Ringkasan grup alamat

Grup alamat berisi beberapa alamat IP, rentang alamat IP dalam CIDR format file, atau keduanya. Setiap grup alamat dapat digunakan oleh beberapa resource, seperti aturan di kebijakan firewall atau aturan Cloud NGFW di Kebijakan keamanan Google Cloud Armor.

Pembaruan pada grup alamat akan otomatis disebarkan ke resource yang ke grup alamat. Misalnya, Anda dapat membuat grup alamat yang berisi kumpulan alamat IP tepercaya. Untuk mengubah kumpulan IP tepercaya Anda dapat memperbarui grup alamat. Pembaruan Anda pada grup alamat tercermin dalam setiap sumber daya yang terkait secara otomatis.

Spesifikasi

Resource grup alamat memiliki karakteristik berikut:

  • Setiap grup alamat diidentifikasi secara unik oleh URL dengan elemen berikut:
    • Jenis penampung: Menentukan jenis grup alamat—organization atau project.
    • ID Penampung: ID organisasi atau project.
    • Lokasi: Menentukan apakah grup alamat adalah global atau resource regional (seperti europe-west).
    • Nama: Nama grup alamat dengan format berikut:
      • String dengan panjang 1-63 karakter
      • Hanya menyertakan karakter alfanumerik
      • Tidak boleh diawali dengan angka

  • Anda dapat membuat ID URL unik untuk grup alamat di format berikut:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>

    Misalnya, global grup alamat example-address-group dalam project myprojectmemiliki ID 4 tuple unik berikut:

    projects/myproject/locations/global/addressGroups/example-address-group

  • Setiap grup alamat memiliki tipe terkait yang bisa berupa IPv4 atau IPv6, tetapi tidak keduanya. Jenis grup alamat tidak dapat diubah nanti.

  • Setiap alamat IP atau rentang IP dalam grup alamat disebut sebagai item. Jumlah item yang dapat Anda tambahkan ke grup alamat bergantung pada kapasitas grup alamat. Anda dapat menentukan kapasitas item selama pemberian alamat pembuatan grup. Kapasitas ini tidak dapat diubah nanti. Kapasitas maksimum yang dapat dikonfigurasi untuk grup alamat akan bervariasi tergantung pada produk, yang Anda gunakan untuk menggunakan grup alamat.

  • Anda harus menentukan kapasitas dan jenisnya saat membuat grup alamat. Di beberapa Selain itu, saat menggunakan Google Cloud Armor, Anda harus menyetel purpose ke CLOUD_ARMOR.

  • Saat Anda membuat grup alamat dengan tujuan yang bukan CLOUD_ARMOR, grup alamat memiliki kapasitas maksimum 1.000 IP untuk alamat internal dan eksternal.

Jenis grup alamat

Grup alamat diklasifikasikan berdasarkan cakupannya. Cakupan mengidentifikasi tingkat tempat grup alamat dapat diterapkan di hierarki resource Anda. Grup alamat dikategorikan ke dalam jenis berikut:

Grup alamat dapat berupa cakupan project atau cakupan organisasi, tetapi tidak dapat keduanya.

Grup alamat cakupan project

Gunakan grup alamat cakupan project saat Anda ingin menentukan daftar IP Anda sendiri yang akan digunakan dalam proyek atau jaringan untuk memblokir atau mengizinkan mengubah alamat IP. Misalnya, jika Anda ingin mendefinisikan ancaman Anda sendiri. dan menambahkannya ke aturan, buat grup alamat dengan alamat IP yang diperlukan.

Jenis container untuk grup alamat cakupan project adalah selalu ditetapkan ke project. Untuk informasi selengkapnya tentang cara membuat dan memodifikasi grup alamat cakupan project, lihat Mengonfigurasi grup alamat.

Grup alamat cakupan organisasi

Google Cloud Armor tidak mendukung grup alamat cakupan organisasi.

Cara kerja grup alamat dengan kebijakan keamanan

Grup alamat menyederhanakan konfigurasi dan pemeliharaan kebijakan keamanan karena Anda dapat membagikan setiap daftar alamat IP di banyak kebijakan keamanan. Pertimbangkan spesifikasi tambahan berikut saat Anda menggunakan grup alamat dengan kebijakan keamanan:

  • Grup alamat hanya tersedia untuk cakupan global kebijakan keamanan backend.
  • Kapasitas grup alamat ditambahkan ke total jumlah atribut kebijakan keamanan di mana grup alamat digunakan. Pastikan Anda mengatur kapasitas ke nilai yang sesuai berdasarkan kasus penggunaan Anda.
  • Untuk menggunakan grup alamat, project Anda harus terdaftar di Cloud Armor Enterprise. Jika menurunkan versi ke penagihan standar, Anda tidak dapat membuat grup alamat baru atau melihat maupun mengubah grup alamat yang ada. Anda juga tidak dapat membuat aturan yang merujuk ke grup alamat yang ada, dan aturan yang merujuk pada grup alamat akan dibekukan. Ini berarti bahwa mereka masih aktif, tetapi satu-satunya tindakan yang dapat Anda lakukan pada tab tersebut adalah delete.

Sebaiknya Anda melihat kuota dan batas untuk grup alamat.

Contoh

Bayangkan Anda memiliki konfigurasi jaringan di mana Anda memiliki tiga backend layanan, yang masing-masing memiliki satu kebijakan keamanan. Selain itu, Anda memiliki daftar alamat IP yang Anda tahu berbahaya. Saat Anda membuat aturan deny di setiap kebijakan keamanan, Anda dapat membuat satu grup alamat dan menggunakannya dengan ketiga kebijakan keamanan, alih-alih menambahkan daftar alamat IP ke setiap keamanan, lebih lanjut. Kemudian, setiap kali membuat kebijakan keamanan baru, Anda dapat menggunakan grup alamat lagi untuk membuat aturan baru.

Langkah selanjutnya