Ringkasan grup alamat

Grup alamat berisi beberapa alamat IP, rentang alamat IP dalam format CIDR, atau keduanya. Setiap grup alamat dapat digunakan oleh beberapa resource, seperti aturan dalam kebijakan firewall Cloud NGFW atau aturan dalam kebijakan keamanan Google Cloud Armor.

Pembaruan pada grup alamat akan otomatis diterapkan ke resource yang mereferensikan grup alamat. Misalnya, Anda dapat membuat grup alamat yang berisi kumpulan alamat IP tepercaya. Untuk mengubah kumpulan alamat IP yang tepercaya, Anda memperbarui grup alamat. Pembaruan Anda pada grup alamat akan otomatis ditampilkan di setiap resource terkait.

Spesifikasi

Resource grup alamat memiliki karakteristik berikut:

  • Setiap grup alamat diidentifikasi secara unik oleh URL dengan elemen berikut:
    • Jenis penampung: Menentukan jenis grup alamat—organization atau project.
    • Container ID: ID organisasi atau project.
    • Lokasi: Menentukan apakah grup alamat adalah global atau resource regional (seperti europe-west).
    • Nama: Nama grup alamat dengan format berikut:
      • String dengan panjang 1-63 karakter
      • Hanya berisi karakter alfanumerik
      • Tidak boleh diawali dengan angka

  • Anda dapat membuat ID URL unik untuk grup alamat dalam format berikut:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>

    Misalnya, grup alamat global example-address-group dalam project myproject memiliki ID 4-tuple unik berikut:

    projects/myproject/locations/global/addressGroups/example-address-group

  • Setiap grup alamat memiliki jenis terkait yang dapat berupa IPv4 atau IPv6, tetapi tidak keduanya. Jenis grup alamat tidak dapat diubah nanti.

  • Setiap alamat IP atau rentang IP dalam grup alamat disebut sebagai item. Jumlah item yang dapat Anda tambahkan ke grup alamat bergantung pada kapasitas grup alamat. Anda dapat menentukan kapasitas item selama pembuatan grup alamat. Kapasitas ini tidak dapat diubah nanti. Kapasitas maksimum yang dapat Anda konfigurasikan untuk grup alamat bervariasi bergantung pada produk yang Anda gunakan untuk grup alamat.

  • Anda harus menentukan kapasitas dan jenis saat membuat grup alamat. Selain itu, saat menggunakan Google Cloud Armor, Anda harus menetapkan kolom purpose ke CLOUD_ARMOR.

  • Saat Anda membuat grup alamat dengan tujuan yang bukan CLOUD_ARMOR, grup alamat memiliki kapasitas maksimum 1.000 alamat IP.

Jenis grup alamat

Grup alamat diklasifikasikan berdasarkan cakupannya. Cakupan mengidentifikasi tingkat yang berlaku untuk grup alamat dalam hierarki resource. Grup alamat dikategorikan ke dalam jenis berikut:

Grup alamat dapat memiliki cakupan project atau organisasi, tetapi tidak keduanya.

Grup alamat cakupan project

Gunakan grup alamat cakupan project jika Anda ingin menentukan daftar alamat IP Anda sendiri yang akan digunakan dalam project atau jaringan untuk memblokir atau mengizinkan daftar alamat IP yang berubah. Misalnya, jika Anda ingin menentukan daftar intelijen ancaman Anda sendiri dan menambahkannya ke aturan, buat grup alamat dengan alamat IP yang diperlukan.

Jenis penampung untuk grup alamat cakupan project selalu ditetapkan ke project. Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengubah grup alamat cakupan project, lihat Mengonfigurasi grup alamat.

Grup alamat cakupan organisasi

Google Cloud Armor tidak mendukung grup alamat cakupan organisasi.

Cara kerja grup alamat dengan kebijakan keamanan

Grup alamat menyederhanakan konfigurasi dan pemeliharaan kebijakan keamanan karena Anda dapat membagikan setiap daftar alamat IP di banyak kebijakan keamanan. Pertimbangkan spesifikasi tambahan berikut saat Anda menggunakan grup alamat dengan kebijakan keamanan:

  • Grup alamat hanya tersedia untuk kebijakan keamanan backend dengan cakupan global.
  • Kapasitas grup alamat ditambahkan ke total jumlah atribut kebijakan keamanan tempat grup alamat digunakan. Pastikan Anda menetapkan kapasitas ke nilai yang sesuai berdasarkan kasus penggunaan Anda.
  • Untuk menggunakan grup alamat, project Anda harus terdaftar di Cloud Armor Enterprise. Jika mendowngrade ke penagihan standar, Anda tidak dapat membuat grup alamat baru atau mengubah grup alamat yang ada. Anda juga tidak dapat membuat aturan yang mereferensikan grup alamat yang ada, dan kebijakan keamanan Anda yang mereferensikan grup alamat akan dibekukan. Artinya, grup tersebut masih aktif, tetapi Anda tidak dapat mengubahnya hingga menghapus semua aturan yang mereferensikan grup alamat.

Sebaiknya lihat kuota dan batas untuk grup alamat.

Contoh

Bayangkan Anda memiliki konfigurasi jaringan dengan tiga layanan backend, yang masing-masing memiliki satu kebijakan keamanan. Selain itu, Anda memiliki daftar alamat IP yang diketahui berbahaya. Saat membuat aturan deny di setiap kebijakan keamanan, Anda dapat membuat satu grup alamat dan menggunakannya dengan ketiga kebijakan keamanan, bukan menambahkan daftar alamat IP ke setiap kebijakan keamanan. Kemudian, setiap kali membuat kebijakan keamanan baru, Anda dapat menggunakan grup alamat lagi untuk membuat aturan baru.

Langkah selanjutnya