Carregando...
Nenhum resultado encontrado.

Aplique suas habilidades no console do Google Cloud

Instruções e requisitos de configuração do laboratório
Proteja sua conta e seu progresso. Sempre use uma janela anônima do navegador e suas credenciais para realizar este laboratório.

Como controlar o acesso a redes VPC

Laboratório 1 hora 30 minutos universal_currency_alt 5 créditos show_chart Introdutório
info Este laboratório pode incorporar ferramentas de IA para ajudar no seu aprendizado.
Este conteúdo ainda não foi otimizado para dispositivos móveis.
Para aproveitar a melhor experiência, acesse nosso site em um computador desktop usando o link enviado a você por e-mail.

Visão geral

Neste laboratório, você vai criar dois servidores da Web nginx e controlar o acesso HTTP externo a eles usando regras de firewall com tags. Depois você vai conhecer os papéis do IAM e as contas de serviço.

Objetivos

Neste laboratório, você aprenderá a fazer o seguinte:

  • Criar um servidor da Web nginx
  • Criar regras de firewall com tags
  • Criar uma conta de serviço com papéis do IAM
  • Analisar as permissões dos papéis de administrador de rede e segurança

Configuração e requisitos

Para cada laboratório, você recebe um novo projeto do Google Cloud e um conjunto de recursos por um determinado período e sem custos financeiros.

  1. Faça login no Qwiklabs em uma janela anônima.

  2. Confira o tempo de acesso do laboratório (por exemplo, 1:15:00) e finalize todas as atividades nesse prazo.
    Não é possível pausar o laboratório. Você pode reiniciar o desafio, mas vai precisar refazer todas as etapas.

  3. Quando tudo estiver pronto, clique em Começar o laboratório.

  4. Anote as credenciais (Nome de usuário e Senha). É com elas que você vai fazer login no Console do Google Cloud.

  5. Clique em Abrir Console do Google.

  6. Clique em Usar outra conta, depois copie e cole as credenciais deste laboratório nos locais indicados.
    Se você usar outras credenciais, vai receber mensagens de erro ou cobranças.

  7. Aceite os termos e pule a página de recursos de recuperação.

Tarefa 1: crie os servidores da Web

Crie dois servidores da Web (blue e green) na rede VPC default. Depois instale o nginx nesses servidores e modifique a página inicial para diferenciá-los.

Crie o servidor blue

Crie o servidor blue com uma tag de rede.

  1. No console do Cloud, acesse o Menu de navegação (Ícone do menu de navegação) e clique em Compute Engine > Instâncias de VM.

  2. Clique em Criar instância.

  3. Especifique o seguinte e não mude as outras configurações:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome blue
    Região
    Zona

  4. Clique em Opções avançadas.

  5. Clique em Rede.

  6. Em Tags de rede, digite web-server.

Observação: essas tags são usadas pelas redes para identificar as instâncias de VM que estão sujeitas a determinadas regras de firewall e rotas de rede. Na tarefa a seguir, você vai criar uma regra de firewall para permitir o acesso HTTP às instâncias de VM com a tag web-server.

Se preferir, marque a caixa de seleção Permitir tráfego HTTP que define essa instância como http-server e cria a regra de firewall com tags para tcp:80.
  1. Clique em Criar.

Crie o servidor green

Crie o servidor green sem uma tag de rede.

  1. Clique em Criar instância.

  2. Especifique os seguintes valores e não mude as configurações restantes:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome green
    Região
    Zona

  3. Clique em Criar.

Instale o nginx e personalize a página inicial

Instale o nginx nas duas instâncias de VM e modifique a página inicial para diferenciar os servidores.

  1. Em blue, clique em SSH para iniciar um terminal e se conectar.
  2. Execute o comando a seguir para instalar o nginx:
sudo apt-get install nginx-light -y
  1. Execute o comando a seguir para abrir a página inicial no editor nano:
sudo nano /var/www/html/index.nginx-debian.html
  1. Substitua a linha <h1>Welcome to nginx!</h1> por <h1>Welcome to the blue server!</h1>.
  2. Pressione CTRL+O, ENTER e CTRL+X.
  3. Execute o comando a seguir para verificar a mudança:
cat /var/www/html/index.nginx-debian.html

A saída precisa conter o seguinte:

... <h1>Welcome to the blue server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p> ...
  1. Feche o terminal SSH de blue:
exit

Repita as mesmas etapas para o servidor green:

  1. No servidor green, clique em SSH para iniciar um terminal e se conectar.
  2. Execute o comando a seguir para instalar o nginx:
sudo apt-get install nginx-light -y
  1. Execute o comando a seguir para abrir a página inicial no editor nano:
sudo nano /var/www/html/index.nginx-debian.html
  1. Substitua a linha <h1>Welcome to nginx!</h1> por <h1>Welcome to the green server!</h1>.
  2. Pressione CTRL+O, ENTER e CTRL+X.
  3. Execute o comando a seguir para verificar a mudança:
cat /var/www/html/index.nginx-debian.html

A saída precisa conter o seguinte:

... <h1>Welcome to the green server!</h1> <p>If you see this page, the nginx web server is successfully installed and working. Further configuration is required.</p> ...
  1. Feche o terminal SSH de green:
exit

Clique em Verificar meu progresso para ver o objetivo. Crie os servidores da Web

Tarefa 2: crie a regra de firewall

Crie a regra de firewall com tag e teste a conectividade HTTP.

Crie a regra de firewall com tag

Crie uma regra de firewall que seja válida para as instâncias de VM com a tag de rede web-server.

  1. No console do Cloud, acesse o Menu de navegação e clique em Rede VPC > Firewall.
  2. Encontre a regra de firewall default-allow-internal.
Observação: a regra de firewall default-allow-internal permite o tráfego em todos os protocolos e portas na rede default. Crie uma regra de firewall para permitir o tráfego de fora dessa rede somente para o servidor blue com a tag de rede web-server.

  1. Clique em Criar regra de firewall.

  2. Especifique os seguintes valores e não mude as configurações restantes:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome allow-http-web-server
    Rede default
    Destinos Tags de destino especificadas
    Tags de destino web-server
    Filtro de origem Intervalos IPv4
    Intervalos IPv4 de origem 0.0.0.0/0
    Protocolos e portas Portas e protocolos especificados

  3. Em tcp, especifique a porta 80.

Observação: inclua /0 nos intervalos IPv4 de origem para especificar todas as redes.
  1. Clique em Criar.

Crie uma instância test-vm

Crie test-vm na linha de comando gcloud.

  1. No Console do Cloud, clique em Ativar o Cloud Shell (Ícone &quot;Ativar o Cloud Shell&quot;).
  2. Se for solicitado, clique em Continuar.
  3. Execute o comando a seguir para criar uma instância test-vm:
gcloud compute instances create test-vm --machine-type=e2-medium --subnet=default --zone={{{ project_0.default_zone | "filled at lab start" }}}

A saída será parecida com o exibido abaixo. A zona pode ser diferente.

NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS test-vm us-central1-a e2-medium 10.142.0.4 35.237.134.68 RUNNING Observação: você pode facilmente criar instâncias de VM no console do Cloud ou na linha de comando gcloud.

Clique em Verificar meu progresso para ver o objetivo. Crie a regra de firewall e a instância

Teste a conectividade HTTP

Em test-vm, use curl nos endereços IP internos e externos de blue e green.

  1. No console do Cloud, acesse o Menu de navegação e clique em Compute Engine > Instâncias de VM.
    Anote os endereços IP internos e externos de blue e green.
  2. Em test-vm, clique em SSH para iniciar um terminal e se conectar.
  3. Execute o comando abaixo para testar a conectividade HTTP do IP interno de blue. Substitua o IP interno de blue no comando pelo valor correto.
curl <Insira o IP interno de blue aqui>

O título Welcome to the blue server! vai aparecer.

  1. Execute o comando abaixo para testar a conectividade HTTP do IP interno de green. Substitua o IP interno de green no comando pelo valor correto.
curl <Insira o IP interno de green aqui>

O título Welcome to the green server! vai aparecer.

Observação: você pode acessar os dois servidores por HTTP usando os endereços IP internos deles. A conexão em tcp:80 é permitida pela regra de firewall default-allow-internal, porque a instância test-vm está na mesma rede VPC que os servidores da Web (rede default).
  1. Execute o comando abaixo para testar a conectividade HTTP do IP externo de blue. Substitua o IP externo de blue no comando pelo valor correto.
curl <Insira o IP externo de blue aqui>

O título Welcome to the blue server! será exibido.

  1. Execute o comando abaixo para testar a conectividade HTTP do IP externo de green. Substitua o IP externo de green no comando pelo valor correto.
curl <Insira o IP externo de green aqui> Observação: o comando não vai funcionar.
  1. Pressione CTRL+C para interromper a solicitação HTTP.
Observação: você só pode acessar por HTTP o endereço IP externo do servidor blue, porque allow-http-web-server é válido apenas para as instâncias de VMs com a tag web-server.
  1. Para verificar o mesmo comportamento no navegador, abra uma guia e acesse http://[IP externo do servidor].

Tarefa 3: analise os papéis de administrador de rede e segurança

Com o Cloud IAM, é possível autorizar quem pode realizar ações em recursos específicos. Isso permite visibilidade e controle total para você gerenciar os recursos de nuvem de forma centralizada. Os papéis a seguir são usados com a rede de projeto único para controlar o acesso administrativo a cada rede VPC de forma independente.

  • Administrador de rede: permissões para criar, modificar e excluir recursos de rede, exceto regras de firewall e certificados SSL.
  • Administrador de segurança: permissões para criar, modificar e excluir regras de firewall e certificados SSL.

Você pode testar esses papéis ao aplicá-los a uma conta de serviço do Google, um tipo especial que pertence à sua instância de VM, não a um usuário final. Em vez de criar um usuário, você autorizará test-vm a usar a conta de serviço para demonstrar as permissões dos papéis Administrador de rede e Administrador de segurança.

Verifique as permissões atuais

A instância test-vm usa a conta de serviço padrão do Compute Engine, que é ativada em todas as instâncias criadas pela ferramenta de linha de comando gcloud e pelo console do Cloud.

Tente listar ou excluir as regras de firewall disponíveis em test-vm.

  1. Volte ao terminal SSH da instância test-vm.
  2. Execute o comando a seguir para tentar listar as regras de firewall disponíveis:
gcloud compute firewall-rules list

O resultado será semelhante a este:

ERROR: (gcloud.compute.firewall-rules.list) Some requests did not succeed: - Insufficient Permission Observação: o comando não vai funcionar!
  1. Execute o comando a seguir para tentar excluir a regra de firewall allow-http-web-server:
gcloud compute firewall-rules delete allow-http-web-server
  1. Se for solicitado, digite Y para continuar.

O resultado será semelhante a este:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Insufficient Permission Observação: o comando não vai funcionar! Observação: a conta de serviço padrão do Compute Engine não tem as permissões corretas para listar ou excluir regras de firewall. O mesmo se aplica a outros usuários que não têm os papéis corretos.

Crie uma conta de serviço

Crie uma conta de serviço e aplique o papel Administrador de rede.

  1. No console do Cloud, acesse o Menu de navegação (Ícone do menu de navegação) e clique em IAM e administrador > Contas de serviço.
    Encontre a conta de serviço padrão do Compute Engine.
  2. Clique em Criar conta de serviço.
  3. Defina a opção Nome da conta de serviço como Network-admin.
  4. Clique em Criar e continuar.
  5. Em Selecionar um papel, escolha Compute Engine > Administrador de rede do Compute.
  6. Clique em Continuar.
  7. Clique em Concluído.
Observação: você também pode criar e fazer o download de um arquivo que contenha a chave privada. No entanto, podemos só interromper test-vm e autorizá-la a usar a conta de serviço.

Autorize a instância test-vm

Autorize test-vm a usar a conta de serviço Network-admin.

  1. No Menu de navegação, clique em Compute Engine > Instâncias de VM.
  2. Clique no nome da instância test-vm para abrir a página Detalhes da instância de VM.
  3. Clique em Parar e confirme para Parar a instância. Aguarde até a instância ser interrompida antes de seguir para a próxima etapa.
Observação: é necessário interromper uma instância para editar a conta de serviço.

  1. Depois que a instância parar, clique em Editar.

  2. Selecione Network-admin para Conta de serviço.

  3. Em "Escopos de acesso", selecione Definir acesso para cada API e, no menu suspenso Compute Engine, escolha a opção Leitura/gravação.

  4. Clique em Salvar e aguarde a atualização da instância.

  5. Clique em Iniciar e confirme para Iniciar a instância.

  6. Volte à página Instâncias de VM e espere até test-vm mudar para um estado de execução.

  7. Clique em SSH para a instância test-vm.

Verifique as permissões

  1. Execute o comando a seguir para tentar listar as regras de firewall disponíveis:
gcloud compute firewall-rules list

O resultado será semelhante a este:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Isso deve funcionar.

  1. Execute o comando a seguir para tentar excluir a regra de firewall allow-http-web-server:
gcloud compute firewall-rules delete allow-http-web-server
  1. Se for solicitado, digite Y para continuar.

O resultado será semelhante a este:

ERROR: (gcloud.compute.firewall-rules.delete) Could not fetch resource: - Required 'compute.firewalls.delete' permission for 'projects/[PROJECT_ID]/global/firewalls/allow-http-web-server' Observação: o comando não funciona! Observação: como esperado, o papel Administrador de rede tem permissões para listar, mas não para modificar nem excluir regras de firewall.

Atualize a conta de serviço e verifique as permissões

Atribua o papel Administrador de segurança à conta de serviço Network-admin para atualizá-la.

  1. No console do Cloud, acesse o Menu de navegação (Ícone do menu de navegação) e clique em IAM e administrador > IAM.
  2. Encontre a conta Network-admin. Concentre-se na coluna Nome para identificar essa conta.
  3. Na conta Network-admin, clique no ícone de lápis.
  4. Mude o Papel para Compute Engine > Administrador de segurança do Compute.
  5. Clique em Salvar.
  6. Volte ao terminal SSH da instância test-vm.
  7. Execute o comando a seguir para tentar listar as regras de firewall disponíveis:
gcloud compute firewall-rules list

O resultado será semelhante a este:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY allow-http-web-server default INGRESS 1000 tcp:80 default-allow-icmp default INGRESS 65534 icmp default-allow-internal default INGRESS 65534 all default-allow-rdp default INGRESS 65534 tcp:3389 default-allow-ssh default INGRESS 65534 tcp:22

Isso deve funcionar.

  1. Execute o comando a seguir para tentar excluir a regra de firewall allow-http-web-server:
gcloud compute firewall-rules delete allow-http-web-server
  1. Se for solicitado, digite Y para continuar.

O resultado será semelhante a este:

Deleted [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-00e186e4b1cec086/global/firewalls/allow-http-web-server].

Isso deve funcionar.

Observação: como esperado, o papel Administrador de segurança tem permissões para listar e excluir regras de firewall.

Verifique a exclusão da regra de firewall

Depois de excluir a regra de firewall allow-http-web-server, verifique se não é mais possível acessar o IP externo do servidor blue por HTTP.

  1. Volte ao terminal SSH da instância test-vm.
  2. Execute o comando abaixo para testar a conectividade HTTP do IP externo de blue. Substitua o IP externo de blue no comando pelo valor correto.
curl <Insira o IP externo de blue aqui> Observação: o comando não vai funcionar.
  1. Pressione CTRL+C para interromper a solicitação HTTP.
Observação: atribua o papel Administrador de segurança à conta de serviço ou usuário correta para evitar mudanças indesejadas nas regras de firewall.

Clique em Verificar meu progresso para ver o objetivo. Analise os papéis de administrador de rede e segurança

Tarefa 4: revise

Neste laboratório, você criou dois servidores da Web nginx e controlou o acesso HTTP externo usando uma regra de firewall com tags. Em seguida, você criou uma conta de serviço primeiro com o papel Administrador de rede e depois com o papel Administrador de segurança para analisar as várias permissões deles.

Caso sua empresa tenha uma equipe de segurança que gerencie firewalls e certificados SSL e uma equipe de rede responsável pelos outros recursos de rede, conceda o papel Administrador de segurança ao grupo de segurança e o papel Administrador de rede aos profissionais de rede.

Finalize o laboratório

Clique em Terminar o laboratório após a conclusão. O Google Cloud Ensina remove os recursos usados e limpa a conta por você.

Você vai poder avaliar sua experiência no laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Enviar.

O número de estrelas indica o seguinte:

  • 1 estrela = muito insatisfeito
  • 2 estrelas = insatisfeito
  • 3 estrelas = neutro
  • 4 estrelas = satisfeito
  • 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Suporte.

Copyright 2026 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.

Antes de começar

  1. Os laboratórios criam um projeto e recursos do Google Cloud por um período fixo
  2. Os laboratórios têm um limite de tempo e não têm o recurso de pausa. Se você encerrar o laboratório, vai precisar recomeçar do início.
  3. No canto superior esquerdo da tela, clique em Começar o laboratório

Usar a navegação anônima

  1. Copie o nome de usuário e a senha fornecidos para o laboratório
  2. Clique em Abrir console no modo anônimo

Fazer login no console

  1. Faça login usando suas credenciais do laboratório. Usar outras credenciais pode causar erros ou gerar cobranças.
  2. Aceite os termos e pule a página de recursos de recuperação
  3. Não clique em Terminar o laboratório a menos que você tenha concluído ou queira recomeçar, porque isso vai apagar seu trabalho e remover o projeto

Este conteúdo não está disponível no momento

Você vai receber uma notificação por e-mail quando ele estiver disponível

Ótimo!

Vamos entrar em contato por e-mail se ele ficar disponível

Um laboratório por vez

Confirme para encerrar todos os laboratórios atuais e iniciar este

Use a navegação anônima para executar o laboratório

A melhor maneira de executar este laboratório é usando uma janela de navegação anônima ou privada. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.