Panoramica dei gruppi di indirizzi

Un gruppo di indirizzi contiene più indirizzi IP, intervalli di indirizzi IP in CIDR di testo o entrambi. Ogni gruppo di indirizzi può essere utilizzato da più risorse, ad esempio le regole nei criteri di firewall di Cloud NGFW o le regole nei criteri di sicurezza di Google Cloud Armor.

Gli aggiornamenti a un gruppo di indirizzi vengono propagati automaticamente alle risorse fare riferimento al gruppo di indirizzi. Ad esempio, puoi creare un gruppo di indirizzi contenente un insieme di indirizzi IP attendibili. Per modificare l'insieme di indirizzi IP attendibili, aggiorna il gruppo di indirizzi. Gli aggiornamenti al gruppo di indirizzi vengono riportati automaticamente in ogni risorsa associata.

Specifiche

Le risorse del gruppo di indirizzi hanno le seguenti caratteristiche:

  • Ogni gruppo di indirizzi è identificato in modo univoco da un URL con i seguenti elementi:
    • Tipo di contenitore: determina il tipo di gruppo di indirizzi: organization o project.
    • ID contenitore: ID dell'organizzazione o del progetto.
    • Posizione: specifica se il gruppo di indirizzi è una risorsa global o regionale (ad esempio europe-west).
    • Nome: il nome del gruppo di indirizzi nel seguente formato:
      • Una stringa di lunghezza compresa tra 1 e 63 caratteri
      • Include solo caratteri alfanumerici
      • Non può iniziare con un numero
  • Puoi creare un identificatore URL univoco per un gruppo di indirizzi nel seguente formato:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
    

    Ad esempio, un gruppo di indirizzi globalexample-address-group nel progetto myprojectha il seguente identificatore univoco a 4 tuple:

    projects/myproject/locations/global/addressGroups/example-address-group
    
  • A ogni gruppo di indirizzi è associato un tipo che può essere IPv4 o IPv6, ma non entrambi. Il tipo di gruppo di indirizzi non può essere modificato in un secondo momento.

  • Ogni indirizzo IP o intervallo IP in un gruppo di indirizzi è definito elemento. Il numero di elementi che puoi aggiungere a un gruppo di indirizzi dipende dalla del gruppo di indirizzi. Puoi definire la capacità dell'articolo durante la creazione del gruppo di indirizzi. Questa capacità non può essere modificata in un secondo momento. La capacità massima che puoi configurare per un gruppo di indirizzi, varia in base al prodotto con cui utilizzi il gruppo di indirizzi.

  • Devi specificare la capacità e il tipo quando crei un gruppo di indirizzi. Inoltre, quando utilizzi Google Cloud Armor, devi impostare il campo purpose su CLOUD_ARMOR.

  • Quando crei un gruppo di indirizzi con uno scopo diverso da CLOUD_ARMOR, il gruppo di indirizzi ha una capacità massima di 1000 indirizzi IP.

Tipi di gruppi di indirizzi

I gruppi di indirizzi sono classificati in base al loro ambito. L'ambito identifica il livello a cui il gruppo di indirizzi è applicabile nella gerarchia delle risorse. I gruppi di indirizzi sono classificati nei seguenti tipi:

Un gruppo di indirizzi può essere a livello di progetto o organizzazione, ma non entrambi.

Gruppi di indirizzi con ambito a livello di progetto

Utilizza i gruppi di indirizzi basati sul progetto quando vuoi definire il tuo elenco di indirizzi IP da utilizzare all'interno di un progetto o di una rete per bloccare o consentire un elenco di indirizzi IP in evoluzione. Ad esempio, se vuoi definire il tuo elenco di informazioni sulla minaccia e aggiungerlo a una regola, crea un gruppo di indirizzi con gli indirizzi IP richiesti.

Il tipo di container per i gruppi di indirizzi con ambito a livello di progetto è sempre impostato su project. Per ulteriori informazioni su come creare e modificare i gruppi di indirizzi basati sul progetto, consulta Configurare i gruppi di indirizzi.

Gruppi di indirizzi con ambito a livello di organizzazione

Google Cloud Armor non supporta i gruppi di indirizzi con ambito a livello di organizzazione.

Come funzionano i gruppi di indirizzi con i criteri di sicurezza

I gruppi di indirizzi semplificano la configurazione e la manutenzione dei criteri di sicurezza perché puoi condividere ogni elenco di indirizzi IP in molti criteri di sicurezza. Tieni presenti le seguenti specifiche aggiuntive quando utilizzi i gruppi di indirizzi con i criteri di sicurezza:

  • I gruppi di indirizzi sono disponibili solo per i criteri di sicurezza di backend a livello globale.
  • La capacità di un gruppo di indirizzi viene aggiunta al conteggio totale degli attributi del criterio di sicurezza in cui viene utilizzato il gruppo di indirizzi. Assicurati di aver impostato la capacità a un valore appropriato in base al caso d'uso.
  • Per utilizzare i gruppi di indirizzi, il progetto deve essere registrato in Cloud Armor Enterprise. Se esegui il downgrade alla fatturazione standard, non puoi creare nuovi gruppi di indirizzi o visualizzare o modificare quelli esistenti. Inoltre, non puoi creare regole che fanno riferimento a un gruppo di indirizzi esistente e le regole che fanno riferimento a gruppi di indirizzi vengono bloccate. Ciò significa che sono ancora attivi, ma l'unica azione che puoi eseguire è delete.

Ti consigliamo di visualizzare le quote e i limiti per i gruppi di indirizzi.

Esempio

Immagina di avere una configurazione di rete in cui sono presenti tre ciascuno dei quali ha un criterio di sicurezza. Inoltre, hai un elenco di indirizzi IP che sai essere dannosi. Quando crei una regola deny in ogni criterio di sicurezza, puoi creare un gruppo di indirizzi e utilizzarlo con tutti e tre i criteri di sicurezza anziché aggiungere l'elenco di indirizzi IP a ogni criterio di sicurezza. Ogni volta che crei un nuovo criterio di sicurezza, puoi utilizzare nuovamente il gruppo di indirizzi per creare nuove regole.

Passaggi successivi