Introducción: Las etiquetas de destino en reglas de Firewall VPC permiten aplicar reglas solo a las máquinas virtuales que tienen etiquetas específicas en lugar de seleccionar All Instances. Esta práctica es recomendada en entornos de producción porque se controla qué VMs reciben tráfico y se evita exponer todas las VMs de la VPC, aumentando la seguridad y la granularidad del control.
Resumen del laboratorio práctico: desplegar una VM con un servidor web, comprobar que no es accesible antes de crear la regla, crear una regla de ingreso que permita TCP 80 y apunte a la etiqueta mywebserver, aplicar la etiqueta a la VM y verificar que la aplicación responde. Finalmente, limpiar los recursos.
Crear la VM y el webserver: prepare un script de arranque que instale nginx y genere una página index.html identificando la VM. Suba el script a Cloud Shell y cree la VM en una subred personalizada con un comando como:
gcloud compute instances create myvm2-target-tags --zone=us-central1-a --machine-type=e2-micro --network-interface=subnet=mysubnet1 --metadata-from-file=startup-script=nginx-webserver.sh
Comprobación previa a la regla de firewall: intente conectar por puerto 80 usando telnet o curl hacia la IP externa de la VM. Observación esperada: conexión fallida y curl sin respuesta debido a la política implicada de denegación de ingreso.
Crear regla de ingreso que use etiqueta: en la consola vaya a VPC Networks, seleccione la VPC correspondiente y añada una nueva regla de firewall con los siguientes parámetros principales objetivo especificado por etiquetas target tags mywebserver dirección Ingress acción Allow protocolos TCP puerto 80 rango de origen 0.0.0.0/0 o utilice el comando en gcloud si prefiere la línea de comandos. Nombre sugerido fw-ingress-80-target-tags.
Aplicar la etiqueta a la VM: agregue la etiqueta mywebserver a la instancia con el comando
gcloud compute instances add-tags myvm2-target-tags --zone us-central1-a --tags mywebserver
Verifique que la etiqueta está presente con
gcloud compute instances describe myvm2-target-tags --zone=us-central1-a
Prueba posterior: tras aplicar la etiqueta vuelva a intentar telnet o curl hacia la IP externa. Observación esperada: telnet conecta y curl devuelve la página HTML creada por nginx. En el navegador se puede abrir la URL https://IP_EXTERNA y visualizar la página web.
Limpieza de recursos: elimine la regla de firewall y la VM cuando termine usando
gcloud compute firewall-rules delete fw-ingress-80-target-tags
gcloud compute instances delete myvm2-target-tags --zone=us-central1-a --delete-disks=all
Buenas prácticas y aprendizajes clave: evitar usar Target All Instances en producción porque afecta a todas las VMs. Prefiera etiquetas o cuentas de servicio para limitar el alcance de las reglas y mantener una postura de seguridad más estricta. Las etiquetas permiten una gestión más granular del tráfico y facilitan el cumplimiento de políticas de seguridad y auditoría.
Sobre Q2BSTUDIO: somos Q2BSTUDIO, empresa de desarrollo de software y aplicaciones a medida especializada en soluciones personalizadas, inteligencia artificial aplicada, ciberseguridad y servicios cloud. Diseñamos aplicaciones a medida y software a medida ajustado a las necesidades de su negocio, implementamos soluciones de seguridad y pruebas de penetración y gestionamos infraestructuras en la nube. Si busca refuerzo en seguridad podemos ayudar con evaluaciones y pruebas en profundidad con servicios de ciberseguridad y pentesting y si necesita desplegar o migrar cargas en la nube ofrecemos servicios cloud AWS y Azure con acompañamiento experto.
Servicios y palabras clave: ofrecemos soluciones en inteligencia artificial e IA para empresas, agentes IA, servicios inteligencia de negocio y power bi, así como automatización de procesos y consultoría tecnológica. Palabras clave relevantes: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.
Contacto y siguiente paso: si desea una auditoría de arquitectura de red, integración de etiquetas y políticas de firewall en sus entornos de nube o un plan de migración seguro, Q2BSTUDIO puede asesorarle en la definición de reglas de seguridad basadas en etiquetas y en la implementación de prácticas de hardening para sus VPC.