部署 Active Directory 資源樹系

本系列文章將逐步引導您使用 Managed Microsoft AD 在 Google Cloud上部署 Active Directory 資源樹系。內容如下：

• 設定共用虛擬私有雲，讓您從多個專案存取 Managed Microsoft AD，並使用樹系信任將 Managed Microsoft AD 連結至內部部署 Active Directory。
• 設定防火牆規則，保護來自未經授權來源的 Active Directory 存取權。
• 在單一區域中部署 Managed Microsoft AD，並將其連結至現有的共用 VPC。
• 建立管理 VM 並加入網域。
• 使用委派的管理員連線至代管的 Microsoft AD。

架構總覽

如要讓多個專案的 VM 使用 Active Directory，您需要共用虛擬私有雲和三個獨立的子網路：

• Managed Microsoft AD 子網路：由 Managed Microsoft AD 用於執行網域控制站。
• 管理子網路：包含專門用於管理 Active Directory 的機器。
• 資源子網路：包含 Active Directory 成員伺服器 (例如應用程式或資料庫伺服器)。每個資源子網路的範圍都限定在單一地區。在本指南中，您只會建立單一資源子網路，但如果您打算在多個地區部署伺服器，可以稍後再新增其他資源子網路。

為降低安全性風險，您將部署管理 VM，並使用內部 RFC 1918 IP 位址，且不存取網際網路。如要登入 VM 執行個體，您將使用 IAP TCP 通道。

依循最佳做法，使用不同的專案管理伺服器，您將建立兩個專案：

• VPC 主專案：包含共用虛擬私有雲設定和受管理的 Microsoft AD。
• 管理專案：專門用於管理 Active Directory。您將在這個專案中建立管理 VM，並使用該 VM 設定 Active Directory。

事前準備

本教學課程使用共用虛擬私有雲，因此必須使用 Google Cloud組織。如果您沒有機構，請先建立一個。此外，部分設定活動需要管理員角色。請先確認您已獲授予下列 IAM 角色，再繼續操作。

• 機構管理員
• 共用虛擬私有雲管理員
• 網路使用者

本文假設您使用的是 Windows 機器，且已安裝 Google Cloud CLI。如果您使用其他作業系統，請調整部分步驟。

最後，請在開始之前收集下列資訊：

• 虛擬私有雲主專案和管理專案的專案名稱。這兩個專案將在部署作業中扮演關鍵角色，因此請選擇容易辨識的名稱，並遵循貴機構的命名慣例。
• 資料夾：用於建立虛擬私有雲主專案和管理專案專案。如果您尚未有合適的資料夾，建議您為跨功能資源建立個別的子資料夾，以及 Active Directory 等服務。
• 用於新 Active Directory 樹系的樹系根網域的 DNS 網域名稱。
• 要部署資源的初始地區。請注意，您只能在部分區域部署 Managed Microsoft AD (這不會影響網域的一般可用性，因為您的虛擬私人雲端網路可用於所有區域)。如果不確定哪個地區最符合需求，請參閱選取地區的最佳做法。您之後可以將部署作業擴展至其他區域。
• 要建立的共用虛擬私有雲名稱。由於虛擬私有雲會在多個專案間共用，請務必選擇容易辨識的名稱。

• 下列子網路的子網路範圍：

  • 受管理的 Microsoft AD 子網路：大小不得小於 /24。
  • 管理子網路：必須容納所有管理伺服器。建議使用 /28 或更大的子網路範圍。
  • 資源子網路：請調整這個子網路的大小，以便容納您打算在初始地區部署的所有伺服器。

  請確認子網路不會與任何內部部署子網路重疊，並保留足夠的擴充空間。

費用

本教學課程使用 Google Cloud的計費元件，包括 Compute Engine、Cloud DNS 和 Google Cloud Observability。請參閱定價計算工具，計算完成本教學課程的費用。請務必加入任何其他專屬於部署作業的資源。

設定虛擬私有雲網路

建立虛擬私有雲主專案

虛擬私有雲主機專案可用於建立共用虛擬私有雲，以及管理網路相關設定，例如子網路、防火牆規則和路徑。

1. 在 Google Cloud 控制台中，開啟「Manage resources」(管理資源) 頁面。

   開啟「管理資源」頁面

2. 在左上角的「機構」下拉式選單中，選取您的機構。

3. 按一下「Create Project」(建立專案)，然後輸入下列設定：

   1. 專案名稱：您選擇做為專案名稱的 ID。
   2. 帳單帳戶：您的帳單帳戶。
   3. 位置：要建立專案的資料夾。

4. 按一下 [建立]。

防止專案遭到誤刪

刪除專案也會刪除其中部署的任何 Managed Microsoft AD 網域。除了使用 IAM 政策限制專案存取權之外，您也應保護專案，避免意外刪除。

1. 在 Google Cloud 主控台中，開啟 Cloud Shell。Cloud Shell 可讓您在 Google Cloud 主控台中使用指令列，其中包括 Google Cloud CLI 和 Google Cloud 管理所需的其他工具。Cloud Shell 可能需要幾分鐘的佈建時間。
   啟用 Cloud Shell

2. 初始化變數，以便包含機構名稱和 VPC 主機專案的專案 ID：

   ORG_NAME=[ORG-NAME] \
   VPCHOST_PROJECT_ID=[PROJECT-ID]
   

   將 [ORG-NAME] 替換為貴機構的名稱，並將 [PROJECT-ID] 替換為 VPC 主機專案的 ID。例如：

   ORG_NAME=example.com
   VPCHOST_PROJECT_ID=ad-host-123
   

3. 執行下列指令，查詢機構 ID，並將 ORG-NAME 替換為機構名稱 (例如 example.com)：

   ORG_ID=$(gcloud organizations list \
     --filter="DISPLAY_NAME=$ORG_NAME" \
     --format=value\(ID\)) && \
   echo "ID of $ORG_NAME is $ORG_ID"
   

4. 為貴機構強制執行 compute.restrictXpnProjectLienRemoval 政策：

   gcloud resource-manager org-policies enable-enforce \
     --organization $ORG_ID compute.restrictXpnProjectLienRemoval
   

刪除預設 VPC

Compute Engine 會在您建立的每個專案中建立 default 虛擬私有雲。這個 VPC 已設定為自動模式，也就是說，系統會為每個區域預先分配子網路，並自動指派子網路範圍。

如果您打算將 VPC 連線至內部部署網路，Compute Engine 在自動模式中使用的預先定義 IP 範圍可能不符合您的需求，因為這些範圍可能會與現有 IP 範圍重疊，或大小不合適。您應刪除預設 VPC，並以自訂模式 VPC 取代。

1. 返回現有的 Cloud Shell 工作階段。

2. 在 VPC 主機專案中啟用 Compute Engine API：

   gcloud services enable compute.googleapis.com --project=$VPCHOST_PROJECT_ID
   

3. 刪除與 default VPC 相關聯的所有防火牆規則：

   gcloud compute firewall-rules list \
     --filter="network=default" \
     --project=$VPCHOST_PROJECT_ID \
     --format=value\(name\) | \
   xargs gcloud compute firewall-rules delete \
     --project=$VPCHOST_PROJECT_ID
   

4. 刪除預設虛擬私有雲：

   gcloud compute networks delete default --project=$VPCHOST_PROJECT_ID
   

建立共用虛擬私有雲和子網路

刪除 default 虛擬私有雲後，您現在可以建立自訂虛擬私有雲 (稍後會將其轉換為共用虛擬私有雲)。

1. 返回現有的 Cloud Shell 工作階段。

2. 建立虛擬私有雲名稱、初始區域和子網路範圍的變數：

   SHAREDVPC_NAME=[NAME] \
   SUBNET_REGION=[REGION] \
   SUBNET_RANGE_MANAGEMENT=[MANAGEMENT-RANGE] \
   SUBNET_RANGE_RESOURCES=[RESOURCES-RANGE] \
   SUBNET_RANGE_MANAGEDAD=[MANAGED-AD-RANGE] \
   SUBNET_RANGE_ONPREMAD=[ONPREM-AD-RANGE]
   

   將預留位置變數替換為以下內容：

   • [NAME] 加上名稱，例如 ad-network-env-test.
   • [REGION] 與要部署 Active Directory 網域控制器的區域。您隨時可以擴充 VPC 和網域，涵蓋其他區域。
   • [MANAGEMENT-RANGE]，其中包含要用於管理子網路的子網路範圍。
   • [RESOURCES-RANGE]，其中包含要用於資源子網路的子網路範圍。
   • [MANAGED-AD-RANGE] 包含用於 Managed Microsoft AD 子網路的子網路範圍。
   • [ONPREM-AD-RANGE]，其中包含要用於內部 AD 子網路的子網路範圍。

   例如：

   SHAREDVPC_NAME=ad-network \
   SUBNET_REGION=us-central1 \
   SUBNET_RANGE_MANAGEMENT=10.0.0.0/24 \
   SUBNET_RANGE_RESOURCES=10.0.1.0/24 \
   SUBNET_RANGE_MANAGEDAD=10.0.2.0/24 \
   SUBNET_RANGE_ONPREMAD=192.168.0.0/24
   

3. 啟用 VPC 主專案，以便代管共用虛擬私有雲：

   gcloud compute shared-vpc enable $VPCHOST_PROJECT_ID
   

4. 建立新的自訂模式 VPC 網路：

   gcloud compute networks create $SHAREDVPC_NAME \
       --subnet-mode=custom \
       --project=$VPCHOST_PROJECT_ID
   

5. 建立管理和資源子網路，並啟用私人 Google 存取權，讓 Windows 能夠啟用，而無須授予 VM 直接存取網際網路的權限。

   gcloud compute networks subnets create $SUBNET_REGION-management \
     --network=$SHAREDVPC_NAME \
     --range=$SUBNET_RANGE_MANAGEMENT \
     --region=$SUBNET_REGION \
     --enable-private-ip-google-access \
     --project=$VPCHOST_PROJECT_ID && \
   gcloud compute networks subnets create $SUBNET_REGION-resources \
     --network=$SHAREDVPC_NAME \
     --range=$SUBNET_RANGE_RESOURCES \
     --region=$SUBNET_REGION \
     --enable-private-ip-google-access \
     --project=$VPCHOST_PROJECT_ID
   

保護共用虛擬私有雲

您的 VPC 主專案現在包含一個含有兩個子網路的共用虛擬私有雲。只要將服務專案連結至這個共用 VPC，即可讓共用 VPC 在多個專案中使用。

請依子網路授予存取權，而非授予服務專案成員共用虛擬私人雲端的所有子網路使用權限。

基於安全考量，請只將管理子網路存取權授予少數管理人員。這可確保子網路只用於管理 Active Directory。您可以對資源子網路套用較寬鬆的存取控制。

建立防火牆規則

在部署 Active Directory 之前，您必須建立防火牆規則，才能管理及使用 Active Directory。

1. 返回現有的 Cloud Shell 工作階段。

2. 啟用 ingress 流量的防火牆記錄功能，以便記錄所有失敗的存取嘗試：

   gcloud compute firewall-rules create deny-ingress-from-all \
       --direction=INGRESS \
       --action=deny \
       --rules=tcp:0-65535,udp:0-65535 \
       --enable-logging \
       --source-ranges=0.0.0.0/0 \
       --network=$SHAREDVPC_NAME \
       --project=$VPCHOST_PROJECT_ID \
       --priority 65000
   

3. 您將使用部署在管理子網路中的專屬管理伺服器來管理 Active Directory。由於這部伺服器將在沒有外部 IP 位址的情況下部署，因此您必須使用 IAP TCP 轉送連線至伺服器。

   建立下列防火牆規則，允許從 IAP 輸入的遠端桌面協定：

   gcloud compute firewall-rules create allow-rdp-ingress-from-iap \
     --direction=INGRESS \
     --action=allow \
     --rules=tcp:3389 \
     --enable-logging \
     --source-ranges=35.235.240.0/20 \
     --network=$SHAREDVPC_NAME \
     --project=$VPCHOST_PROJECT_ID \
     --priority 10000
   

共用 VPC 現已可用於部署受管理的 Microsoft AD。

部署 Active Directory

Managed Microsoft AD 會處理 Active Directory 網域控制器的佈建和維護作業。以下角色會部署在網域控制器上：

• Active Directory 網域服務
• DNS

網域控制器會部署在專案外，不會以 VM 執行個體的形式顯示在專案中。為了讓您可以使用網域控制器，在部署 Managed Microsoft AD 時，系統會對專案套用下列變更：

• 虛擬私有雲對等互連已新增至您的虛擬私有雲。這樣一來，您的 VPC 就會連結至包含網域控制器的服務 VPC。
• 在專案中建立 Cloud DNS 私人 DNS 對等區域。它會將與您的 Active Directory 網域相符的 DNS 查詢轉送至 Managed Microsoft AD 執行的 DNS 服務。

由於您使用的是共用虛擬私有雲，因此必須在 VPC 主專案中部署 Managed Microsoft AD，才能在所有服務專案中使用 Active Directory。

建立 Active Directory 樹系和網域

請按照下列步驟，在指南前面部分建立的 VPC 主機專案中部署 Managed Microsoft AD：

1. 返回 Google Cloud 控制台的 Cloud Shell。

2. 初始化變數，以便包含要建立的新 Active Directory 樹系的樹系根網域名稱。如需選擇名稱的相關指南，請參閱 Microsoft 命名慣例。

   AD_DNS_DOMAIN=[AD-DNS-NAME]
   

   例如：

   AD_DNS_DOMAIN=cloud.example.com
   

3. 在 VPC 主專案中啟用 Cloud DNS：

   gcloud services enable dns.googleapis.com --project $VPCHOST_PROJECT_ID
   

4. 在 VPC 主機專案中啟用 Managed Microsoft AD API：

   gcloud services enable managedidentities.googleapis.com --project $VPCHOST_PROJECT_ID
   

5. 佈建網域控制器並建立新的樹狀結構：

   gcloud active-directory domains create $AD_DNS_DOMAIN \
     --admin-name=SetupAdmin \
     --reserved-ip-range=$SUBNET_RANGE_MANAGEDAD \
     --region=$SUBNET_REGION \
     --authorized-networks=projects/$VPCHOST_PROJECT_ID/global/networks/$SHAREDVPC_NAME \
     --project=$VPCHOST_PROJECT_ID
   

   請等待 15 到 20 分鐘，讓指令完成。

6. 先前的指令會為您建立名為 SetupAdmin@[AD_DNS_DOMAIN] 的初始 Active Directory 使用者。這個使用者已委派管理員權限，您可以使用該使用者完成設定新的 Active Directory 樹系。

   如要顯示使用者的憑證，請執行下列指令。您必須確認在畫面上顯示密碼是安全的。

   gcloud active-directory domains reset-admin-password $AD_DNS_DOMAIN \
     --project=$VPCHOST_PROJECT_ID
   

   複製密碼，後續步驟會用到。

   VPC 主機專案的專案擁有者和專案編輯者隨時可以重設密碼。

建立管理專案

由受控 Microsoft AD 建立的 Active Directory 樹系和樹系根網域現在已完全運作，您也有第一個使用者 (SetupAdmin) 可執行進一步的設定。不過，由於 Managed Microsoft AD 網域控制器無法透過 RDP 直接存取，因此必須使用管理 VM 處理任何設定。

您將在專門用於 Active Directory 管理的專案中建立這個 VM 執行個體，然後將 VM 執行個體連線至共用虛擬私有雲的管理子網路。

加入網域後，您可以使用遠端伺服器管理工具、群組原則管理主控台和 PowerShell 來管理 Active Directory 和 Active Directory 相關資源。

如要建立管理專案，請按照下列步驟操作：

1. 在 Google Cloud 控制台中，開啟「管理資源」頁面。
   

   開啟「管理資源」頁面

2. 在左上角的「機構」下拉式選單中，選取您的機構。
3. 按一下「Create Project」，然後填妥下列欄位：
   1. 專案名稱：您選擇做為專案名稱的 ID。
   2. 帳單帳戶：您的帳單帳戶。如果您有數個帳單帳戶的存取權，請查看每個帳戶的內部政策，然後選擇適用的帳戶。
   3. 位置：要建立專案的資料夾。
4. 按一下 [建立]。

管理專案將包含用於管理 Active Directory 的 VM 執行個體。在分層管理模式中，這表示來自第 0 層的高度特權使用者會登入這些 VM 執行個體。

這些執行個體可能會成為攻擊者的目標，因為攻擊者可能會利用這些執行個體擷取密碼、密碼雜湊或 Kerberos 權杖。由於這些憑證具有 Active Directory 的管理員存取權，因此可能會用於危害網域。

管理專案中的 VM 執行個體應視為特權存取工作站。這表示：

• 只有少數管理員人員應獲准登入這些執行個體 (無論是透過 RDP 或其他方式)。
• 請根據最低權限原則，授予包含管理專案的存取權。只有少數選定使用者才能查看及存取Google Cloud 專案中的資源。

如要進一步瞭解如何保護 Google Cloud 專案，請參閱驗證存取嘗試的最佳做法。

使用共用虛擬私有雲，而非預設虛擬私有雲

管理專案目前有自己的 default VPC。由於您將改用共用虛擬私有雲，因此可以刪除這個虛擬私有雲。

1. 返回 Google Cloud 控制台的 Cloud Shell。

2. 初始化變數，以便包含管理專案的專案 ID (將 [MANAGEMENT_PROJECT_ID] 替換為您剛建立的管理專案專案 ID)：

   MANAGEMENT_PROJECT_ID=[MANAGEMENT_PROJECT_ID]
   

3. 在 VPC 主機專案中啟用 Compute Engine API：

   gcloud services enable compute.googleapis.com \
     --project=$MANAGEMENT_PROJECT_ID
   

4. 刪除與 default VPC 相關聯的所有防火牆規則：

   gcloud compute firewall-rules list \
     --filter="network=default" \
     --project=$MANAGEMENT_PROJECT_ID \
     --format=value\(name\) | \
   xargs gcloud compute firewall-rules delete \
       --project=$MANAGEMENT_PROJECT_ID
   

5. 刪除 default VPC：

   gcloud compute networks delete default --project=$MANAGEMENT_PROJECT_ID
   

6. 將管理專案與共用虛擬私有雲建立關聯：

   gcloud compute shared-vpc associated-projects add $MANAGEMENT_PROJECT_ID \
     --host-project=$VPCHOST_PROJECT_ID
   

管理專案現在是服務專案，您可以在管理專案中使用共用虛擬私有雲。

連線至 Active Directory

您現在可以建立第一個管理 VM 執行個體，並將其加入 Active Directory。您可以使用這個 VM 設定 Active Directory 樹系和樹系根網域。

建立管理 VM

如要建立管理 VM 執行個體，請按照下列步驟操作：

1. 返回 Google Cloud 控制台的 Cloud Shell。

2. 建立執行 Windows Server 2019 的新 VM 執行個體，並預先安裝遠端伺服器管理工具 (RSAT)、DNS 伺服器管理工具，以及群組原則管理主控台 (GPMC)。

   由於您會使用 IAP TCP 轉送存取機器，因此不需要為執行個體指派外部 IP 位址。

   gcloud compute instances create admin-01 \
     --image-family=windows-2019 \
     --image-project=windows-cloud \
     --machine-type=n1-standard-2 \
     --no-address \
     --zone=$SUBNET_REGION-a \
     --subnet=projects/$VPCHOST_PROJECT_ID/regions/$SUBNET_REGION/subnetworks/$SUBNET_REGION-management \
     --project=$MANAGEMENT_PROJECT_ID \
     --metadata="sysprep-specialize-script-ps1=Install-WindowsFeature -Name RSAT-AD-Tools;Install-WindowsFeature -Name GPMC;Install-WindowsFeature -Name RSAT-DNS-Server"
   

3. 執行下列指令，觀察啟動程序。

   gcloud compute instances tail-serial-port-output admin-01 \
     --zone=$SUBNET_REGION-a \
     --project=$MANAGEMENT_PROJECT_ID
   

4. 請等待約 4 分鐘，直到您看到輸出 Instance setup finished，然後按下 Ctrl+C。VM 執行個體現在已可供使用。

5. 在執行個體上建立本機 SAM 使用者 LocalAdmin：

   gcloud compute reset-windows-password admin-01 \
     --user=LocalAdmin \
     --project=$MANAGEMENT_PROJECT_ID \
     --zone=$SUBNET_REGION-a \
     --quiet
   

   複製密碼，後續步驟會用到。

將管理 VM 加入網域

您現在可以登入管理 VM，並將其加入 Active Directory

1. 在本機 Windows 工作站上，開啟命令提示字元 (cmd)。

2. 如果您是第一次在本機工作站上使用 gcloud，請務必先驗證。

3. 執行下列指令，從本機工作站建立 IAP TCP 通道至 admin-01 VM，並將 [MANAGEMENT_PROJECT_ID] 替換為管理專案的 ID。

   gcloud compute start-iap-tunnel admin-01 3389 ^
     --local-host-port=localhost:13389 ^
     --project=[MANAGEMENT_PROJECT_ID]
   

   等候下列輸出內容顯示

   Listening on port [13389]`
   

   隧道現在可以使用了。

4. 開啟 Windows 遠端桌面連線用戶端 (mstsc.exe)。

5. 按一下 [Show Options] (顯示選項)。

6. 輸入下列值：

   1. 電腦：localhost:13389
   2. 使用者名稱：localhost\LocalAdmin

7. 按一下「連線」。

8. 在「Enter your credentials」對話方塊中，貼上先前為本機 LocalAdmin 使用者產生的密碼。接著按一下「OK」。

9. 由於您尚未為管理 VM 設定 RDP 憑證，因此系統會顯示警告訊息，指出無法驗證遠端電腦的身份。按一下「是」即可關閉這則警告。

10. 您現在應該會看到 admin-01 VM 的 Windows Server 桌面。

11. 在「開始」按鈕上按一下滑鼠右鍵 (或按下 Win + X 鍵)，然後按一下「命令提示字元 (系統管理員權限)」。

12. 按一下「是」，確認權限提升提示。

13. 在提升權限的命令提示字元中，執行 powershell 以啟動 PowerShell 工作階段。

14. 執行下列指令，啟動網域加入程序。

    Add-Computer -DomainName [AD-DNS-NAME]
    

    將 [AD-DNS-NAME] 替換為 DNS 根網域的 DNS 名稱。

15. 在「Windows PowerShell 憑證要求」對話方塊中，輸入下列值：

    1. 使用者名稱：SetupAdmin
    2. 密碼：輸入部署 Managed Microsoft AD 時為 SetupAdmin 建立的密碼。請勿使用本機 LocalAdmin 使用者的密碼。

16. 執行 Restart-Computer 重新啟動電腦。等待約一分鐘，讓 VM 重新啟動。

啟動 Active Directory 使用者和電腦

管理 VM 現已成為 Active Directory 網域的組員。您可以使用它來管理 Active Directory：

1. 在本機 Windows 工作站上，開啟 Windows 遠端桌面連線用戶端 (mstsc.exe)。
2. 按一下 [Show Options] (顯示選項)。
3. 輸入下列值：
   1. 電腦：localhost:13389
   2. 使用者名稱：SetupAdmin@[AD-DNS-NAME]。將 [AD-DNS-NAME] 替換為「DNS 名稱」的 DNS 名稱，該 DNS 名稱為「森林根網域」的 DNS 名稱。
4. 按一下「連線」。
5. 在「Enter your credentials」對話方塊中，貼上先前為 SetupAdmin 使用者產生的密碼。接著按一下「OK」。
6. 由於您尚未為管理 VM 設定 RDP 憑證，因此系統會顯示警告訊息，指出無法驗證遠端電腦的身份。按一下「是」即可關閉這則警告。
7. 您現在應該會看到 admin-01 VM 的 Windows Server 桌面。
8. 在「開始」按鈕上按一下滑鼠右鍵 (或按下 Win + X 鍵)，然後選取「執行」。
9. 輸入 dsa.msc，然後按一下 [OK] (確定)。

您現在應該會看到「Active Directory 使用者和電腦」：

恭喜！您已連結至 Managed Microsoft AD 網域！

正在清除所用資源

如果您日後不打算使用本教學課程的資源，請清除這些資源，這樣就不必為這些資源付費。

刪除 Active Directory 樹系和網域

1. 在 Google Cloud 控制台中，開啟 Cloud Shell。

2. 執行下列指令以刪除 Active Directory 樹系和網域，請將 [AD_DNS_DOMAIN] 替換為用於受控 Microsoft AD 網域的 DNS 網域名稱，並將 [VPCHOST_PROJECT_ID] 替換為 VPC 主機專案的 ID：

   gcloud active-directory domains delete [AD_DNS_DOMAIN] \
     --project=[VPCHOST_PROJECT_ID]
   

刪除管理專案

1. 在 Google Cloud 控制台中，前往「專案」頁面。

   開啟「專案」頁面

2. 在專案清單中選取管理專案，然後按一下「刪除」。
3. 在對話方塊中輸入專案 ID，然後按一下「Shut down」(關閉) 即可刪除專案。

刪除虛擬私有雲主專案

1. 在 Google Cloud 控制台中，前往「專案」頁面。

   開啟「專案」頁面

2. 在專案清單中選取 VPC 主機專案，然後按一下「刪除」。
3. 在對話方塊中輸入專案 ID，然後按一下「Shut down」(關閉) 即可刪除專案。

後續步驟

• 瞭解如何使用存取層級和條件，透過 IAP 限制存取資源。
• 為管理專案設定防刪除鎖定，避免專案遭意外刪除。