Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan grup alamat

Grup alamat berisi beberapa alamat IP, rentang alamat IP dalam format CIDR, atau keduanya. Setiap grup alamat dapat digunakan oleh beberapa resource, seperti aturan dalam kebijakan firewall Cloud NGFW atau aturan dalam kebijakan keamanan Cloud Armor.

Perubahan pada grup alamat akan otomatis diterapkan ke resource yang mereferensikan grup alamat tersebut. Misalnya, Anda dapat membuat grup alamat yang berisi sekumpulan alamat IP tepercaya. Untuk mengubah kumpulan alamat IP tepercaya, Anda harus memperbarui grup alamat. Perubahan yang Anda lakukan pada grup alamat akan otomatis tercermin di setiap resource terkait.

Spesifikasi

Resource grup alamat memiliki karakteristik berikut:

Setiap grup alamat diidentifikasi secara unik oleh URL dengan elemen berikut:
- Jenis penampung: Menentukan jenis grup alamat—organization atau project.
- ID Container: ID organisasi atau project.
- Lokasi: Menentukan apakah grup alamat adalah resource global atau regional (seperti europe-west).
- Nama: Nama grup alamat dengan format berikut:
  - String sepanjang 1-63 karakter
  - Hanya berisi karakter alfanumerik
  - Tidak boleh diawali dengan angka
Anda dapat membuat ID URL unik untuk grup alamat dalam format berikut:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Misalnya, grup alamat global example-address-group dalam project myprojectmemiliki ID 4-tuple unik berikut:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
Setiap grup alamat memiliki jenis terkait yang dapat berupa IPv4 atau IPv6, tetapi tidak keduanya. Jenis grup alamat tidak dapat diubah nanti.
Setiap alamat IP atau rentang IP dalam grup alamat disebut sebagai item. Jumlah item yang dapat Anda tambahkan ke grup alamat bergantung pada kapasitas grup alamat. Anda dapat menentukan kapasitas item selama pembuatan grup alamat. Kapasitas ini tidak dapat diubah nanti. Kapasitas maksimum yang dapat Anda konfigurasi untuk grup alamat bervariasi bergantung pada produk yang Anda gunakan dengan grup alamat tersebut.
Anda harus menentukan kapasitas dan jenis saat membuat grup alamat. Selain itu, saat menggunakan Cloud Armor, Anda harus menetapkan kolom purpose ke CLOUD_ARMOR.
Saat Anda membuat grup alamat dengan tujuan yang tidak CLOUD_ARMOR, grup alamat memiliki kapasitas maksimum 1.000 alamat IP.

Jenis grup alamat

Grup alamat diklasifikasikan berdasarkan cakupannya. Cakupan mengidentifikasi tingkat penerapan grup alamat dalam hierarki resource. Grup alamat dikategorikan ke dalam jenis berikut:

Grup alamat cakupan project
Grup alamat cakupan organisasi

Grup alamat dapat memiliki cakupan project atau cakupan organisasi, tetapi tidak keduanya.

Grup alamat cakupan project

Gunakan grup alamat cakupan project jika Anda ingin menentukan daftar alamat IP Anda sendiri yang akan digunakan dalam project atau jaringan untuk memblokir atau mengizinkan daftar alamat IP yang berubah. Misalnya, jika Anda ingin menentukan daftar informasi ancaman sendiri dan menambahkannya ke aturan, buat grup alamat dengan alamat IP yang diperlukan.

Jenis penampung untuk grup alamat cakupan project selalu ditetapkan ke project. Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengubah grup alamat yang tercakup dalam project, lihat Menggunakan grup alamat yang tercakup dalam project.

Grup alamat cakupan organisasi

Gunakan grup alamat cakupan organisasi jika Anda ingin menentukan daftar pusat alamat IP yang dapat digunakan dalam aturan tingkat tinggi untuk memberikan kontrol yang konsisten bagi seluruh organisasi dan mengurangi overhead bagi setiap pemilik project dan jaringan untuk mengelola daftar umum, seperti layanan tepercaya dan alamat IP internal.

Jenis penampung untuk grup alamat cakupan organisasi selalu ditetapkan ke organization. Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengubah grup alamat yang tercakup dalam organisasi, lihat Menggunakan grup alamat yang tercakup dalam organisasi.

Cara kerja grup alamat dengan kebijakan keamanan

Grup alamat menyederhanakan konfigurasi dan pemeliharaan kebijakan keamanan karena Anda dapat membagikan setiap daftar alamat IP di berbagai kebijakan keamanan. Pertimbangkan spesifikasi tambahan berikut saat Anda menggunakan grup alamat dengan kebijakan keamanan:

Grup alamat hanya tersedia untuk kebijakan keamanan backend dengan cakupan global.
Grup alamat cakupan organisasi tersedia untuk kebijakan keamanan tingkat layanan dan kebijakan keamanan hierarkis.
Kapasitas grup alamat ditambahkan ke jumlah total atribut kebijakan keamanan tempat grup alamat digunakan. Pastikan Anda menyetel kapasitas ke nilai yang sesuai berdasarkan kasus penggunaan Anda.
Untuk menggunakan grup alamat, project Anda harus terdaftar di Cloud Armor Enterprise. Jika Anda melakukan downgrade ke penagihan standar, Anda tidak dapat membuat grup alamat baru atau mengubah grup alamat yang ada. Anda juga tidak dapat membuat aturan yang mereferensikan grup alamat yang ada, dan kebijakan keamanan yang mereferensikan grup alamat dibekukan. Artinya, aturan tersebut masih aktif, tetapi Anda tidak dapat mengubahnya hingga Anda menghapus semua aturan yang mereferensikan grup alamat.

Sebaiknya lihat kuota dan batas untuk grup alamat.

Selain mengonfigurasi grup alamat cakupan organisasi untuk kebijakan keamanan backend, Anda dapat mengonfigurasi grup alamat cakupan organisasi untuk kebijakan keamanan hierarkis. Anda tidak dapat menggunakan grup alamat cakupan project dalam kebijakan keamanan di luar project tempat grup alamat tersebut berada, tetapi Anda dapat membagikan grup alamat cakupan organisasi dengan kebijakan keamanan di seluruh organisasi Anda. Hal ini membuat grup alamat cakupan organisasi dengan kebijakan keamanan sangat berguna saat Anda menggunakannya dengan kebijakan keamanan hierarkis. Untuk mengetahui informasi selengkapnya tentang kebijakan keamanan hierarkis, lihat Ringkasan kebijakan keamanan hierarkis.

Contoh

Contoh berikut menunjukkan cara Anda dapat menggunakan grup alamat untuk membantu mengonfigurasi kebijakan keamanan:

Bayangkan Anda memiliki konfigurasi jaringan dengan tiga layanan backend, yang masing-masing memiliki satu kebijakan keamanan. Selain itu, Anda memiliki daftar alamat IP yang Anda ketahui berbahaya. Saat membuat aturan deny di setiap kebijakan keamanan, Anda dapat membuat satu grup alamat dan menggunakannya dengan ketiga kebijakan keamanan, bukan menambahkan daftar alamat IP ke setiap kebijakan keamanan. Kemudian, setiap kali Anda membuat kebijakan keamanan baru, Anda dapat menggunakan grup alamat lagi untuk membuat aturan baru.
Bayangkan Anda memiliki organisasi dengan banyak project yang dikelompokkan ke dalam folder, dan Anda memiliki tiga daftar alamat IP yang masing-masing hanya memerlukan akses ke beberapa folder ini. Anda dapat membuat tiga grup alamat cakupan organisasi, satu untuk setiap daftar alamat IP, lalu membuat tiga kebijakan keamanan hierarkis. Anda dapat memberi setiap kebijakan keamanan hierarkis aturan allow yang cocok dengan salah satu dari tiga grup alamat, lalu mengaitkan kebijakan keamanan hierarkis dengan setiap folder yang perlu diakses oleh grup alamat IP yang diizinkan.

Langkah berikutnya

Konfigurasi grup alamat.