在网络中设置网址过滤服务

借助 网址过滤服务,您可以根据出站 HTTP 或 HTTPS 消息中提供的网域和服务器名称指示 (SNI) 信息来过滤 Google Cloud 工作负载流量。该服务通过阻止与配置的恶意网址列表的通信来保护您的网络免受威胁。如需在网络中启用此服务,您必须设置多个 Cloud Next Generation Firewall 组件。本教程介绍了用于在网络中配置网址过滤服务的端到端工作流。

目标

本教程介绍如何完成以下任务:

  • 创建包含两个子网的 Virtual Private Cloud (VPC) 网络。
  • 在 VPC 网络的第一个子网中创建服务器虚拟机 (VM) 实例,并在该虚拟机上安装 Apache 服务器。
  • 在 VPC 网络的第二个子网中创建客户端虚拟机实例。
  • 创建网址过滤安全配置文件以及安全配置文件组。
  • 创建防火墙端点并将其与 VPC 网络相关联。
  • 添加包含以下防火墙规则的全球网络防火墙政策:
    • 一条防火墙规则,用于启用对 VPC 网络中的虚拟机实例的 Identity-Aware Proxy (IAP) 访问权限。
    • 防火墙规则,用于将所有出站流量引导到第 7 层检查。
  • 验证是否允许流向服务器虚拟机实例的流量。
  • 清理资源。

下图展示了本教程中部署设置的概要架构。VPC vpc-urlf 上的防火墙政策 fw-policy-urlf 将所有出站流量重定向到可用区 asia-southeast1-a 中的防火墙端点 endpoint-urlf。端点会检查出站 HTTP 或 HTTPS 消息中提供的网域和 SNI 信息,以确定是否与网址过滤安全配置文件 sec-profile-urlf 中列出的网址匹配。如果端点找到匹配项,则允许流量通过;否则,拒绝流量通过。

自定义 VPC 网络中的网址过滤服务,可防止与恶意网址进行通信。
自定义 VPC 网络中的网址过滤服务(点击可放大)。

费用

创建防火墙端点会产生相关费用。如需了解价格详情,请参阅 Cloud 新一代防火墙价格

准备工作

  1. 登录您的 Google Cloud 账号。如果您是 Google Cloud新手,请 创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. 为您的项目启用 Compute Engine API
  7. 为您的项目启用 Network Security API
  8. 为您的项目启用 Identity-Aware Proxy API
  9. 具有您的组织的 Compute Network Admin (roles/compute.networkAdmin) IAM 角色。
  10. 如果您希望通过命令行进行操作,请安装 Google Cloud CLI。 如需了解该工具的概念性信息和安装信息,请参阅 gcloud CLI 概览

    注意:如果您之前未运行过 gcloud CLI,请先运行 gcloud init 以初始化 gcloud CLI 目录。

创建包含子网的自定义 VPC 网络

在本部分中,您将创建包含两个 IPv4 子网的自定义模式 VPC 网络。

控制台

  1. 在 Google Cloud 控制台中,前往 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击创建 VPC 网络

  3. 对于名称,输入 vpc-urlf

  4. 对于说明,输入 VPC network to set up URL filtering service

  5. 对于子网创建模式,选择自定义

  6. 新子网部分,为子网指定以下配置参数:

    • 名称subnet-server-urlf
    • 区域asia-southeast1
    • IPv4 范围10.0.0.0/24

  7. 点击完成

  8. 点击添加子网并指定以下配置参数:

    • 名称subnet-client-urlf
    • 区域us-central1
    • IPv4 范围192.168.10.0/24

  9. 点击完成

  10. 点击创建

gcloud

  1. 如需创建 VPC 网络,请运行以下命令:

    gcloud compute networks create vpc-urlf \
  --subnet-mode custom \
  --description "VPC network to set up URL filtering service."

  2. 为 Cloud Shell 提供授权对话框中,点击授权

  3. 如需创建子网,请运行以下命令:

    gcloud compute networks subnets create subnet-server-urlf \
  --network vpc-urlf \
  --region asia-southeast1 \
  --range 10.0.0.0/24

  4. 如需创建另一个子网,请运行以下命令:

    gcloud compute networks subnets create subnet-client-urlf \
  --network vpc-urlf \
  --region us-central1 \
  --range 192.168.10.0/24

创建 Cloud Router 路由器和 Cloud NAT 网关

在下一部分中创建没有公共 IPv4 地址的客户端和服务器 Linux 虚拟机实例之前,您必须创建 Cloud Router 路由器和 Cloud NAT 网关,以便这些虚拟机能够访问公共互联网。

控制台

  1. 在 Google Cloud 控制台中,前往 Cloud NAT 页面。

    进入 Cloud NAT

  2. 点击开始使用创建 Cloud NAT 网关

  3. 对于网关名称,输入 gateway-urlf

  4. NAT 类型列表中,选择公共

  5. 选择 Cloud Router 路由器部分中,指定以下配置参数:

    • 网络vpc-urlf
    • 区域asia-southeast1
    • Cloud Router 路由器创建新路由器
      1. 对于名称,输入 router-urlf
      2. 点击创建

  6. 点击创建

gcloud

  1. 要创建 Cloud Router 路由器,请运行以下命令:

    gcloud compute routers create router-urlf \
  --network=vpc-urlf \
  --region=asia-southeast1

  2. 如需创建 Cloud NAT 网关,请运行以下命令:

    gcloud compute routers nats create gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

创建虚拟机实例

在本部分中,您将创建服务器和客户端虚拟机实例。如需查看创建虚拟机实例所需的权限和角色,请参阅所需角色

创建服务器虚拟机实例

在本部分中,您将在子网 subnet-server-urlf 中创建一个虚拟机实例,并在该实例上安装 Apache 服务器。

控制台

  1. 在 Google Cloud 控制台中,前往创建实例页面。

    转到“创建实例”

  2. 机器配置窗格中,执行以下操作:

    1. 对于名称,输入 vm-server-urlf
    2. 对于区域,请选择 asia-southeast1 (Singapore)
    3. 对于可用区,请选择 asia-southeast1-a

  3. 在导航菜单中,点击操作系统和存储空间

    操作系统和存储空间部分,验证映像是否为 Debian GNU/Linux 12 (bookworm)。如果不是,请点击更改,然后将操作系统字段设置为 Debian,将版本字段设置为 Debian GNU/Linux 12 (bookworm)

  4. 在导航菜单中,点击网络

    1. 网络接口部分中,指定以下配置参数:
      • 网络vpc-urlf
      • 子网subnet-server-urlf IPv4 (10.0.0.0/24)
      • 外部 IPv4 地址None
    2. 点击完成

  5. 在导航菜单中,点击高级,然后在自动化部分中的启动脚本字段中输入以下脚本:

      #! /bin/bash
  apt update
  apt -y install apache2
  cat <<EOF > /var/www/html/index.html
  <html><body><p>Hello world.</p></body></html>
  EOF

  6. 点击创建

gcloud

如需创建服务器虚拟机,请运行以下命令:

gcloud compute instances create vm-server-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-server-urlf,no-address \
    --image-project debian-cloud \
    --image-family debian-12 \
    --metadata=startup-script='#! /bin/bash
     apt update
     apt -y install apache2
     cat <<EOF > /var/www/html/index.html
     <html><body><p>Hello World.</p></body></html>
     EOF'

如需为服务器虚拟机使用网域网址,请按以下步骤操作:

创建客户端虚拟机实例

在本部分中,您将在子网 subnet-client-urlf 中创建一个虚拟机实例。

控制台

  1. 在 Google Cloud 控制台中,前往创建实例页面。

    转到“创建实例”

  2. 机器配置窗格中,执行以下操作:

    1. 对于名称,输入 vm-client-urlf
    2. 对于区域,请选择 us-central1 (Iowa)
    3. 对于可用区,请选择 us-central1-a

  3. 在导航菜单中,点击网络

    1. 网络接口部分中,指定以下配置参数:
      • 网络vpc-urlf
      • 子网subnet-client-urlf IPv4 (192.168.10.0/24)
      • 外部 IPv4 地址None
    2. 点击完成

  4. 点击创建

gcloud

如需创建客户端虚拟机,请运行以下命令:

gcloud compute instances create vm-client-urlf \
    --network vpc-urlf \
    --zone us-central1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-client-urlf,no-address \

创建网址过滤安全配置文件

在本部分中,您将在组织中创建 url-filtering 类型的安全配置文件。如需查看创建网址过滤安全配置文件所需的权限和角色,请参阅创建网址过滤安全配置文件

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    进入“安全配置文件”

  2. 在项目选择器菜单中,选择您的组织。

  3. 选择安全配置文件标签页。

  4. 点击 Create profile(创建配置文件)。

  5. 对于名称,输入 sec-profile-urlf

  6. 对于说明,输入 Security profile to set up URL filtering service

  7. 用途部分,选择 Cloud NGFW Enterprise,以指定您要创建与防火墙关联的安全配置文件。

  8. 类型部分中,选择 网址 过滤,以指定您要创建类型为 url-filtering 的安全配置文件。

  9. 网址过滤条件部分,点击创建网址过滤条件按钮以创建新的网址过滤条件。在创建网址过滤条件窗格中,指定以下详细信息:

    • 优先级:指定网址过滤条件的优先级。例如 1000
    • 操作:指定为允许,以允许流向服务器虚拟机实例的流量。
    • 网址列表:指定服务器虚拟机实例的网域网址。例如 www.example.com

  10. 点击创建

gcloud

创建一个包含以下内容的安全配置文件 YAML 文件:

name: sec-profile-urlf
type: url-filtering
urlFilteringProfile:
  urlFilters:
    - filteringAction: ALLOW
      priority: 1000
      urls: URL

如需使用 YAML 文件创建安全配置文件,请运行以下命令:

gcloud network-security security-profiles import sec-profile-urlf \
    --location global \
    --source FILE_NAME \
    --organization ORGANIZATION_ID \

替换以下内容:

  • URL:服务器虚拟机实例的网域网址。例如 www.example.com
  • FILE_NAME:您创建的 YAML 文件的名称。
  • ORGANIZATION_ID:在其中创建安全配置文件的组织。

创建安全配置文件组

在本部分中,您将创建一个安全配置文件组,以包含您在上一部分中创建的网址过滤安全配置文件。如需查看创建安全配置文件组所需的权限和角色,请参阅创建安全配置文件组

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    进入“安全配置文件”

  2. 在项目选择器菜单中,选择您的组织。

  3. 选择安全配置文件组标签页。

  4. 点击创建配置文件组

  5. 对于名称,输入 sec-profile-group-urlf

  6. 对于说明,输入 Security profile group to set up URL filtering service

  7. 如需为 Cloud Next Generation Firewall 企业版创建安全配置文件组,请在用途部分中选择 Cloud NGFW 企业版

  8. 网址 过滤配置文件列表中,选择 sec-profile-urlf

  9. 点击创建

gcloud

如需创建安全配置文件组,请运行以下命令:

gcloud network-security security-profile-groups \
    create sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --url-filtering-profile  \
    organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-urlf \
    --description "Security profile group to set up URL filtering service."

请替换以下内容:

  • ORGANIZATION_ID:在其中创建安全配置文件组的组织。
  • PROJECT_ID:用于安全配置文件组的配额和访问权限限制的项目 ID。

创建防火墙端点

在本部分中,您将在特定可用区中创建防火墙端点。如需查看创建防火墙端点所需的权限和角色,请参阅创建防火墙端点

注意:创建防火墙端点时,防火墙端点的状态设置为 Creating。防火墙端点就绪后,状态会更改为 Active。您可以查看端点以验证其状态。

控制台

  1. 在 Google Cloud 控制台中,前往防火墙端点页面。

    进入“防火墙端点”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击创建

  4. 区域列表中,选择 asia-southeast1 (Singapore)

  5. 可用区列表中,选择 asia-southeast1-a

  6. 对于名称,输入 endpoint-urlf

  7. 结算项目列表中,选择要用于结算防火墙端点的 Google Cloud 项目,然后点击继续

  8. 点击创建

gcloud

如需创建防火墙端点,请运行以下命令:

gcloud network-security firewall-endpoints \
    create endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a \
    --billing-project PROJECT_ID

请替换以下内容:

  • ORGANIZATION_ID:在其中创建防火墙端点的组织。
  • PROJECT_ID:用于防火墙端点结算的项目 ID。

创建防火墙端点关联

在本部分中,您会将防火墙端点与您之前创建的 VPC 网络关联。如需查看创建防火墙端点关联所需的权限和角色,请参阅创建防火墙端点关联

注意:创建防火墙端点关联时,其状态设置为 Creating。防火墙端点关联就绪后,状态会更改为 Active。您可以查看端点关联,以验证其状态。

控制台

  1. 在 Google Cloud 控制台中,前往 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击 vpc-urlf 网络以显示其 VPC 网络详情页面。

  3. 选择防火墙端点标签页。

  4. 点击创建端点关联

  5. 区域列表中,选择 asia-southeast1

  6. 可用区列表中,选择 asia-southeast1-a

  7. 防火墙端点列表中,选择 endpoint-urlf

  8. 点击创建

gcloud

如需创建防火墙端点关联,请运行以下命令:

gcloud network-security firewall-endpoint-associations \
    create endpoint-association-urlf \
    --endpoint  organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --project PROJECT_ID

请替换以下内容:

  • ORGANIZATION_ID:在其中创建防火墙端点的组织。
  • PROJECT_ID:创建关联的项目 ID。

创建全球网络防火墙政策

在本部分中,您将创建一个包含以下两条防火墙规则的全球网络防火墙政策:

  1. 优先级为 100 的入站防火墙规则,允许流向端口 22 的 TCP 流量。此规则可启用对 VPC 网络中的虚拟机实例的 IAP 访问权限。
  2. 优先级为 200 的出站流量防火墙规则,用于对特定可用区中的服务器虚拟机上的传出流量执行第 7 层检查。

如需查看创建全球网络防火墙政策及其规则所需的权限和角色,请参阅创建全球网络防火墙政策为虚拟机目标创建入站规则为虚拟机目标创建出站规则

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器列表中,选择您的组织内的项目。

  3. 点击创建防火墙政策

  4. 对于政策名称,请输入 fw-policy-urlf

  5. 对于政策类型,选择 VPC 政策

  6. 部署范围字段中,选择全球

  7. 点击继续,然后点击创建防火墙规则

  8. Priority(优先级)字段中,输入 100

  9. 对于流量方向,选择入站

  10. 对于对匹配项执行的操作,选择允许

  11. 日志列表中,选择已启用

  12. 来源过滤条件中,选择 IPv4,然后在 IP 范围字段中输入 35.235.240.0/20

  13. 协议和端口部分中,选择指定的协议和端口

  14. 选择 TCP,然后在端口字段中,输入 22

  15. 点击创建

  16. 点击创建防火墙规则

  17. Priority(优先级)字段中,输入 200

  18. 流量方向列表中,选择出站

  19. 对于匹配时执行的操作,选择应用安全配置文件组

  20. 安全配置文件组列表中,选择 sec-profile-group-urlf

  21. 日志列表中,选择已启用

  22. 目标过滤条件中,选择 IPv4,然后在 IP 范围字段中输入 0.0.0.0/0

  23. 协议和端口部分中,选择指定的协议和端口

  24. 选择 TCP,然后在端口字段中,输入 80, 443

  25. 点击创建

  26. 点击继续以继续前往添加镜像规则部分。

  27. 再次点击继续,打开将政策与网络相关联部分。

  28. 选择 vpc-urlf 网络。

  29. 点击关联

  30. 点击创建

gcloud

  1. 如需创建全球网络防火墙政策,请运行以下命令:

    gcloud compute network-firewall-policies \
  create fw-policy-urlf \
  --global \
  --project PROJECT_ID

    请替换以下内容:

    • PROJECT_ID:在其中创建全球网络防火墙政策的项目的 ID。

  2. 如需添加防火墙规则以启用 IAP 访问权限,请运行以下命令:

    gcloud compute network-firewall-policies rules create 100 \
  --firewall-policy fw-policy-urlf \
  --direction INGRESS \
  --action ALLOW \
  --src-ip-ranges 35.235.240.0/20 \
  --layer4-configs tcp:22 \
  --global-firewall-policy \
  --enable-logging

  3. 如需添加防火墙规则以启用第 7 层检查进行网址过滤,请运行以下命令:

    gcloud compute network-firewall-policies rules create 200 \
  --direction EGRESS \
  --firewall-policy fw-policy-urlf \
  --action apply_security_profile_group \
  --dest-ip-ranges 0.0.0.0/0 \
  --layer4-configs tcp:80, tcp:443 \
  --global-firewall-policy \
  --security-profile-group \
  //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \
  /locations/global/securityProfileGroups/sec-profile-group-urlf \
  --enable-logging

    替换以下内容:

    • ORGANIZATION_ID:在其中创建安全配置文件组的组织。

  4. 如需将防火墙政策与 VPC 网络关联,请运行以下命令:

    gcloud compute network-firewall-policies associations create \
 --firewall-policy fw-policy-urlf \
 --network vpc-urlf \
 --name fw-pol-association-urlf \
 --global-firewall-policy \
 --project PROJECT_ID

    请替换以下内容:

    • PROJECT_ID:创建 VPC 关联的项目 ID。

测试设置

在本部分中,您将通过生成端点会拦截的流量来测试设置,并应用全球网络防火墙政策以执行第 7 层检查。

控制台

  1. 在 Google Cloud 控制台中,前往虚拟机实例页面。

    转到虚拟机实例

  2. vm-client-urlf 虚拟机实例的连接列中,点击 SSH

  3. SSH-in-browser 对话框中,点击授权并等待连接建立。

  4. 如需验证是否允许向服务器虚拟机实例发送请求,请运行以下命令: 

    curl URL -m 2

    URL 替换为 vm-server-urlf 服务器虚拟机实例的网域网址。例如 www.example.com

    请求成功,因为网址过滤条件(优先级为 1000)允许该数据包。

  5. 关闭 SSH-in-browser 对话框。

gcloud

  1. 如需连接到 vm-client-urlf 虚拟机,请运行以下命令:

    gcloud compute ssh vm-client-urlf \
   --zone=us-central1-a \
   --tunnel-through-iap

    出现提示时,按 Y 键进行确认,然后按 Enter 键。

  2. 如需验证是否允许向服务器虚拟机实例发送请求,请运行以下命令: 

    curl URL -m 2

    URL 替换为 vm-server-urlf 服务器虚拟机实例的网域网址。例如 www.example.com

    请求成功,因为网址过滤条件(优先级为 1000)允许该数据包。

  3. 若要关闭 SSH-in-browser,请输入 exit

查看网址过滤服务日志

  1. 转到日志浏览器

  2. 查询窗格中输入以下查询。将 PROJECT_ID 替换为您的项目 ID。

      resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"

清理

为避免因本教程中使用的资源导致您的 Google Cloud 账号产生费用,请删除包含这些资源的项目,或者保留该项目但删除各个资源。

在本部分中,您将删除在本教程中创建的资源。

删除防火墙端点关联

控制台

  1. 在 Google Cloud 控制台中,前往 VPC 网络页面。

    进入 VPC 网络页面

  2. 点击 vpc-urlf 网络以显示其 VPC 网络详情页面。

  3. 选择防火墙端点标签页。该标签页会显示已配置的防火墙端点关联的列表。

  4. 选中 endpoint-association-urlf 旁边的复选框,然后点击删除

  5. 再次点击删除进行确认。

gcloud

如需删除防火墙端点关联,请运行以下命令:

gcloud network-security firewall-endpoint-associations \
    delete endpoint-association-urlf \
    --zone asia-southeast1-a

删除防火墙端点

控制台

  1. 在 Google Cloud 控制台中,前往防火墙端点页面。

    进入“防火墙端点”

  2. 选择 endpoint-urlf,然后点击删除

  3. 再次点击删除进行确认。

gcloud

如需删除防火墙端点,请运行以下命令:

gcloud network-security firewall-endpoints delete endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a

请替换以下内容:

  • ORGANIZATION_ID:在其中创建端点的组织。

删除全球网络防火墙政策

控制台

  1. 在 Google Cloud 控制台中,前往防火墙政策页面。

    转到“防火墙政策”

  2. 在项目选择器菜单中,选择包含该政策的项目。

  3. 点击 fw-policy-urlf

  4. 点击关联标签页。

  5. 选择所有关联。

  6. 点击 Remove Associations(移除关联)。

  7. 移除所有关联后,点击删除

gcloud

  1. 如需移除防火墙政策与 VPC 网络之间的关联,请运行以下命令:

    gcloud compute network-firewall-policies associations delete \
  --name fw-pol-association-urlf \
  --firewall-policy fw-policy-urlf \
  --global-firewall-policy

  2. 删除防火墙政策。

    gcloud compute network-firewall-policies delete fw-policy-urlf --global

    出现提示时,按 Y 键进行确认,然后按 Enter 键。

删除安全配置文件组

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    进入“安全配置文件”

  2. 选择安全配置文件组标签页。

  3. 选择 sec-profile-group-urlf,然后点击删除

  4. 再次点击删除进行确认。

gcloud

如需删除安全配置文件组,请运行以下命令:

gcloud network-security security-profile-groups \
    delete sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global

请替换以下内容:

  • ORGANIZATION_ID:在其中创建安全配置文件组的组织。

删除网址过滤安全配置文件

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    进入“安全配置文件”

  2. 选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。

  3. 选择 sec-profile-urlf,然后点击删除

  4. 再次点击删除进行确认。

gcloud

如需删除安全配置文件,请运行以下命令:

gcloud network-security security-profiles url-filtering \
    delete sec-profile-urlf \
    --organization ORGANIZATION_ID \
    --location global

请替换以下内容:

  • ORGANIZATION_ID:创建安全配置文件的组织。

删除虚拟机

控制台

  1. 在 Google Cloud 控制台中,前往虚拟机实例页面。

    转到虚拟机实例

  2. 选中 vm-client-urlfvm-server-urlf 虚拟机对应的复选框。

  3. 点击删除

  4. 删除 2 个实例对话框中,点击删除

gcloud

  1. 如需删除 vm-client-urlf 虚拟机,请运行以下命令:

    gcloud compute instances delete vm-client-urlf \
  --zone us-central1-a

    出现提示时,按 Y 键进行确认,然后按 Enter 键。

  2. 如需删除 vm-server-urlf 虚拟机,请运行以下命令:

    gcloud compute instances delete vm-server-urlf \
  --zone asia-southeast1-a

    出现提示时,按 Y 键进行确认,然后按 Enter 键。

删除 Cloud NAT 网关和 Cloud Router 路由器

控制台

  1. 在 Google Cloud 控制台中,前往 Cloud NAT 页面。

    进入 Cloud NAT

  2. 选中 gateway-urlf 网关配置旁边的复选框。

  3. 菜单上,点击删除

  4. 在 Google Cloud 控制台中,前往 Cloud Router 页面。

    前往“Cloud Router 路由器”

  5. 选中 router-urlf 路由器旁边的复选框。

  6. 点击删除

gcloud

  1. 如需删除 Cloud NAT 网关,请运行以下命令:

    gcloud compute routers nats delete gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1

  2. 如需删除 Cloud Router,请运行以下命令:

    gcloud compute routers delete router-urlf \
  --project=PROJECT_ID \
  --region=asia-southeast1

替换以下内容:

  • PROJECT_ID:包含 Cloud Router 路由器的项目的 ID。

删除 VPC 网络及其子网

控制台

  1. 在 Google Cloud 控制台中,前往 VPC 网络页面。

    进入 VPC 网络页面

  2. 名称列中,点击 vpc-urlf

  3. 点击删除 VPC 网络

  4. 删除网络对话框中,点击删除

删除 VPC 时,其子网也会被删除。

gcloud

  1. 如需删除 vpc-urlf VPC 网络的子网 subnet-client-urlf,请运行以下命令:

    gcloud compute networks subnets delete subnet-client-urlf \
    --region us-central1

    出现提示时,按 Y 键进行确认,然后按 Enter 键。

  2. 如需删除 vpc-urlf VPC 网络的子网 subnet-server-urlf,请运行以下命令:

    gcloud compute networks subnets delete subnet-server-urlf \
    --region=asia-southeast1

    出现提示时,按 Y 键进行确认,然后按 Enter 键。

  3. 如需删除 vpc-urlf VPC 网络,请运行以下命令:

    gcloud compute networks delete vpc-urlf

删除 DNS 区域

删除您为服务器虚拟机网域网址创建的 DNS 区域。

后续步骤