Diese Seite wurde von der Cloud Translation API übersetzt.

Adressgruppen – Übersicht

Eine Adressgruppe enthält mehrere IP-Adressen, IP-Adressbereiche im CIDR-Format oder beides. Jede Adressgruppe kann von mehreren Ressourcen verwendet werden, z. B. Regeln in Cloud NGFW-Firewallrichtlinien oder Regeln in Google Cloud Armor-Sicherheitsrichtlinien.

Aktualisierungen einer Adressgruppe werden automatisch an die Ressourcen weitergegeben, die auf die Adressgruppe verweisen. Sie können beispielsweise eine Adressgruppe erstellen, die eine Reihe vertrauenswürdiger IP-Adressen enthält. Wenn Sie den Satz vertrauenswürdiger IP-Adressen ändern möchten, aktualisieren Sie die Adressgruppe. Die Aktualisierungen der Adressgruppe werden automatisch in jeder zugehörigen Ressource übernommen.

Spezifikationen

Ressourcen für Adressgruppen haben folgende Eigenschaften:

Jede Adressgruppe wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:
- Containertyp: Bestimmt den Adressgruppentyp: organization oder project.
- Container-ID: ID der Organisation oder des Projekts.
- Standort: Gibt an, ob die Adressengruppe eine global oder eine regionale Ressource ist (z. B. europe-west).
- Name:Name der Adressgruppe im folgenden Format:
  - Ein String mit 1 bis 63 Zeichen
  - Enthält nur alphanumerische Zeichen
  - Darf nicht mit einer Ziffer beginnen
Sie können eine eindeutige URL-ID für eine Adressgruppe im folgenden Format erstellen:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Eine global-Adressgruppe example-address-group im Projekt myproject hat beispielsweise die folgende eindeutige Viererkombination:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
Jede Adressgruppe hat einen zugewiesenen Typ, der entweder IPv4 oder IPv6 sein kann, aber nicht beides. Der Adressgruppentyp kann später nicht mehr geändert werden.
Jede IP-Adresse oder jeder IP-Bereich in einer Adressgruppe wird als Element bezeichnet. Die Anzahl der Elemente, die Sie einer Adressgruppe hinzufügen können, hängt von der Kapazität der Adressgruppe ab. Sie können die Elementkapazität beim Erstellen der Adressgruppe definieren. Diese Kapazität kann später nicht mehr geändert werden. Die maximale Kapazität, die Sie für eine Adressgruppe konfigurieren können, hängt vom Produkt ab, mit dem Sie die Adressgruppe verwenden.
Sie müssen die Kapazität und den Typ angeben, wenn Sie eine Adressgruppe erstellen. Wenn Sie Google Cloud Armor verwenden, müssen Sie außerdem das Feld purpose auf CLOUD_ARMOR festlegen.
Wenn Sie eine Adressgruppe mit einem Zweck erstellen, der nicht CLOUD_ARMOR ist,hat die Adressgruppe eine maximale Kapazität von 1.000 IP-Adressen.

Arten von Adressgruppen

Adressgruppen werden nach ihrem Umfang klassifiziert. Der Bereich gibt die Ebene an, auf der die Adressgruppe in der Ressourcenhierarchie gilt. Adressgruppen werden in die folgenden Typen unterteilt:

Projektbezogene Adressgruppen
Adressgruppen auf Organisationsebene

Eine Adressgruppe kann entweder auf Projekt- oder auf Organisationsebene festgelegt werden, aber nicht auf beiden Ebenen.

Projektbezogene Adressgruppen

Verwenden Sie projektweite Adressgruppen, wenn Sie eine eigene Liste von IP-Adressen für ein Projekt oder ein Netzwerk definieren möchten, um eine Liste von sich ändernden IP-Adressen zu blockieren oder zuzulassen. Wenn Sie beispielsweise eine eigene Liste mit Informationen zur Bedrohungslage definieren und einer Regel hinzufügen möchten, erstellen Sie eine Adressgruppe mit den erforderlichen IP-Adressen.

Der Containertyp für projektbezogene Adressgruppen ist immer auf project festgelegt. Weitere Informationen zum Erstellen und Ändern von Adressgruppen auf Projektebene finden Sie unter Adressgruppen konfigurieren.

Adressgruppen auf Organisationsebene

Google Cloud Armor unterstützt keine Adressgruppen auf Organisationsebene.

Funktionsweise von Adressgruppen in Verbindung mit Sicherheitsrichtlinien

Adressgruppen vereinfachen die Konfiguration und Verwaltung von Sicherheitsrichtlinien, da Sie jede Liste von IP-Adressen für viele Sicherheitsrichtlinien freigeben können. Beachten Sie die folgenden zusätzlichen Spezifikationen, wenn Sie Adressgruppen mit Sicherheitsrichtlinien verwenden:

Adressgruppen sind nur für global geltende Backend-Sicherheitsrichtlinien verfügbar.
Die Kapazität einer Adressgruppe wird der Gesamtzahl der Attribute der Sicherheitsrichtlinie hinzugefügt, in der die Adressgruppe verwendet wird. Achten Sie darauf, die Kapazität auf einen geeigneten Wert für Ihren Anwendungsfall festzulegen.
Damit Sie Adressgruppen verwenden können, muss Ihr Projekt für Cloud Armor Enterprise registriert sein. Wenn Sie zur Standardabrechnung wechseln, können Sie keine neuen Adressgruppen erstellen oder vorhandene Adressgruppen ändern. Außerdem können Sie keine Regeln erstellen, die auf eine vorhandene Adressgruppe verweisen. Ihre Sicherheitsrichtlinien, die auf Adressgruppen verweisen, werden eingefroren. Das bedeutet, dass sie weiterhin aktiv sind, Sie sie aber erst ändern können, wenn Sie alle Regeln gelöscht haben, die auf eine Adressengruppe verweisen.

Wir empfehlen Ihnen, sich die Kontingente und Limits für Adressgruppen anzusehen.

Beispiel

Angenommen, Sie haben eine Netzwerkkonfiguration mit drei Backend-Diensten, die jeweils eine Sicherheitsrichtlinie haben. Außerdem haben Sie eine Liste mit IP-Adressen, von denen Sie wissen, dass sie schädlich sind. Wenn Sie in jeder Sicherheitsrichtlinie eine deny-Regel erstellen, können Sie eine Adressgruppe erstellen und mit allen drei Sicherheitsrichtlinien verwenden, anstatt jeder Sicherheitsrichtlinie die Liste der IP-Adressen hinzuzufügen. Wenn Sie dann eine neue Sicherheitsrichtlinie erstellen, können Sie die Adressgruppe wieder verwenden, um neue Regeln zu erstellen.

Nächste Schritte

Adressgruppen konfigurieren