Un groupe d'adresses contient plusieurs adresses IP, plusieurs plages d'adresses IP au format CIDR, ou les deux. Chaque groupe d'adresses peut être utilisé par plusieurs ressources, telles que les règles des stratégies de pare-feu Cloud NGFW ou les règles des stratégies de sécurité Google Cloud Armor.
Les modifications apportées à un groupe d'adresses sont automatiquement propagées aux ressources qui font référence à ce groupe. Par exemple, vous pouvez créer un groupe d'adresses contenant un ensemble d'adresses IP approuvées. Pour modifier l'ensemble des adresses IP approuvées, vous devez mettre à jour le groupe d'adresses. Vos modifications apportées au groupe d'adresses sont automatiquement répercutées dans chaque ressource associée.
Spécifications
Les ressources des groupes d'adresses présentent les caractéristiques suivantes :
- Chaque groupe d'adresses est identifié de manière unique par une URL comprenant les éléments suivants :
- Type de conteneur : détermine le type de groupe d'adresses (
organization
ouproject
). - ID du conteneur : ID de l'organisation ou du projet.
- Emplacement : indique si le groupe d'adresses est une ressource
global
ou régionale (par exempleeurope-west
). - Nom : nom du groupe d'adresses au format suivant :
- Chaîne de 1 à 63 caractères.
- Ne comprend que des caractères alphanumériques.
- Ne doit pas commencer par un chiffre.
- Type de conteneur : détermine le type de groupe d'adresses (
Vous pouvez créer un identifiant d'URL unique pour un groupe d'adresses au format suivant :
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
Par exemple, un groupe d'adresses
global
example-address-group
dans le projetmyproject
possède l'identifiant unique à quatre tuples suivant :projects/myproject/locations/global/addressGroups/example-address-group
Chaque groupe d'adresses est associé à un type dont la valeur peut être IPv4 ou IPv6, mais pas les deux. Le type de groupe d'adresses ne peut pas être modifié ultérieurement.
Chaque adresse IP ou plage d'adresses IP d'un groupe d'adresses est appelée élément. Le nombre d'éléments que vous pouvez ajouter à un groupe d'adresses dépend de la capacité de celui-ci. Vous pouvez définir la capacité en éléments lors de la création du groupe d'adresses. Vous ne pourrez pas modifier cette capacité par la suite. La capacité maximale que vous pouvez configurer pour un groupe d'adresses varie en fonction du produit avec lequel vous utilisez le groupe d'adresses.
Vous devez spécifier la capacité et le type lorsque vous créez un groupe d'adresses. De plus, lorsque vous utilisez Google Cloud Armor, vous devez définir le champ
purpose
surCLOUD_ARMOR
.Lorsque vous créez un groupe d'adresses dont l'usage n'est pas
CLOUD_ARMOR
, sa capacité maximale est de 1 000 adresses IP.
Types de groupes d'adresses
Les groupes d'adresses sont classés en fonction de leur champ d'application. Le champ d'application identifie le niveau auquel le groupe d'adresses s'applique dans la hiérarchie des ressources. Les groupes d'adresses sont classés selon les types suivants :
Un groupe d'adresses peut être au niveau du projet ou au niveau de l'organisation, mais pas les deux.
Groupes d'adresses au niveau du projet
Utilisez des groupes d'adresses au niveau du projet lorsque vous souhaitez définir votre propre liste d'adresses IP à utiliser dans un projet ou un réseau afin de bloquer ou d'autoriser une liste d'adresses IP qui sont susceptibles de changer. Par exemple, si vous souhaitez définir votre propre liste de renseignements sur les menaces et l'ajouter à une règle, créez un groupe d'adresses avec les adresses IP requises.
Le type de conteneur des groupes d'adresses au niveau du projet est toujours défini surproject
. Pour en savoir plus sur
la façon de créer et de modifier
groupes d'adresses à l'échelle du projet, consultez la section Configurer des groupes d'adresses.
Groupes d'adresses au niveau de l'organisation
Google Cloud Armor n'est pas compatible avec les groupes d'adresses à l'échelle de l'organisation.Fonctionnement des groupes d'adresses avec les règles de sécurité
Les groupes d'adresses simplifient la configuration et la maintenance des stratégies de sécurité, car vous pouvez partager chaque liste d'adresses IP dans de nombreuses stratégies de sécurité. Tenez compte des spécifications supplémentaires suivantes lorsque vous utilisez des groupes d'adresses avec les règles de sécurité:
- Les groupes d'adresses ne sont disponibles que pour les règles de sécurité de backend de portée globale.
- La capacité d'un groupe d'adresses est ajoutée au nombre total d'attributs la stratégie de sécurité où le groupe d'adresses est utilisé. Assurez-vous de définir la capacité sur une valeur appropriée en fonction de votre cas d'utilisation.
- Pour que vous puissiez utiliser des groupes d'adresses, votre projet doit être enregistré dans
Cloud Armor Enterprise :
Si vous revenez à la facturation standard,
ne peut pas créer de groupes d'adresses, ni afficher ou modifier les groupes d'adresses existants.
Vous ne pouvez pas non plus créer de règles faisant référence à un groupe d'adresses existant, et votre
qui font référence à des groupes d'adresses. Cela signifie qu'ils sont toujours actifs, mais que la seule action que vous pouvez effectuer sur eux est
delete
.
Nous vous recommandons de consulter les quotas et des limites pour les groupes d'adresses.
Exemple
Imaginez que vous disposiez d'une configuration réseau dans laquelle vous avez trois services de backend, chacun disposant d'une stratégie de sécurité. De plus, vous avez
une liste
d'adresses IP dont vous savez
être malveillantes. Lorsque vous créez une règle deny
dans
chaque stratégie de sécurité, vous pouvez créer un groupe d'adresses et l'utiliser avec les trois
des stratégies de sécurité au lieu d'ajouter la liste des adresses IP à chaque
. Ensuite, chaque fois que vous créez une stratégie de sécurité, vous pouvez utiliser
pour créer de nouvelles règles.