주소 그룹에는 여러 IP 주소, CIDR 형식의 IP 주소 범위 또는 둘 다 포함됩니다. 각 주소 그룹은 Cloud NGFW 방화벽 정책의 규칙이나 Google Cloud Armor 보안 정책의 규칙과 같은 여러 리소스에서 사용할 수 있습니다.
주소 그룹에 대한 업데이트는 주소 그룹을 참조하는 리소스에 자동으로 전파됩니다. 예를 들어 신뢰할 수 있는 IP 주소 집합이 포함된 주소 그룹을 만들 수 있습니다. 신뢰할 수 있는 IP 주소 집합을 변경하려면 주소 그룹을 업데이트합니다. 주소 그룹에 대한 업데이트는 연결된 각 리소스에 자동으로 반영됩니다.
사양
주소 그룹 리소스는 다음과 같은 특징을 갖습니다.
- 각 주소 그룹은 다음 요소가 있는 URL로 고유하게 식별됩니다.
- 컨테이너 유형: 주소 그룹 유형(
organization
또는project
)을 결정합니다. - 컨테이너 ID: 조직 또는 프로젝트의 ID입니다.
- 위치: 주소 그룹이
global
인지 또는 리전별 리소스(예:europe-west
)인지 지정합니다. - 이름: 다음 형식의 주소 그룹 이름입니다.
- 1~63자(영문 기준)의 문자열
- 영숫자 문자만 포함
- 숫자로 시작하지 않아야 함
- 컨테이너 유형: 주소 그룹 유형(
다음 형식으로 주소 그룹에 고유한 URL 식별자를 구성할 수 있습니다.
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
예를 들어,
myproject
프로젝트의global
주소 그룹example-address-group
에는 다음과 같은 고유한 4-튜플 식별자가 있습니다.projects/myproject/locations/global/addressGroups/example-address-group
각 주소 그룹에는 IPv4 또는 IPv6인 1개의 연결된 유형이 있을 수 있지만 둘 다 있을 수는 없습니다. 주소 그룹 유형은 나중에 변경할 수 없습니다.
주소 그룹의 각 IP 주소 또는 IP 범위를 항목이라고 합니다. 주소 그룹에 추가할 수 있는 항목 수는 주소 그룹의 용량에 따라 다릅니다. 주소 그룹을 만드는 동안 항목 용량을 정의할 수 있습니다. 이 용량은 나중에 변경할 수 없습니다. 주소 그룹에 구성할 수 있는 최대 용량은 주소 그룹을 사용하는 제품에 따라 달라집니다.
주소 그룹을 만들 때 용량과 유형을 지정해야 합니다. 또한 Google Cloud Armor를 사용하는 경우
purpose
필드를CLOUD_ARMOR
로 설정해야 합니다.CLOUD_ARMOR
가 아닌 용도로 주소 그룹을 만드는 경우 주소 그룹의 최대 IP 주소 용량은 1,000개입니다.
주소 그룹 유형
주소 그룹은 범위에 따라 분류됩니다. 범위는 리소스 계층 구조에서 주소 그룹을 적용할 수 있는 수준을 식별합니다. 주소 그룹은 다음 유형으로 분류됩니다.
주소 그룹은 프로젝트 범위 또는 조직 범위일 수 있지만 둘 다일 수는 없습니다.
프로젝트 범위 주소 그룹
변경되는 IP 주소 목록을 차단하거나 허용하기 위해 프로젝트 또는 네트워크 내에서 사용할 IP 주소 목록을 정의하려는 경우 프로젝트 범위 주소 그룹을 사용합니다. 예를 들어 자체 위협 인텔리전스 목록을 정의하여 규칙에 추가하려면 필요한 IP 주소로 주소 그룹을 만듭니다.
프로젝트 범위 주소 그룹의 컨테이너 유형은 항상project
로 설정됩니다. 프로젝트 범위 주소 그룹을 만들고 수정하는 방법에 대한 자세한 내용은 주소 그룹 구성을 참조하세요.
조직 범위 주소 그룹
Google Cloud Armor는 조직 범위 주소 그룹을 지원하지 않습니다.보안 정책에서 주소 그룹 작동 방식
여러 보안 정책에서 각 IP 주소 목록을 공유할 수 있기 때문에 주소 그룹은 보안 정책의 구성 및 유지보수를 간소화합니다. 보안 정책에 주소 그룹을 사용할 때는 다음 추가 사양을 고려하세요.
- 주소 그룹은 전역 범위 백엔드 보안 정책에만 사용할 수 있습니다.
- 주소 그룹의 용량이 주소 그룹이 사용되는 보안 정책의 총 속성 수에 추가됩니다. 사용 사례에 따라 용량을 적절한 값으로 설정해야 합니다.
- 주소 그룹을 사용하려면 프로젝트가 Cloud Armor Enterprise에 등록되어 있어야 합니다.
표준 결제로 다운그레이드하면 새 주소 그룹을 만들거나 기존 주소 그룹을 보거나 수정할 수 없습니다.
기존 주소 그룹을 참조하는 규칙도 만들 수 없으며 주소 그룹을 참조하는 규칙은 고정됩니다. 이는 해당 항목이 여전히 활성 상태이지만 해당 항목에 대해 수행할 수 있는 유일한 작업은
delete
입니다.
주소 그룹에 대한 할당량 및 한도를 확인하는 것이 좋습니다.
예
백엔드 서비스가 3개 있고 각 백엔드에는 보안 정책이 하나씩 있는 네트워크 구성이 있다고 가정해 보겠습니다. 또한 악성으로 알려진 IP 주소 목록이 있습니다. 각 보안 정책에서 deny
규칙을 만들 때 각 보안 정책에 IP 주소 목록을 추가하는 대신 주소 그룹 하나를 만들어 세 가지 보안 정책 모두에 사용할 수 있습니다. 그런 다음 새 보안 정책을 만들 때마다 주소 그룹을 다시 사용하여 새 규칙을 만들 수 있습니다.