Descripción general

En este lab, crearás dos servidores web Nginx y controlarás el acceso HTTP externo a los servidores web mediante el uso de reglas de firewall etiquetadas. Luego, explorarás roles de IAM y cuentas de servicio.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

• Crear un servidor web Nginx
• Crear reglas de firewall etiquetadas
• Crear una cuenta de servicio con roles de IAM
• Explorar los permisos de los roles de Administrador de red y Administrador de seguridad

Configuración y requisitos

En cada lab, recibirá un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

1. Accede a Qwiklabs desde una ventana de incógnito.

2. Ten en cuenta el tiempo de acceso del lab (por ejemplo, 1:15:00) y asegúrate de finalizarlo en el plazo asignado.
   No existe una función de pausa. Si lo necesita, puede reiniciar el lab, pero deberá hacerlo desde el comienzo.

3. Cuando esté listo, haga clic en Comenzar lab.

4. Anote las credenciales del lab (el nombre de usuario y la contraseña). Las usarás para acceder a la consola de Google Cloud.

5. Haga clic en Abrir Google Console.

6. Haga clic en Usar otra cuenta, copie las credenciales para este lab y péguelas en el mensaje emergente que aparece.
   Si usa otras credenciales, se generarán errores o incurrirá en cargos.

7. Acepta las condiciones y omite la página de recursos de recuperación.

Tarea 1: Crea los servidores web

Crea dos servidores web (blue y green) en la red de VPC default. Luego, instala Nginx en esos servidores web y modifica la página de bienvenida para distinguirlos.

Crea el servidor blue

Crea el servidor blue con una etiqueta de red.

1. En el menú de navegación () de la consola de Cloud, haz clic en Compute Engine > Instancias de VM.

2. Haz clic en Crear instancia.

3. Especifica lo siguiente y deja los parámetros de configuración restantes con sus valores predeterminados:

   Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
   Nombre	blue
   Región
   Zona

4. Haz clic en Opciones avanzadas.

5. Haz clic en Herramientas de redes.

6. En el campo Etiquetas de red, escribe web-server.

Nota: Las redes usan etiquetas de red para identificar qué instancias de VM están sujetas a ciertas reglas de firewall y rutas de red. En la próxima tarea, crearás una regla de firewall para otorgar acceso HTTP a las instancias de VM con la etiqueta web-server.

Como alternativa, podrías seleccionar la casilla de verificación Permitir tráfico HTTP, lo cual etiquetaría la instancia como http-server y crearía la regla de firewall etiquetada de tcp:80.

7. Haz clic en Crear.

Crea el servidor green

Crea el servidor green sin una etiqueta de red.

1. Haz clic en Crear instancia.

2. Especifica lo siguiente y deja los parámetros de configuración restantes con sus valores predeterminados:

   Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
   Nombre	green
   Región
   Zona

3. Haz clic en Crear.

Instala Nginx y personaliza la página de bienvenida

Instala Nginx en ambas instancias de VM y modifica la página de bienvenida para distinguir los servidores.

1. En blue, haz clic en SSH para iniciar una terminal y conectarte.
2. Ejecuta el siguiente comando para instalar Nginx:

sudo apt-get install nginx-light -y

3. Ejecuta el siguiente comando para abrir la página de bienvenida en el editor nano:

sudo nano /var/www/html/index.nginx-debian.html

4. Reemplaza la línea <h1>Welcome to nginx!</h1> por <h1>Welcome to the blue server!</h1>.
5. Presiona CTRL + O, INTRO, CTRL + X.
6. Ejecuta el siguiente comando para verificar el cambio:

cat /var/www/html/index.nginx-debian.html

El resultado debería contener lo siguiente:

... <h1>Welcome to the blue server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p> ...

7. Cierra la terminal SSH del servidor blue:

exit

Repite los mismos pasos para el servidor green:

8. En el caso del servidor green, haz clic en SSH para iniciar una terminal y conectarte.
9. Ejecuta el siguiente comando para instalar Nginx:

sudo apt-get install nginx-light -y

10. Ejecuta el siguiente comando para abrir la página de bienvenida en el editor nano:

sudo nano /var/www/html/index.nginx-debian.html

11. Reemplaza la línea <h1>Welcome to nginx!</h1> por <h1>Welcome to the green server!</h1>.
12. Presiona CTRL + O, INTRO, CTRL + X.
13. Ejecuta el siguiente comando para verificar el cambio:

cat /var/www/html/index.nginx-debian.html

El resultado debería contener lo siguiente:

... <h1>Welcome to the green server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p> ...

14. Cierra la terminal SSH del servidor green:

exit

Haz clic en Revisar mi progreso para verificar el objetivo. Crear los servidores web

Tarea 2. Crea la regla de firewall

Crea la regla de firewall etiquetada y prueba la conectividad HTTP.

Crea la regla de firewall etiquetada

Crea una regla de firewall que se aplique a las instancias de VM con la etiqueta de red web-server.

1. En la consola de Cloud, en Menú de navegación, haz clic en Red de VPC > Firewall.
2. Observa la regla de firewall default-allow-internal.

Nota: La regla de firewall default-allow-internal permite el tráfico en todos los protocolos o puertos dentro de la red default. Te recomendamos que crees una regla de firewall para permitir el tráfico desde fuera de esta red hacia el servidor blue solamente, con la etiqueta de red web-server.

3. Haz clic en Crear regla de firewall.

4. Especifica lo siguiente y deja los parámetros de configuración restantes con sus valores predeterminados:

   Propiedad	Valor (escribe el valor o selecciona la opción como se especifica)
   Nombre	allow-http-web-server
   Red	default
   Destinos	Etiquetas de destino especificadas
   Etiquetas de destino	web-server
   Filtro de origen	Rangos de IPv4
   Rangos de IPv4 de origen	0.0.0.0/0
   Protocolos y puertos	Protocolos y puertos especificados

5. En tcp, especifica el puerto 80.

Nota: Asegúrate de incluir el valor /0 en Rangos de IPv4 de origen para especificar todas las redes.

6. Haz clic en Crear.

Crea la instancia test-vm

Crea una instancia test-vm usando la línea de comandos de gcloud.

1. En la consola de Cloud, haz clic en Activar Cloud Shell ().
2. Si se te solicita, haz clic en Continuar.
3. Ejecuta el siguiente comando para crear una instancia test-vm:

gcloud compute instances create test-vm --machine-type=e2-medium --subnet=default --zone={{{ project_0.default_zone | "filled at lab start" }}}

El resultado debe ser similar al que aparece a continuación (ten en cuenta que es posible que la zona sea diferente).

NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS test-vm us-central1-a e2-medium 10.142.0.4 35.237.134.68 RUNNING Nota: Puedes crear instancias de VM con facilidad desde la consola de Cloud o la línea de comandos de gcloud.

Haz clic en Revisar mi progreso para verificar el objetivo. Crear la instancia y regla de firewall

Prueba la conectividad HTTP

Desde test-vm, ejecuta curl en las direcciones IP interna y externa de los servidores blue y green.

1. En el menú de navegación de la consola de Cloud, haz clic en Compute Engine > Instancias de VM.
   Observa las direcciones IP interna y externa de los servidores blue y green.
2. En test-vm, haz clic en SSH para iniciar una terminal y conectarte.
3. Para probar la conectividad HTTP con la IP interna del servidor blue, ejecuta el siguiente comando, en el cual deberás ingresar la IP interna del servidor blue:

curl <Enter blue's internal IP here>

Deberías ver el encabezado Welcome to the blue server!.

4. Para probar la conectividad HTTP con la IP interna del servidor green, ejecuta el siguiente comando, en el cual deberás ingresar la IP interna del servidor green:

curl <Enter green's internal IP here>

Deberías ver el encabezado Welcome to the green server!.

Nota: Puedes obtener acceso HTTP a ambos servidores con sus direcciones IP internas. La regla de firewall default-allow-internal permite la conexión en tcp:80 porque test-vm está en la misma red de VPC que los servidores web (red default).

5. Para probar la conectividad HTTP con la IP externa del servidor blue, ejecuta el siguiente comando, en el cual deberás ingresar la IP externa del servidor blue:

curl <Enter blue's external IP here>

Deberías ver el encabezado Welcome to the blue server!.

6. Para probar la conectividad HTTP con la IP externa del servidor green, ejecuta el siguiente comando, en el cual deberás ingresar la IP externa del servidor green:

curl <Enter green's external IP here> Nota Esto no debería funcionar.

7. Presiona CTRL + C para detener la solicitud HTTP.

Nota: Como se esperaba, solo puedes usar el acceso HTTP en la dirección IP externa del servidor blue porque allow-http-web-server solo se aplica a las instancias de VM con la etiqueta web-server.

8. Para verificar el mismo comportamiento con tu navegador, abre una pestaña nueva y navega a http://[IP externa del servidor].

Tarea 3. Explora los roles de Administrador de red y Administrador de seguridad

Cloud IAM te permite autorizar quién puede tomar medidas sobre recursos específicos, lo que te proporciona control y visibilidad completos para administrar recursos de nube de manera central. Los siguientes roles se usan junto con las redes de proyecto único para controlar de manera independiente el acceso de administrador a cada red de VPC:

• Administrador de red: tiene permisos para crear, modificar y borrar recursos de red, excepto reglas de firewall y certificados SSL.
• Administrador de seguridad: tiene permisos para crear, modificar y borrar reglas de firewall y certificados SSL.

Puedes explorar estos roles si los aplicas a una cuenta de servicio, que es una Cuenta de Google especial que pertenece a tu instancia de VM, en lugar de a un usuario final individual. Autorizarás que test-vm use la cuenta de servicio para demostrar los permisos de los roles de Administrador de redes y Administrador de seguridad, en lugar de crear un usuario nuevo.

Verifia los permisos actuales

Actualmente, test-vm usa la cuenta de servicio predeterminada de Compute Engine, que está habilitada en todas las instancias creadas con la herramienta de línea de comandos de gcloud y la consola de Cloud.

Intenta obtener una lista de las reglas de firewall disponibles desde test-vm o trata de borrarlas.

1. Regresa a la terminal SSH de la instancia test-vm.
2. Ejecuta el siguiente comando para enumerar las reglas de firewall disponibles:

gcloud compute firewall-rules list

El resultado debería verse así:

ERROR: (gcloud.compute.firewall-rules.list) Some requests did not succeed: - Insufficient Permission Nota: Esto no debería funcionar.

3. Ejecuta el siguiente comando para intentar borrar la regla de firewall allow-http-web-server:

gcloud compute firewall-rules delete allow-http-web-server

4. En caso de que se te pregunte si deseas continuar, ingresa Y.

El resultado debería verse así:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Insufficient Permission Nota: Esto no debería funcionar. Nota: La cuenta de servicio predeterminada de Compute Engine no tiene los permisos adecuados para que puedas obtener una lista de las reglas de firewall o borrarlas. Lo mismo se aplica a otros usuarios que no tienen los roles adecuados.

Crea una cuenta de servicio

Crea una cuenta de servicio y aplica el rol Administrador de red.

1. En la consola de Cloud, en Menú de navegación (), haz clic en IAM y administración > Cuentas de servicio.
   Observa la cuenta de servicio predeterminada de Compute Engine.
2. Haz clic en Crear cuenta de servicio.
3. Establece el Nombre de la cuenta de servicio en Network-admin.
4. Haz clic en Crear y continuar.
5. En Selecciona un rol, elige Compute Engine > Administrador de red de Compute.
6. Haz clic en Continuar.
7. Haz clic en Listo.

Nota: De manera opcional, puedes crear y descargar un archivo que contenga la clave privada. Sin embargo, solo se puede detener test-vm y autorizarla a usar la cuenta de servicio.

Autoriza a test-vm

Autoriza a test-vm para que use la cuenta de servicio Network-admin.

1. En el menú de navegación, haz clic en Compute Engine > Instancias de VM.
2. Haz clic en el nombre de la instancia test-vm para abrir la página Detalles de instancia de VM.
3. Haz clic en Detener y confirma que deseas detener la instancia. Espera a que se detenga la instancia antes de continuar con el próximo paso.

Nota: Es necesario detener una instancia para editar la cuenta de servicio.

4. Una vez que la instancia se haya detenido, haz clic en Editar.

5. Selecciona Network-admin para Cuenta de servicio.

6. En Permisos de acceso, selecciona Configurar el acceso para cada API y, en el menú desplegable Compute Engine, elige la opción Lectura/Escritura.

7. Haz clic en Guardar y espera a que se actualice la instancia.

8. Haz clic en Iniciar y confirma que deseas que se inicie la instancia.

9. Vuelve a la página Instancias de VM y espera a que test-vm cambie a un estado de ejecución.

10. Haz clic en SSH para la instancia test-vm.

Verifica los permisos

1. Ejecuta el siguiente comando para enumerar las reglas de firewall disponibles:

gcloud compute firewall-rules list

El resultado debería verse así:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Esto debería funcionar.

2. Ejecuta el siguiente comando para intentar borrar la regla de firewall allow-http-web-server:

gcloud compute firewall-rules delete allow-http-web-server

3. En caso de que se te pregunte si deseas continuar, ingresa Y.

El resultado debería verse así:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Required 'compute.firewalls.delete' permission for 'projects/[PROJECT_ID]/global/firewalls/allow-http-web-server' Nota: Esto no debería funcionar. Nota: Como era de esperar, el rol de Administrador de red tiene permisos para obtener una lista de las reglas de firewall, pero no las puede modificar ni borrar.

Actualiza la cuenta de servicio y verifica los permisos

Para actualizar la cuenta de servicio Network-admin, proporciónale el rol de Administrador de seguridad.

1. En la consola de Cloud, en Menú de navegación (), haz clic en IAM y administración > IAM.
2. Busca la cuenta Network-admin. Enfócate en la columna Nombre para identificar esta cuenta.
3. Haz clic en el ícono de lápiz de la cuenta Network-admin.
4. Cambia el Rol por Compute Engine > Administrador de seguridad de Compute.
5. Haz clic en Guardar.
6. Regresa a la terminal SSH de la instancia test-vm.
7. Ejecuta el siguiente comando para enumerar las reglas de firewall disponibles:

gcloud compute firewall-rules list

El resultado debería verse así:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Esto debería funcionar.

8. Ejecuta el siguiente comando para intentar borrar la regla de firewall allow-http-web-server:

gcloud compute firewall-rules delete allow-http-web-server

9. En caso de que se te pregunte si deseas continuar, ingresa Y.

El resultado debería verse así:

Deleted [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-00e186e4b1cec086/global/firewalls/allow-http-web-server].

Esto debería funcionar.

Nota: Como era de esperar, el rol de Administrador de seguridad tiene permisos para obtener una lista de las reglas de firewall y borrarlas.

Verifica la eliminación de la regla de firewall

Verifica que ya no tengas acceso HTTP a la IP externa del servidor blue, dado que borraste la regla de firewall allow-http-web-server.

1. Regresa a la terminal SSH de la instancia test-vm.
2. Para probar la conectividad HTTP con la IP externa del servidor blue, ejecuta el siguiente comando, en el cual deberás ingresar la IP externa del servidor blue:

curl <Enter blue's external IP here> Nota: Esto no debería funcionar.

3. Presiona CTRL + C para detener la solicitud HTTP.

Nota: Proporciona el rol de Administrador de seguridad al usuario o la cuenta de servicio adecuados para evitar cambios no deseados en tus reglas de firewall.

Haz clic en Revisar mi progreso para verificar el objetivo. Explorar los roles de Administrador de red y Administrador de seguridad

Tarea 4. Revisión

En este lab, creaste dos servidores web Nginx y controlaste el acceso HTTP externo con una regla de firewall etiquetada. Después, creaste una cuenta de servicio, primero con el rol de Administrador de red y, luego, con el de Administrador de seguridad, para explorar los diferentes permisos de esos roles.

Si tu empresa tiene un equipo de seguridad que administra firewalls y certificados SSL y un equipo de red que administra el resto de los recursos de red, otórgale al equipo de seguridad el rol de Administrador de seguridad y al de red, el de Administrador de red.

Finalice su lab

Cuando haya completado el lab, haga clic en Finalizar lab. Google Cloud Skills Boost quitará los recursos que usó y limpiará la cuenta.

Tendrá la oportunidad de calificar su experiencia en el lab. Seleccione la cantidad de estrellas que corresponda, ingrese un comentario y haga clic en Enviar.

La cantidad de estrellas indica lo siguiente:

• 1 estrella = Muy insatisfecho
• 2 estrellas = Insatisfecho
• 3 estrellas = Neutral
• 4 estrellas = Satisfecho
• 5 estrellas = Muy satisfecho

Puede cerrar el cuadro de diálogo si no desea proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, use la pestaña Asistencia.

Copyright 2026 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.