# 📌 Laboratorio: Control de Acceso en Redes VPC de Google Cloud

## Objetivo General
Aprender a crear servidores web en la red **VPC** predeterminada, controlar el acceso externo mediante reglas de firewall etiquetadas y explorar el uso de cuentas de servicio y roles **IAM**.

💡 **Contexto empresarial**: Configurar redes **VPC** y permisos **IAM** es como establecer un plan de cuentas contable con políticas de acceso estrictas, asegurando que solo las personas autorizadas manejen datos financieros sensibles.

## Introducción al Laboratorio
En entornos empresariales, proteger datos sensibles y garantizar la disponibilidad de aplicaciones web es crucial. Este laboratorio te guía para usar una red **VPC** en **Google Cloud** para crear un despliegue web seguro, escalable y gestionable.

💡 **Analogía contable**: Una red **VPC** es como un plan de cuentas contable: organiza y delimita quién accede a cada componente (servidor o cuenta) dentro del sistema.

### Objetivos del Laboratorio
- Crear servidores web **nginx** en la red **VPC**.
- Configurar reglas de firewall con etiquetas (**network tags**).
- Crear cuentas de servicio y asignar roles **IAM**.
- Explorar los permisos de los roles **Network Admin** y **Security Admin**.

💡 **Contexto empresarial**: Similar a configurar un ERP contable con permisos específicos para proteger datos financieros y garantizar operaciones continuas.

Para más información, consulta la [Documentación de Google Cloud VPC](https://cloud.google.com/vpc/docs) y la [Documentación de Cloud IAM](https://cloud.google.com/iam/docs).

## 🚀 Requisitos Previos y Configuración Inicial

### Requisitos Previos
- Usa un navegador estándar (**Chrome** recomendado) en modo **Incógnito** para evitar conflictos con tu cuenta personal.
- Usa solo la cuenta temporal proporcionada por el laboratorio.
- No habilites autenticación de dos pasos ni crees cuentas nuevas.

💡 **Contexto empresarial**: Como usar credenciales temporales para auditar un sistema contable sin comprometer la cuenta principal.

### Pasos para Iniciar Sesión
1. Haz clic en **Start Lab**.
2. Copia las credenciales temporales (usuario y contraseña).
3. Accede al panel de **Google Cloud** en una pestaña en modo incógnito.
4. No aceptes opciones de recuperación ni pruebas gratuitas.

### Activar Cloud Shell
1. Haz clic en el ícono de **Cloud Shell** en la barra superior.
2. Autoriza el uso de credenciales.
3. Confirma que el **Project_ID** está asignado.

**Comandos útiles**:
```bash
gcloud auth list
```
**Explicación**: Lista las cuentas activas autenticadas.

```bash
gcloud config list project
```
**Explicación**: Muestra el ID del proyecto actual.

💡 **Contexto empresarial**: Como verificar las credenciales y el proyecto contable activo antes de registrar transacciones en un ERP.

## 🔧 Tarea 1: Crear los Servidores Web

### Crear el Servidor Blue
1. Navega a **Compute Engine > VM instances**.
2. Haz clic en **Create Instance**.
3. Configura:
   - **Nombre**: `blue`
   - **Región/Zona**: Elige según disponibilidad (ej. `us-central1`, `us-central1-a`).
   - **Networking > Network tags**: `web-server`
4. Haz clic en **Create**.

💡 **Analogía contable**: Como registrar un nuevo proyecto contable con una etiqueta específica para identificar su propósito.

### Crear el Servidor Green
1. Repite el proceso, pero:
   - **Nombre**: `green`
   - **Network tags**: No asignes etiquetas.
2. Haz clic en **Create**.

💡 **Contexto empresarial**: Como crear un proyecto sin permisos específicos, limitando su acceso externo.

### Instalar nginx y Personalizar la Página
**Para cada servidor (`blue` y `green`)**:
1. Haz clic en **SSH** para conectar.
2. Instala **nginx**:
```bash
sudo apt-get install nginx-light -y
```
**Explicación**:
- `sudo`: Ejecuta con permisos de administrador.
- `apt-get install`: Instala paquetes en la VM.
- `nginx-light`: Versión ligera de **nginx**, ideal para recursos limitados.
- `-y`: Confirma automáticamente la instalación.

3. Edita la página de bienvenida:
```bash
sudo nano /var/www/html/index.nginx-debian.html
```
**Explicación**:
- `nano`: Editor de texto en terminal.
- `/var/www/html/index.nginx-debian.html`: Archivo HTML predeterminado de **nginx**.

4. Reemplaza `<h1>Welcome to nginx!</h1>` con:
   - Para `blue`: `<h1>Welcome to the blue server!</h1>`
   - Para `green`: `<h1>Welcome to the green server!</h1>`
5. Guarda los cambios: **Ctrl+O**, **Enter**, **Ctrl+X**.
6. Verifica el cambio:
```bash
cat /var/www/html/index.nginx-debian.html
```
**Explicación**: Muestra el contenido del archivo HTML.

💡 **Contexto empresarial**: Como personalizar un informe contable para identificar claramente su origen (ej. un balance de una sucursal específica).

## 🔒 Tarea 2: Crear la Regla de Firewall

### Crear Regla para HTTP
1. Navega a **VPC network > Firewall > Create Firewall Rule**.
2. Configura:
   - **Nombre**: `allow-http-web-server`
   - **Red**: `default`
   - **Etiqueta objetivo**: `web-server`
   - **Rango IPv4**: `0.0.0.0/0`
   - **Protocolos**: TCP puerto `80`, ICMP
3. Haz clic en **Create**.

**Comando equivalente**:
```bash
gcloud compute firewall-rules create allow-http-web-server --network=default --action=ALLOW --rules=tcp:80,icmp --source-ranges=0.0.0.0/0 --target-tags=web-server
```
**Explicación**:
- Permite tráfico HTTP (puerto 80) e ICMP solo para instancias con la etiqueta `web-server`.
- `0.0.0.0/0`: Permite acceso desde cualquier IP.

💡 **Analogía contable**: Como establecer una política que permite a auditores externos acceder solo a los libros contables etiquetados como públicos.

### Crear una Máquina Virtual de Prueba
```bash
gcloud compute instances create test-vm --machine-type=e2-micro --subnet=default --zone=<ZONE>
```
**Explicación**:
- Crea una VM (`test-vm`) en la red `default` para probar conectividad.
- **Nota**: Reemplaza `<ZONE>` con la zona asignada (ej. `us-central1-a`).

💡 **Contexto empresarial**: Como crear un entorno de prueba para verificar el acceso a reportes contables.

### Probar Conectividad HTTP
1. Navega a **Compute Engine > VM instances**.
2. Anota las IPs internas y externas de `blue` y `green`.
3. En `test-vm`, haz clic en **SSH**.
4. Prueba la conectividad:
```bash
curl <blue internal IP>
```
**Resultado**: Muestra `<h1>Welcome to the blue server!</h1>`.

```bash
curl <green internal IP>
```
**Resultado**: Muestra `<h1>Welcome to the green server!</h1>`.
**Nota**: Funciona porque la regla `default-allow-internal` permite tráfico TCP:80 dentro de la misma **VPC**.

```bash
curl <blue external IP>
```
**Resultado**: Muestra `<h1>Welcome to the blue server!</h1>`.

```bash
curl <green external IP>
```
**Resultado**: Falla (la solicitud se cuelga). Presiona **Ctrl+C** para detener.
**Nota**: Solo `blue` es accesible externamente debido a la etiqueta `web-server` en la regla de firewall.

5. Verifica desde un navegador abriendo `http://<blue external IP>`.

| Conexión | Resultado | Analogía Contable |
|----------|-----------|------------------|
| **HTTP a IP interna (blue)** | Funciona (regla `default-allow-internal`) | Acceso interno al balance de una sucursal |
| **HTTP a IP interna (green)** | Funciona (regla `default-allow-internal`) | Acceso interno a otro balance |
| **HTTP a IP externa (blue)** | Funciona (etiqueta `web-server`) | Auditor externo accede a un balance público |
| **HTTP a IP externa (green)** | Falla (sin etiqueta `web-server`) | Auditor externo no puede acceder a un balance privado |

## 🔐 Tarea 3: Explorar los Roles Network Admin y Security Admin

### Introducción a Cloud IAM
**Cloud IAM** (Identity and Access Management) controla quién puede realizar acciones específicas en **Google Cloud**, ofreciendo visibilidad y gestión centralizada.

💡 **Contexto empresarial**: Como definir permisos en un ERP para que solo ciertos roles accedan a módulos financieros.

### Roles de IAM Aplicados a Redes
- **Network Admin**: Puede crear, modificar y eliminar recursos de red (excepto reglas de firewall y certificados SSL).
- **Security Admin**: Puede gestionar reglas de firewall y certificados SSL.

💡 **Analogía contable**: **Network Admin** es como un gerente que organiza sucursales contables; **Security Admin** es como un auditor que controla accesos a los datos.

### Verificación de Permisos Actuales
1. En `test-vm` (SSH), ejecuta:
```bash
gcloud compute firewall-rules list
```
**Resultado**: Error por permisos insuficientes.

```bash
gcloud compute firewall-rules delete allow-http-web-server
```
**Resultado**: Error por permisos insuficientes.

💡 **Analogía contable**: Como un usuario sin permisos intentando modificar el libro mayor.

### Crear una Cuenta de Servicio con Rol Network Admin
1. Navega a **IAM & admin > Service Accounts**.
2. Nota la cuenta de servicio predeterminada de **Compute Engine**.
3. Haz clic en **Create service account**.
4. Configura:
   - **Service account name**: `Network-admin`
   - **Role**: `Compute Engine > Compute Network Admin`
5. Haz clic en **CREATE AND CONTINUE**, luego **DONE**.
6. Crea una clave JSON:
   - Haz clic en los tres puntos de `Network-admin` > **Manage Keys** > **Add Key** > **Create new key** > **Create**.
   - Descarga el archivo JSON y renómbralo a `credentials.json`.

💡 **Contexto empresarial**: Como crear una cuenta automatizada para gestionar sucursales contables.

### Autorizar test-vm y Verificar Permisos
1. En `test-vm` (SSH), sube `credentials.json` usando el ícono **Upload file**.
2. Autoriza la cuenta de servicio:
```bash
gcloud auth activate-service-account --key-file credentials.json
```
**Explicación**: Autentica `test-vm` con la cuenta `Network-admin`.

3. Lista las reglas de firewall:
```bash
gcloud compute firewall-rules list
```
**Resultado**: Funciona (permisos de **Network Admin**).

4. Intenta eliminar la regla:
```bash
gcloud compute firewall-rules delete allow-http-web-server
```
**Resultado**: Error (falta el rol **Security Admin**). Ingresa `Y` si se solicita continuar.

💡 **Contexto empresarial**: Como un gerente contable que puede ver pero no modificar políticas de auditoría.

### Actualizar Permisos a Security Admin
1. Navega a **IAM & admin > IAM**.
2. Encuentra `Network-admin` y haz clic en el ícono de lápiz.
3. Cambia el rol a **Compute Engine > Compute Security Admin**.
4. Haz clic en **Save**.
5. En `test-vm` (SSH), ejecuta:
```bash
gcloud compute firewall-rules list
```
**Resultado**: Funciona.

```bash
gcloud compute firewall-rules delete allow-http-web-server
```
**Resultado**: Funciona. Ingresa `Y` si se solicita continuar.

💡 **Analogía contable**: Como otorgar permisos de auditoría para modificar políticas de acceso.

### Verificar la Eliminación de la Regla de Firewall
1. En `test-vm` (SSH), prueba la conectividad:
```bash
curl <blue external IP>
```
**Resultado**: Falla (la regla `allow-http-web-server` fue eliminada). Presiona **Ctrl+C** para detener.

💡 **Contexto empresarial**: Como confirmar que un auditor externo ya no puede acceder a un balance tras revocar permisos.

## 🚀 Conclusión

Este laboratorio te permitió:
1. Crear servidores web **nginx** en la red **VPC** predeterminada.
2. Configurar reglas de firewall con etiquetas para controlar el acceso HTTP.
3. Crear y gestionar cuentas de servicio con roles **IAM** (**Network Admin** y **Security Admin**).
4. Verificar cómo los permisos afectan las operaciones de red.

💡 **Beneficio empresarial**: Configurar **VPC** y **IAM** asegura que los datos financieros sean accesibles solo para roles autorizados, mejorando la seguridad y el cumplimiento normativo, similar a un ERP con permisos estrictos.

Para más información, consulta la [Documentación de Google Cloud VPC](https://cloud.google.com/vpc/docs) y la [Documentación de Cloud IAM](https://cloud.google.com/iam/docs).

**Nota sobre la imagen**: [Insertar imagen `image1.png` aquí, que ilustra el esquema de los servidores web y las reglas de firewall.]