.

  4. No console do Google Cloud , acesse a página Cloud Routers.

    Acesse o Cloud Routers

  5. Marque a caixa de seleção ao lado do roteador router-urlf.

  6. Clique em Excluir.

gcloud

  1. Para excluir o gateway do Cloud NAT, execute o seguinte comando:

    gcloud compute routers nats delete gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1

  2. Para excluir o Cloud Router, execute o seguinte comando:

    gcloud compute routers delete router-urlf \
  --project=PROJECT_ID \
  --region=asia-southeast1

Substitua:

  • PROJECT_ID: o ID do projeto que contém o Cloud Router.

Excluir a rede VPC e as sub-redes dela

Console

  1. No console do Google Cloud , acesse a página Redes VPC.

    Acessar redes VPC

  2. Na coluna Nome, clique em vpc-urlf.

  3. Clique em Excluir rede VPC.

  4. Na caixa de diálogo Excluir rede, clique em Excluir.

Quando você exclui uma VPC, as sub-redes dela também são excluídas.

gcloud

  1. Para excluir a sub-rede subnet-client-urlf da rede VPC vpc-urlf, execute o seguinte comando:

    gcloud compute networks subnets delete subnet-client-urlf \
    --region us-central1

    Quando solicitado, pressione Y para confirmar e depois Enter.

  2. Para excluir a sub-rede subnet-server-urlf da rede VPCvpc-urlf, execute o seguinte comando:

    gcloud compute networks subnets delete subnet-server-urlf \
    --region=asia-southeast1

    Quando solicitado, pressione Y para confirmar e depois Enter.

  3. Para excluir a rede VPC vpc-urlf, execute o seguinte comando:

    gcloud compute networks delete vpc-urlf

Excluir a zona de DNS

Exclua a zona de DNS que você criou para o URL do domínio da VM do servidor.

A seguir