Eine Adressgruppe enthält mehrere IP-Adressen, IP-Adressbereiche im CIDR-Format oder beides. Jede Adressgruppe kann von mehreren Ressourcen verwendet werden, z. B. Regeln in Cloud NGFW-Firewallrichtlinien oder Regeln in Google Cloud Armor-Sicherheitsrichtlinien.
Aktualisierungen einer Adressgruppe werden automatisch an die Ressourcen weitergegeben, die auf die Adressgruppe verweisen. Sie können beispielsweise eine Adressgruppe erstellen, die eine Reihe vertrauenswürdiger IP-Adressen enthält. Wenn Sie den Satz vertrauenswürdiger IP-Adressen ändern möchten, aktualisieren Sie die Adressgruppe. Die Aktualisierungen der Adressgruppe werden automatisch in jeder zugehörigen Ressource übernommen.
Spezifikationen
Adressgruppenressourcen haben folgende Eigenschaften:
- Jede Adressgruppe ist eindeutig durch eine URL mit
die folgenden Elemente:
<ph type="x-smartling-placeholder">
- </ph>
- Containertyp: Hier wird der Typ der Adressgruppe festgelegt:
organization
oderproject
. - Container-ID: ID der Organisation oder des Projekts.
- Standort: Gibt an, ob die Adressengruppe eine
global
oder eine regionale Ressource ist (z. B.europe-west
). - Name:Der Name der Adressgruppe im folgenden Format:
<ph type="x-smartling-placeholder">
- </ph>
- Ein String mit 1 bis 63 Zeichen
- Enthält nur alphanumerische Zeichen
- Darf nicht mit einer Ziffer beginnen
- Containertyp: Hier wird der Typ der Adressgruppe festgelegt:
Sie können eine eindeutige URL-Kennung für eine Adressgruppe in der folgendes Format:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
Beispiel: eine
global
-Adressgruppeexample-address-group
im Projektmyproject
hat die folgende eindeutige 4-Tupel-Kennung:projects/myproject/locations/global/addressGroups/example-address-group
Jeder Adressgruppe ist ein Typ zugeordnet, der IPv4 oder IPv6 sein kann. aber nicht beides. Der Adressgruppentyp kann später nicht mehr geändert werden.
Alle IP-Adressen und IP-Bereiche in einer Adressgruppe werden als Element bezeichnet. Die Anzahl der Elemente, die Sie einer Adressgruppe hinzufügen können, hängt vom die Kapazität der Adressgruppe. Sie können die Artikelkapazität während der Adresse festlegen Gruppenerstellung. Diese Kapazität kann später nicht mehr geändert werden. Die maximale Kapazität die Sie für eine Adressgruppe konfigurieren können, hängt vom Produkt ab. mit der Sie die Adressgruppe verwenden.
Sie müssen beim Erstellen einer Adressgruppe die Kapazität und den Typ angeben. In Wenn Sie Google Cloud Armor verwenden, müssen Sie außerdem die
purpose
aufCLOUD_ARMOR
.Wenn Sie eine Adressgruppe mit einem Zweck erstellen, der nicht
CLOUD_ARMOR
ist,hat die Adressgruppe eine maximale Kapazität von 1.000 IP-Adressen.
Arten von Adressgruppen
Adressgruppen werden anhand ihres Geltungsbereichs klassifiziert. Der Bereich gibt die Ebene an, auf der die Adressgruppe in der Ressourcenhierarchie gilt. Adressgruppen sind in folgende Typen unterteilt:
Eine Adressgruppe kann entweder projekt- oder organisationsbezogen sein, beides.
Projektbezogene Adressgruppen
Verwenden Sie projektbezogene Adressgruppen, wenn Sie Ihre eigene Liste von IP-Adressen definieren möchten die in einem Projekt oder Netzwerk verwendet werden sollen, ändern können. Wenn Sie zum Beispiel Ihre eigene Bedrohung und einer Regel hinzufügen, erstellen Sie eine Adressgruppe mit der erforderlichen IP-Adressen an.
Der Containertyp für projektbezogene Adressgruppen ist immer aufproject
festgelegt. Weitere Informationen zum Erstellen und Ändern
projektbezogene Adressgruppen finden Sie unter Adressgruppen konfigurieren.
Adressgruppen auf Organisationsebene
Google Cloud Armor unterstützt keine organisationsbezogenen Adressgruppen.Funktionsweise von Adressgruppen mit Sicherheitsrichtlinien
Adressgruppen vereinfachen die Konfiguration und Verwaltung von Sicherheitsrichtlinien da Sie jede Liste von IP-Adressen über mehrere Sicherheitsrichtlinien hinweg freigeben können. Beachten Sie beim Verwenden von Adressgruppen die folgenden zusätzlichen Spezifikationen mit Sicherheitsrichtlinien:
- Adressgruppen sind nur für globalen Geltungsbereich verfügbar Back-End-Sicherheitsrichtlinien
- Die Kapazität einer Adressgruppe wird zur Gesamtzahl der Attribute von Die Sicherheitsrichtlinie, in der die Adressgruppe verwendet wird. Achten Sie darauf, auf einen für Ihren Anwendungsfall geeigneten Wert erhöhen.
- Damit Sie Adressgruppen verwenden können, muss Ihr Projekt bei
Cloud Armor Enterprise
Bei einem Downgrade auf die Standardabrechnung
kann keine neuen Adressgruppen erstellen oder vorhandene Adressgruppen ansehen oder ändern.
Sie können auch keine Regeln erstellen, die auf eine vorhandene Adressgruppe verweisen.
die auf Adressgruppen verweisen. Das bedeutet, dass sie immer noch
aktiv, aber die einzige Aktion, die Sie dafür ausführen können, ist
delete
.
Wir empfehlen Ihnen, sich die Kontingente anzusehen, und Beschränkungen für Adressgruppen.
Beispiel
Angenommen, Sie haben eine Netzwerkkonfiguration mit drei Back-Ends.
Dienste mit jeweils einer Sicherheitsrichtlinie. Außerdem haben Sie eine Liste
von IP-Adressen, von denen Sie wissen, dass sie schädlich sind. Wenn Sie eine deny
-Regel in
können Sie eine Adressgruppe erstellen und diese mit allen drei
die IP-Adressen der einzelnen Sicherheitsrichtlinien zu verwenden,
. Wenn Sie dann eine neue Sicherheitsrichtlinie erstellen, können Sie immer die
um neue Regeln zu erstellen.