目標
本教學課程將說明如何完成下列工作:
- 建立兩個含有子網路的自訂虛擬私有雲網路。
- 建立三個虛擬機器 (VM) 執行個體 (兩個消費者 VM,分別位於一個虛擬私有雲網路的不同子網路中,以及一個生產者 VM,位於第二個虛擬私有雲網路中)。所有 VM 都是在沒有外部 IP 位址的情況下建立。
- 在 Producer VM 上安裝 Apache 伺服器。
- 建立虛擬私有雲網路對等互連。
- 建立 Cloud Router 和 Cloud NAT 閘道,讓 Producer VM 存取公用網際網路。
- 建立專案範圍的位址群組。
- 建立全域網路防火牆政策,並加入下列規則:
- 允許 Identity-Aware Proxy (IAP) SSH 連線至 VM。
- 使用專案範圍的位址群組,允許從允許的消費者 VM 到生產者 VM 的流量。
- 測試連線。
下圖顯示兩個自訂虛擬私有雲網路中,us-central1 區域內供應商和消費者 VM 之間的流量。全域網路防火牆政策會使用專案範圍的位址群組規則,允許 vm-consumer-allowed 和 vm-producer VM 之間的輸入流量。vm-consumer-blocked VM 和 vm-producer VM 之間的流量遭到拒絕,因為每個 VM 都有隱含的輸入防火牆規則,會拒絕所有流量。
事前準備
-
In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Cloud de Confiance project.
- 為專案啟用 Compute Engine API。
- 確認您具備 Compute 網路管理員角色 (
roles/compute.networkAdmin)。 - 為專案啟用 Identity-Aware Proxy API。
- 如果您希望透過指令列操作,請先安裝 Google Cloud CLI。如需該工具的概念與安裝資訊,請參閱 gcloud CLI 概覽。
注意:如果您先前沒有執行過 Google Cloud CLI,請執行
gcloud init指令,初始化 gcloud CLI 目錄。
建立含子網路的消費者虛擬私有雲網路
在本節中,您將建立含有兩個 IPv4 子網路 (subnet-consumer-allowed 和 subnet-consumer-blocked) 的消費者虛擬私有雲網路。
控制台
前往 Cloud de Confiance 控制台的「VPC Networks」(虛擬私有雲網路) 頁面。
按一下「建立虛擬私有雲網路」。
在「Name」(名稱) 中輸入
vpc-consumer。在「子網路建立模式」部分,選取「自訂」。
在「New subnet」(新子網路) 部分,指定子網路的以下設定參數:
- Name (名稱):
subnet-consumer-allowed - Region (區域):
us-central1 - IPv4 範圍:
192.168.10.0/29
- Name (名稱):
按一下 [完成]。
按一下「Add subnet」(新增子網路),然後指定下列設定參數:
- Name (名稱):
subnet-consumer-blocked - Region (區域):
us-central1 - IPv4 範圍:
192.168.20.0/29
- Name (名稱):
按一下 [完成]。
點選「建立」。
gcloud
-
In the Cloud de Confiance console, activate Cloud Shell.
如要建立 VPC 網路,請執行下列指令:
gcloud compute networks create vpc-consumer \ --subnet-mode=custom
在「授權 Cloud Shell」對話方塊中,按一下「授權」。
如要建立子網路,請執行下列指令:
gcloud compute networks subnets create subnet-consumer-allowed \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.10.0/29
如要建立另一個子網路,請執行下列指令:
gcloud compute networks subnets create subnet-consumer-blocked \ --network=vpc-consumer \ --region=us-central1 \ --range=192.168.20.0/29
建立含子網路的供應商虛擬私有雲網路
在本節中,您將建立含 IPv4 子網路的生產端虛擬私有雲網路。
控制台
前往 Cloud de Confiance 控制台的「VPC Networks」(虛擬私有雲網路) 頁面。
按一下「建立虛擬私有雲網路」。
在「Name」(名稱) 中輸入
vpc-producer。在「子網路建立模式」部分,選取「自訂」。
在「New subnet」(新子網路) 部分,指定子網路的以下設定參數:
- Name (名稱):
subnet-vpc-producer - Region (區域):
us-central1 - IPv4 範圍:
172.16.10.0/29
- Name (名稱):
按一下 [完成]。
點選「建立」。
gcloud
如要建立 VPC 網路,請執行下列指令:
gcloud compute networks create vpc-producer \ --subnet-mode=custom
如要建立子網路,請執行下列指令:
gcloud compute networks subnets create subnet-vpc-producer \ --network=vpc-producer \ --region=us-central1 \ --range=172.16.10.0/29
建立 Cloud Router 和 Cloud NAT 閘道
如要讓 vm-producer VM 存取公用網際網路,請建立 Cloud Router 和 Cloud NAT 閘道。
控制台
前往 Cloud de Confiance 控制台的「Cloud NAT」頁面。
按一下「開始使用」或「建立 Cloud NAT 閘道」。
在「閘道名稱」中輸入
nat-gateway-addressgrp。在「NAT type」(NAT 類型) 中,選取「Public」(公開)。
在「Select Cloud Router」部分,指定下列設定參數:
- 「Network」(網路):
vpc-producer - 區域:
us-central1 (lowa) - Cloud Router:按一下「建立新路由器」。
- 在「Name」(名稱) 中輸入
router-addressgrp。 - 點選「建立」。
- 在「Name」(名稱) 中輸入
- 「Network」(網路):
點選「建立」。
gcloud
如要建立 Cloud Router,請執行下列指令:
gcloud compute routers create router-addressgrp \ --network=vpc-producer \ --region=us-central1
如要建立 Cloud NAT 閘道,請執行下列指令:
gcloud compute routers nats create nat-gateway-addressgrp \ --router=router-addressgrp \ --region=us-central1 \ --auto-allocate-nat-external-ips \ --nat-all-subnet-ip-ranges
建立 VM
在您於前一節建立的 VPC 網路中,為每個子網路建立沒有外部 IP 位址的 VM。
為允許取用者存取的虛擬私有雲網路建立 VM
在 subnet-consumer-allowed 子網路中建立 VM。
控制台
前往 Cloud de Confiance 控制台的「Create an instance」(建立執行個體) 頁面。
在「機器設定」窗格中,執行下列操作:
- 在「Name」(名稱) 中輸入
vm-consumer-allowed。 - 在「Region」(區域) 中選取
us-central1 (Iowa)。
- 在「Name」(名稱) 中輸入
在導覽選單中,按一下「Networking」(網路)。
- 在「Network interfaces」(網路介面) 部分,按一下
default,然後指定下列設定參數:- 「Network」(網路):
vpc-consumer - 「Subnetwork」(子網路):
subnet-consumer-allowed IPv4 (192.168.10.0/29) - 外部 IPv4 位址:無
- 「Network」(網路):
- 按一下 [完成]。
- 在「Network interfaces」(網路介面) 部分,按一下
點選「建立」。
gcloud
gcloud compute instances create vm-consumer-allowed \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-allowed
為遭到封鎖的消費者虛擬私有雲網路建立 VM
在本節中,您將在 subnet-consumer-blocked 子網路中建立 VM。
控制台
前往 Cloud de Confiance 控制台的「Create an instance」(建立執行個體) 頁面。
在「機器設定」窗格中,執行下列操作:
- 在「Name」(名稱) 中輸入
vm-consumer-blocked。 - 在「Region」(區域) 中選取
us-central1 (Iowa)。
- 在「Name」(名稱) 中輸入
在導覽選單中,按一下「Networking」(網路)。
- 在「Network interfaces」(網路介面) 部分,按一下
default,然後指定下列設定參數:- 「Network」(網路):
vpc-consumer - 「Subnetwork」(子網路):
subnet-consumer-blocked IPv4 (192.168.20.0/29) - 外部 IPv4 位址:無
- 「Network」(網路):
- 按一下 [完成]。
- 在「Network interfaces」(網路介面) 部分,按一下
點選「建立」。
gcloud
gcloud compute instances create vm-consumer-blocked \
--network=vpc-consumer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-consumer-blocked
為生產者虛擬私有雲網路建立 VM
在子網路 subnet-vpc-producer 中建立 VM,並在其中安裝 Apache 伺服器。
控制台
前往 Cloud de Confiance 控制台的「Create an instance」(建立執行個體) 頁面。
在「機器設定」窗格中,執行下列操作:
- 在「Name」(名稱) 中輸入
vm-producer。 - 在「Region」(區域) 中選取
us-central1 (Iowa)。
- 在「Name」(名稱) 中輸入
在導覽選單中,按一下「Networking」(網路)。
- 在「Network interfaces」(網路介面) 部分,按一下
default,然後指定下列設定參數:- 「Network」(網路):
vpc-producer - 「Subnetwork」(子網路):
subnet-vpc-producer IPv4 (172.16.10.0/29)
- 「Network」(網路):
- 按一下 [完成]。
- 在「Network interfaces」(網路介面) 部分,按一下
在導覽選單中,按一下「進階」,並在「開機指令碼」欄位中輸入下列指令碼:
#! /bin/bash apt-get update apt-get install apache2 -y a2ensite default-ssl a2enmod ssl # Read VM network configuration: md_vm="http://169.254.169.254/computeMetadata/v1/instance/" vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )" filter="{print \$NF}" vm_network="$(curl $md_vm/network-interfaces/0/network \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" vm_zone="$(curl $md_vm/zone \ -H "Metadata-Flavor:Google" | awk -F/ "${filter}")" # Apache configuration: echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \ tee /var/www/html/index.html systemctl restart apache2上述指令碼會在 VM 中部署及啟動 Apache 網路伺服器。
點選「建立」。
gcloud
如要建立 Producer VM,請執行下列指令:
gcloud compute instances create vm-producer \
--network=vpc-producer \
--zone=us-central1-a \
--stack-type=IPV4_ONLY \
--no-address \
--subnet=subnet-vpc-producer \
--image-project=debian-cloud \
--image-family=debian-10 \
--metadata=startup-script='#! /bin/bash
apt-get update
apt-get install apache2 -y
a2ensite default-ssl
a2enmod ssl
# Read VM network configuration:
md_vm="http://169.254.169.254/computeMetadata/v1/instance/"
vm_hostname="$(curl $md_vm/name -H "Metadata-Flavor:Google" )"
filter="{print \$NF}"
vm_network="$(curl $md_vm/network-interfaces/0/network \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
vm_zone="$(curl $md_vm/zone \
-H "Metadata-Flavor:Google" | awk -F/ "${filter}")"
# Apache configuration:
echo "Page on $vm_hostname in network $vm_network zone $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2'
建立虛擬私有雲網路對等互連連線
如要在同一專案中,以私密方式連結 vpc-consumer 和 vpc-producer 虛擬私有雲網路,請使用虛擬私有雲網路對等互連。虛擬私有雲網路對等互連可在兩個虛擬私有雲網路之間建立內部 IP 位址連線,無論虛擬私有雲網路是否屬於同一個專案或機構,皆可連線。
與「vpc-producer」對等互連vpc-consumervpc-producer
如要成功建立虛擬私有雲網路對等互連,您必須分別為 vpc-consumer 和 vpc-producer 網路設定對等互連關聯。
控制台
如要在 vpc-consumer 和 vpc-producer 網路之間建立虛擬私有雲網路對等互連,請按照下列步驟操作:
前往 Cloud de Confiance 控制台的「VPC network peering」(VPC 網路對等互連) 頁面。
點選「建立連線」。
按一下「繼續」。
在「Name」(名稱) 欄位中,輸入
peering-cp。在「您的虛擬私有雲網路」底下,選取
vpc-consumer。在「VPC network name」(虛擬私有雲網路名稱) 下方,選取
vpc-producer。點選「建立」。
gcloud
如要在 vpc-consumer 和 vpc-producer 之間建立虛擬私有雲網路對等互連,請執行下列指令:
gcloud compute networks peerings create peering-cp \
--network=vpc-consumer \
--peer-network=vpc-producer \
--stack-type=IPV4_ONLY
將 vpc-producer 網路與 vpc-consumer 網路對等互連
控制台
如要在 vpc-producer 和 vpc-consumer 之間建立虛擬私有雲網路對接,請按照下列步驟操作:
前往 Cloud de Confiance 控制台的「VPC network peering」(VPC 網路對等互連) 頁面。
點選「建立連線」。
按一下「繼續」。
在「Name」(名稱) 欄位中,輸入
peering-pc。在「您的虛擬私有雲網路」底下,選取
vpc-producer。在「VPC network name」(虛擬私有雲網路名稱) 下方,選取
vpc-consumer。點選「建立」。
gcloud
如要在 vpc-producer 和 vpc-consumer 之間建立虛擬私有雲網路對等互連,請執行下列指令:
gcloud compute networks peerings create peering-pc \
--network=vpc-producer \
--peer-network=vpc-consumer \
--stack-type=IPV4_ONLY
建立全域網路防火牆政策,啟用 IAP
如要啟用 IAP,請建立全域網路防火牆政策並新增防火牆規則。IAP 可啟用 VM 執行個體的管理存取權。
防火牆規則具有下列特性。
- 來自 IP 範圍
35.235.240.0/20的輸入流量。這個範圍包含 IAP 用於 TCP 轉送的所有 IP 位址。 連線至您希望透過 IAP TCP 轉送功能存取的所有通訊埠,例如適用於 SSH 的通訊埠「
22」。
控制台
如要允許 IAP 存取 vpc-consumer 和 vpc-producer 網路中的所有 VM 執行個體,請按照下列步驟操作:
前往 Cloud de Confiance 控制台的「Firewall policies」(防火牆政策) 頁面。
按一下「建立防火牆政策」。
在「設定政策」部分,於「政策名稱」輸入
fw-policy-addressgrp。在「部署範圍」部分選取「全域」,然後按一下「繼續」。
如要為政策建立規則,請在「新增規則」部分中,按一下「新增規則」。
- 在「Priority」(優先順序) 中輸入
100。 - 在「Direction of traffic」(流量方向) 中選取 [Ingress] (輸入)。
- 在「Action on match」(相符時執行的動作) 中選取 [Allow] (允許)。
- 在「目標」部分中,針對「目標類型」選取「網路中的所有執行個體」。
- 在「來源」部分中,於「IP 範圍」輸入
35.235.240.0/20。 - 在「通訊協定和通訊埠」部分,選取「指定的通訊協定和通訊埠」。
- 勾選「TCP」核取方塊,然後在「Ports」(通訊埠) 輸入
22。 - 點選「建立」。
- 在「Priority」(優先順序) 中輸入
按一下「繼續」。
如要將虛擬私有雲網路與政策建立關聯,請在「將政策與虛擬私有雲網路建立關聯」部分中,按一下「建立關聯」。
勾選
vpc-producer和vpc-consumer的核取方塊,然後按一下「建立關聯」。按一下「繼續」。
點選「建立」。
gcloud
如要允許 IAP 存取 vpc-producer 網路中的 VM 執行個體,請執行下列指令:
如要建立防火牆政策,請執行下列指令:
gcloud compute network-firewall-policies create fw-policy-addressgrp \ --global如要建立防火牆規則,允許流量前往所有目的地並啟用記錄,請執行下列指令:
gcloud compute network-firewall-policies rules create 100 \ --firewall-policy=fw-policy-addressgrp \ --direction=INGRESS \ --action=ALLOW \ --layer4-configs=tcp:22 \ --src-ip-ranges=35.235.240.0/20 \ --global-firewall-policy如要將防火牆政策與生產者 VPC 網路建立關聯,請執行下列指令:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-producer \ --name=pol-association-vpc-producer \ --global-firewall-policy如要將防火牆政策與消費者 VPC 網路建立關聯,請執行下列指令:
gcloud compute network-firewall-policies associations create \ --firewall-policy=fw-policy-addressgrp \ --network=vpc-consumer \ --name=pol-association-vpc-consumer \ --global-firewall-policy
建立專案範圍的位址群組
建立專案範圍的位址群組,使用指派給 vpc-consumerVPC 網路子網路的 subnet-consumer-allowed IP 位址。
如要進一步瞭解專案範圍的位址群組,請參閱「在防火牆政策中使用位址群組」。
控制台
前往 Cloud de Confiance 控制台的「Address groups」(位址群組) 頁面。
按一下「建立地址群組」。
在「Name」(名稱) 欄位中,輸入
address-group-pc。在「範圍」部分,選擇「全域」。
在「類型」部分,選取「IPv4」。
在「Capacity」(容量) 欄位中輸入
1000。在「IP Addresses」(IP 位址) 欄位中輸入
192.168.10.0/29。點選「建立」。
gcloud
如果您是第一次使用 Cloud Shell 終端機,請在 Cloud de Confiance 控制台中點選「啟用 Cloud Shell」
。如要建立位址群組,請執行下列指令:
gcloud network-security address-groups create address-group-pc \ --type IPv4 \ --capacity 1000 \ --location global在「授權 Cloud Shell」對話方塊中,按一下「授權」。
如要將項目新增至地址群組,請執行下列指令:
gcloud network-security address-groups add-items address-group-pc \ --items 192.168.10.0/29 \ --location global請注意,IP 範圍
192.168.10.0/29會指派給vpc-consumer虛擬私有雲網路的subnet-consumer-allowed子網路。
新增防火牆規則,允許流量傳送至位址群組
如要允許來自 vm-consumer-allowed VM 的連入連線,請建立防火牆規則,將專案範圍的位址群組
address-group-pc 新增為來源 IP 位址。
控制台
前往 Cloud de Confiance 控制台的「Firewall policies」(防火牆政策) 頁面。
在「網路防火牆政策」部分,按一下
fw-policy-addressgrp。按一下「建立規則」。
在「Priority」(優先順序) 中輸入
150。在「Direction of traffic」(流量方向) 中選取 [Ingress] (輸入)。
在「Action on match」(相符時執行的動作) 中選取 [Allow] (允許)。
將「記錄」設為「開啟」。
在「目標」部分中,針對「目標類型」選取「網路中的所有執行個體」。
在「來源」部分,針對「地址群組」,選取
address-group-pc (PROJECT_ID),然後按一下「確定」。請注意,
address-group-pcIP 位址群組的 IP 範圍為192.168.10.0/29,該範圍已指派給消費者 VPC 網路的子網路subnet-consumer-allowed。點選「建立」。
gcloud
如要更新防火牆政策,請執行下列指令:
gcloud compute network-firewall-policies rules create 150 \
--firewall-policy=fw-policy-addressgrp \
--direction=INGRESS \
--action=ALLOW \
--src-address-groups=projects/PROJECT_ID/locations/global/addressGroups/address-group-pc \
--layer4-configs=all \
--global-firewall-policy \
--enable-logging
測試連線
測試從 vm-consumer-allowed VM 到 vm-producer VM 的連線,
以及從 vm-consumer-blocked VM 到 vm-producer VM 的連線。
測試從 vm-consumer-allowed VM 到 vm-producer VM 的流量
控制台
前往 Cloud de Confiance 控制台的「VM instances」(VM 執行個體) 頁面。
從
vm-producerVM 的「Internal IP」(內部 IP) 欄中,複製 VM 的內部 IP 位址。在
vm-consumer-allowedVM 的「連線」欄中,按一下「SSH」。在「SSH-in-browser」(直接透過瀏覽器進行 SSH 連線) 對話方塊中,按一下「Authorize」(授權),然後等待連線建立。
如要驗證連線,請執行下列指令:
curl INTERNAL_IP -m 2
將
INTERNAL_IP替換為vm-producerVM 的 IP 位址。輸出結果會與下列內容相似:
<!doctype html><html><body><h1>Hello World!</h1></body></html>關閉「SSH-in-browser」(透過瀏覽器進行 SSH 連線) 對話方塊。
gcloud
如要查看
vm-producerVM 的內部 IP 位址,請執行下列指令:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
系統提示時,請按 n 確認,然後按 Enter 鍵。 請務必記下
vm-producerVM 的內部 IP 位址。如要使用 SSH 連線至
vm-consumer-allowedVM,請執行下列指令:gcloud compute ssh vm-consumer-allowed \ --zone=us-central1-a \ --tunnel-through-iap
如要驗證連線,請執行下列指令:
curl INTERNAL_IP -m 2
將
INTERNAL_IP替換為vm-producerVM 的內部 IP 位址。預期的回應訊息如下:
<!doctype html><html><body><h1>Hello World!</h1></body></html>如要結束 SSH 連線,請輸入
exit。
測試從 vm-consumer-blocked VM 到 vm-producer VM 的流量
控制台
前往 Cloud de Confiance 控制台的「VM instances」(VM 執行個體) 頁面。
從
vm-producerVM 的「Internal IP」(內部 IP) 欄中,複製 VM 的內部 IP 位址。在
vm-consumer-blockedVM 的「連線」欄中,按一下「SSH」。在「SSH-in-browser」(直接透過瀏覽器進行 SSH 連線) 對話方塊中,按一下「Authorize」(授權),然後等待連線建立。
如要驗證連線,請執行下列指令:
curl INTERNAL_IP -m 2
將
INTERNAL_IP替換為vm-producerVM 的 IP 位址。這是預期中的訊息,因為每個 VM 都會建立隱含的輸入防火牆規則,拒絕所有流量。
Connection timed out如要允許流量,請在防火牆政策中新增輸入規則。關閉「SSH-in-browser」(透過瀏覽器進行 SSH 連線) 對話方塊。
gcloud
如要查看
vm-producerVM 的內部 IP 位址,請執行下列指令:gcloud compute instances describe vm-producer \ --zone=us-central1-a \ --format='get(networkInterfaces[0].networkIP)'
系統提示時,請按 n 確認,然後按 Enter 鍵。 請務必記下
vm-producerVM 的內部 IP 位址。如要使用 SSH 連線至
vm-consumer-blockedVM,請執行下列指令:gcloud compute ssh vm-consumer-blocked \ --zone=us-central1-a \ --tunnel-through-iap
如要驗證連線,請執行下列指令:
curl INTERNAL_IP -m 2
將
INTERNAL_IP替換為vm-producerVM 的內部 IP 位址。由於每個 VM 都會建立拒絕所有流量的隱含輸入防火牆規則,因此會出現
Connection timed out訊息。如要允許流量,請在防火牆政策中新增輸入規則。如要結束 SSH 連線,請輸入
exit。
查看記錄
如要確認地址群組防火牆規則是否已套用至連入流量,請存取記錄。如要查看記錄詳細資料,請按照下列步驟操作:
前往 Cloud de Confiance 控制台的「Firewall policies」(防火牆政策) 頁面。
在「網路防火牆政策」部分,按一下
fw-policy-addressgrp名稱。在「命中次數」欄中,選取您在「新增防火牆規則,允許流量進入位址群組」期間建立的規則編號。 「記錄檔探索工具」頁面隨即開啟。
如要查看套用至輸入流量的防火牆規則,請展開個別記錄。您可以查看規則詳細資料、處置方式和例項詳細資料。
清除所用資源
如要避免系統向您的 Cloud de Confiance 帳戶收取本教學課程所用資源的費用,請刪除含有相關資源的專案,或者保留專案但刪除個別資源。
如要刪除在本教學課程中建立的資源,請完成下列步驟。
刪除地址群組
控制台
前往 Cloud de Confiance 控制台的「Firewall policies」(防火牆政策) 頁面。
在「網路防火牆政策」部分,按一下
fw-policy-addressgrp。在「防火牆規則」部分,選取防火牆規則的核取方塊
150。按一下 「Delete」(刪除)。
前往 Cloud de Confiance 控制台的「Address groups」(位址群組) 頁面。
在「地址群組」部分,勾選
address-group-pc旁的核取方塊。按一下「刪除」,然後再次點選「刪除」來確認操作。
gcloud
如要刪除與
address-group-pcIP 位址群組相關聯的防火牆規則,請執行下列指令:gcloud compute network-firewall-policies rules delete 150 \ --firewall-policy fw-policy-addressgrp \ --global-firewall-policy如要從現有地址群組中移除項目,請執行下列指令:
gcloud network-security address-groups remove-items address-group-pc \ --items 192.168.10.0/29 \ --location global如要刪除 IP 位址群組,請執行下列指令:
gcloud network-security address-groups delete address-group-pc \ --location global系統提示時,請按下 Y 確認,然後按下 Enter 鍵。
刪除防火牆政策
控制台
前往 Cloud de Confiance 控制台的「Firewall policies」(防火牆政策) 頁面。
在「網路防火牆政策」部分,按一下
fw-policy-addressgrp名稱。按一下「關聯項目」分頁標籤。
選取
vpc-producerVM 和vpc-consumerVM 的核取方塊,然後按一下「移除關聯」。在「Remove a firewall policy association」(移除防火牆政策連結關係) 對話方塊中,按一下「Remove」(移除)。
按一下「
fw-policy-addressgrp」標題旁邊的「刪除」。在「刪除防火牆政策」對話方塊中,按一下「刪除」。
gcloud
移除防火牆政策與虛擬私有雲生產者網路之間的關聯。
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-producer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
移除防火牆政策與 VPC 消費者網路之間的關聯。
gcloud compute network-firewall-policies associations delete \ --name=pol-association-vpc-consumer \ --firewall-policy=fw-policy-addressgrp \ --global-firewall-policy
刪除防火牆政策。
gcloud compute network-firewall-policies delete fw-policy-addressgrp \ --global
刪除虛擬私有雲網路對等互連
控制台
前往 Cloud de Confiance 控制台的「VPC network peering」(VPC 網路對等互連) 頁面。
勾選
peering-cp和peering-pc的核取方塊。按一下「Delete」(刪除)。
在「Delete 2 peerings?」(要刪除 2 個對等互連嗎?) 對話方塊中,按一下「Delete」(刪除)。
gcloud
如要刪除消費者 VPC 與生產者 VPC 之間的對等互連,請執行下列指令:
gcloud compute networks peerings delete peering-cp \ --network=vpc-consumer如要刪除供應商 VPC 與消費者 VPC 之間的對等互連,請執行下列指令:
gcloud compute networks peerings delete peering-pc \ --network=vpc-producer
刪除 Cloud NAT 閘道和 Cloud Router
控制台
前往 Cloud de Confiance 控制台的「Cloud Router」頁面。
勾選「
router-addressgrp」核取方塊。按一下「Delete」(刪除)。
在「Delete router-addressgrp」(刪除路由器位址群組) 對話方塊中,按一下「Delete」(刪除)。
刪除 Cloud Router 時,相關聯的 Cloud NAT 閘道也會一併刪除。
gcloud
如要刪除 router-addressgrp Cloud Router,請執行下列指令:
gcloud compute routers delete router-addressgrp \
--region=us-central1
系統提示時,請按下 Y 確認,然後按下 Enter 鍵。
刪除 Cloud Router 時,相關聯的 Cloud NAT 閘道也會一併刪除。
刪除 VM
控制台
前往 Cloud de Confiance 控制台的「VM instances」(VM 執行個體) 頁面。
選取
vm-consumer-allowed、vm-consumer-blocked和vm-producerVM 的核取方塊。按一下「Delete」(刪除)。
在「Delete 3 instances?」(要刪除 3 個執行個體嗎?) 對話方塊中,按一下「Delete」(刪除)。
gcloud
如要刪除所有 VM,請執行下列指令:
gcloud compute instances delete vm-consumer-allowed vm-consumer-blocked vm-producer \ --zone=us-central1-a系統提示時,請按下 Y 確認,然後按下 Enter 鍵。
刪除消費者虛擬私有雲網路及其子網路
控制台
前往 Cloud de Confiance 控制台的「VPC Networks」(虛擬私有雲網路) 頁面。
在「Name」(名稱) 欄中,按一下
vpc-consumer。按一下「刪除虛擬私有雲網路」。
在「刪除網路」對話方塊中,按一下「刪除」。
刪除 VPC 時,子網路也會一併刪除。
gcloud
如要刪除
vpc-consumerVPC 網路的子網路,請執行下列指令:gcloud compute networks subnets delete subnet-consumer-allowed subnet-consumer-blocked \ --region=us-central1
系統提示時,請按下 Y 確認,然後按下 Enter 鍵。
如要刪除
vpc-consumerVPC 網路,請執行下列指令:gcloud compute networks delete vpc-consumer
系統提示時,請按下 Y 確認,然後按下 Enter 鍵。
刪除供應商虛擬私有雲網路及其子網路
控制台
前往 Cloud de Confiance 控制台的「VPC Networks」(虛擬私有雲網路) 頁面。
在「Name」(名稱) 欄中,按一下
vpc-producer。按一下「刪除虛擬私有雲網路」。
在「刪除網路」對話方塊中,按一下「刪除」。
刪除 VPC 時,子網路也會一併刪除。
gcloud
如要刪除
vpc-producerVPC 網路的子網路,請執行下列指令:gcloud compute networks subnets delete subnet-vpc-producer \ --region=us-central1
系統提示時,請按下 Y 確認,然後按下 Enter 鍵。
如要刪除
vpc-producerVPC 網路,請執行下列指令:gcloud compute networks delete vpc-producer
系統提示時,請按下 Y 確認,然後按下 Enter 鍵。
後續步驟
- 如要瞭解防火牆政策的概念資訊,請參閱「防火牆政策」。
- 如要瞭解防火牆政策規則的概念資訊,請參閱防火牆政策規則。
- 如要建立、更新、監控及刪除虛擬私有雲防火牆規則,請參閱「使用虛擬私有雲防火牆規則」。
- 如要瞭解費用,請參閱「Cloud NGFW 定價」一文。