Introducción: en Google Cloud Platform GCP el tráfico de entrada Ingress se deniega por defecto mediante una regla implícita. Esto significa que si despliegas una máquina virtual con un servidor web en el puerto 80 no será accesible desde internet hasta que crees explícitamente una regla de firewall de ingreso que lo permita.
Resumen del laboratorio: desplegar una VM con nginx, comprobar que sin regla de firewall no se puede acceder, crear una regla de Ingress que permita el puerto 80 con Target igual a All Instances y comprobar que la aplicación queda accesible.
Paso 1 Crear la VM y el script de arranque: prepara un script de inicio que instale nginx, cree la página index.html con el nombre del host y la IP interna y habilite el servicio nginx. Luego sube el script al entorno Cloud Shell y crea la VM. Ejemplo de comando para crear la VM:
gcloud compute instances create myvm1-allinstances --zone=us-central1-a --machine-type=e2-micro --network-interface=subnet=mysubnet1 --metadata-from-file=startup-script=nginx-webserver.sh
Verifica la VM con
gcloud compute instances list
y anota la IP externa EXTERNAL_IP. Antes de crear la regla de firewall prueba el acceso desde internet con
telnet EXTERNAL_IP 80 que debería fallar, y
curl EXTERNAL_IP que tampoco debería devolver la página. Observación: la aplicación no es alcanzable porque la regla implícita bloquea Ingress por defecto.
Paso 2 Crear la regla de firewall de Ingress: en la consola VPC Networks selecciona la red vpc2-custom y añade una regla de firewall con las siguientes características: nombre fw-ingress-80-allinstances, descripción permitir puerto 80 entrante para todas las instancias, red vpc2-custom, prioridad 1000, dirección Ingress, acción Allow, Targets All instances in the network, Source IPv4 range 0.0.0.0/0, protocolos y puertos TCP 80. Alternativamente puedes crearla con gcloud usando
gcloud compute firewall-rules create fw-ingress-80-allinstances --network vpc2-custom --allow tcp:80 --source-ranges 0.0.0.0/0 --priority 1000 --direction INGRESS
Paso 3 Comprobar acceso: tras crear la regla vuelve a comprobar la VM con
gcloud compute instances list
y prueba de nuevo
telnet EXTERNAL_IP 80 que ahora debería conectar, y
curl EXTERNAL_IP que debería devolver el contenido HTML de nginx. También puedes abrir en el navegador la dirección https://EXTERNAL_IP para ver la página.
Paso 4 Limpieza: elimina la regla de firewall y la VM cuando ya no las necesites.
gcloud compute firewall-rules delete fw-ingress-80-allinstances
gcloud compute instances delete myvm1-allinstances --zone=us-central1-a --delete-disks=all
Aprendizaje clave: sin una regla de firewall de ingreso el tráfico queda denegado por defecto. Si creas una regla con Target igual a All Instances cualquier VM en la VPC podrá recibir tráfico en el puerto permitido. Para entornos de producción es recomendable limitar la exposición utilizando tags de instancia o cuentas de servicio en lugar de aplicar la regla a todas las instancias.
Sobre Q2BSTUDIO: en Q2BSTUDIO somos una empresa de desarrollo de software y aplicaciones a medida especializada en soluciones escalables y seguras. Ofrecemos servicios de software a medida y desarrollo de aplicaciones a medida para empresas de cualquier sector. Si buscas soluciones de despliegue cloud o integración multicloud revisa nuestras opciones para servicios cloud AWS y Azure y si necesitas un proyecto de producto o aplicación personalizada visita nuestra oferta de desarrollo de aplicaciones y software a medida.
Además estamos especializados en inteligencia artificial y ofrecemos servicios de ia para empresas, agentes IA y consultoría para integrar modelos de IA en procesos productivos. También trabajamos ciberseguridad y pentesting para proteger infraestructuras en la nube, servicios de inteligencia de negocio y reporting con Power BI, y automatización de procesos para optimizar operaciones.
Palabras clave integradas: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi. Contacta con Q2BSTUDIO para diseñar una solución segura y escalable que incluya buenas prácticas de red y firewall en la nube, gestión de identidades y acceso y protección perimetral adecuada a tus requisitos.