Adressgruppen – Übersicht

Eine Adressgruppe enthält mehrere IP-Adressen, IP-Adressbereiche im CIDR-Format oder beides. Jede Adressgruppe kann von mehreren Ressourcen verwendet werden, z. B. Regeln in Cloud NGFW-Firewallrichtlinien oder Regeln in Google Cloud Armor-Sicherheitsrichtlinien.

Aktualisierungen einer Adressgruppe werden automatisch an die Ressourcen weitergegeben, die auf die Adressgruppe verweisen. Sie können beispielsweise eine Adressgruppe erstellen, die eine Reihe vertrauenswürdiger IP-Adressen enthält. Wenn Sie den Satz vertrauenswürdiger IP-Adressen ändern möchten, aktualisieren Sie die Adressgruppe. Die Aktualisierungen der Adressgruppe werden automatisch in jeder zugehörigen Ressource übernommen.

Spezifikationen

Adressgruppenressourcen haben folgende Eigenschaften:

  • Jede Adressgruppe ist eindeutig durch eine URL mit die folgenden Elemente: <ph type="x-smartling-placeholder">
      </ph>
    • Containertyp: Hier wird der Typ der Adressgruppe festgelegt: organization oder project.
    • Container-ID: ID der Organisation oder des Projekts.
    • Standort: Gibt an, ob die Adressengruppe eine global oder eine regionale Ressource ist (z. B. europe-west).
    • Name:Der Name der Adressgruppe im folgenden Format: <ph type="x-smartling-placeholder">
        </ph>
      • Ein String mit 1 bis 63 Zeichen
      • Enthält nur alphanumerische Zeichen
      • Darf nicht mit einer Ziffer beginnen

  • Sie können eine eindeutige URL-Kennung für eine Adressgruppe in der folgendes Format:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>

    Beispiel: eine global-Adressgruppe example-address-group im Projekt myproject hat die folgende eindeutige 4-Tupel-Kennung:

    projects/myproject/locations/global/addressGroups/example-address-group

  • Jeder Adressgruppe ist ein Typ zugeordnet, der IPv4 oder IPv6 sein kann. aber nicht beides. Der Adressgruppentyp kann später nicht mehr geändert werden.

  • Alle IP-Adressen und IP-Bereiche in einer Adressgruppe werden als Element bezeichnet. Die Anzahl der Elemente, die Sie einer Adressgruppe hinzufügen können, hängt vom die Kapazität der Adressgruppe. Sie können die Artikelkapazität während der Adresse festlegen Gruppenerstellung. Diese Kapazität kann später nicht mehr geändert werden. Die maximale Kapazität die Sie für eine Adressgruppe konfigurieren können, hängt vom Produkt ab. mit der Sie die Adressgruppe verwenden.

  • Sie müssen beim Erstellen einer Adressgruppe die Kapazität und den Typ angeben. In Wenn Sie Google Cloud Armor verwenden, müssen Sie außerdem die purpose auf CLOUD_ARMOR.

  • Wenn Sie eine Adressgruppe mit einem Zweck erstellen, der nicht CLOUD_ARMOR ist,hat die Adressgruppe eine maximale Kapazität von 1.000 IP-Adressen.

Arten von Adressgruppen

Adressgruppen werden anhand ihres Geltungsbereichs klassifiziert. Der Bereich gibt die Ebene an, auf der die Adressgruppe in der Ressourcenhierarchie gilt. Adressgruppen sind in folgende Typen unterteilt:

Eine Adressgruppe kann entweder projekt- oder organisationsbezogen sein, beides.

Projektbezogene Adressgruppen

Verwenden Sie projektbezogene Adressgruppen, wenn Sie Ihre eigene Liste von IP-Adressen definieren möchten die in einem Projekt oder Netzwerk verwendet werden sollen, ändern können. Wenn Sie zum Beispiel Ihre eigene Bedrohung und einer Regel hinzufügen, erstellen Sie eine Adressgruppe mit der erforderlichen IP-Adressen an.

Der Containertyp für projektbezogene Adressgruppen ist immer auf project festgelegt. Weitere Informationen zum Erstellen und Ändern projektbezogene Adressgruppen finden Sie unter Adressgruppen konfigurieren.

Adressgruppen auf Organisationsebene

Google Cloud Armor unterstützt keine organisationsbezogenen Adressgruppen.

Funktionsweise von Adressgruppen mit Sicherheitsrichtlinien

Adressgruppen vereinfachen die Konfiguration und Verwaltung von Sicherheitsrichtlinien da Sie jede Liste von IP-Adressen über mehrere Sicherheitsrichtlinien hinweg freigeben können. Beachten Sie beim Verwenden von Adressgruppen die folgenden zusätzlichen Spezifikationen mit Sicherheitsrichtlinien:

  • Adressgruppen sind nur für globalen Geltungsbereich verfügbar Back-End-Sicherheitsrichtlinien
  • Die Kapazität einer Adressgruppe wird zur Gesamtzahl der Attribute von Die Sicherheitsrichtlinie, in der die Adressgruppe verwendet wird. Achten Sie darauf, auf einen für Ihren Anwendungsfall geeigneten Wert erhöhen.
  • Damit Sie Adressgruppen verwenden können, muss Ihr Projekt bei Cloud Armor Enterprise Bei einem Downgrade auf die Standardabrechnung kann keine neuen Adressgruppen erstellen oder vorhandene Adressgruppen ansehen oder ändern. Sie können auch keine Regeln erstellen, die auf eine vorhandene Adressgruppe verweisen. die auf Adressgruppen verweisen. Das bedeutet, dass sie immer noch aktiv, aber die einzige Aktion, die Sie dafür ausführen können, ist delete.

Wir empfehlen Ihnen, sich die Kontingente anzusehen, und Beschränkungen für Adressgruppen.

Beispiel

Angenommen, Sie haben eine Netzwerkkonfiguration mit drei Back-Ends. Dienste mit jeweils einer Sicherheitsrichtlinie. Außerdem haben Sie eine Liste von IP-Adressen, von denen Sie wissen, dass sie schädlich sind. Wenn Sie eine deny-Regel in können Sie eine Adressgruppe erstellen und diese mit allen drei die IP-Adressen der einzelnen Sicherheitsrichtlinien zu verwenden, . Wenn Sie dann eine neue Sicherheitsrichtlinie erstellen, können Sie immer die um neue Regeln zu erstellen.

Nächste Schritte