Esta página foi traduzida pela API Cloud Translation.

Vista geral dos grupos de endereços

Um grupo de endereços contém vários endereços IP, intervalos de endereços IP no formato CIDR ou ambos. Cada grupo de endereços pode ser usado por vários recursos, como regras em políticas de firewall do NGFW da nuvem ou regras em políticas de segurança do Cloud Armor.

As atualizações a um grupo de moradas são propagadas automaticamente aos recursos que fazem referência ao grupo de moradas. Por exemplo, pode criar um grupo de endereços que contenha um conjunto de endereços IP fidedignos. Para alterar o conjunto de endereços IP fidedignos, atualize o grupo de endereços. As atualizações ao grupo de moradas são refletidas automaticamente em cada recurso associado.

Especificações

Os recursos de grupos de moradas têm as seguintes caraterísticas:

Cada grupo de endereços é identificado de forma exclusiva por um URL com os seguintes elementos:
- Tipo de contentor: determina o tipo de grupo de endereços: organization ou project.
- ID do contentor: ID da organização ou do projeto.
- Localização: especifica se o grupo de moradas é um recurso global ou regional (como europe-west).
- Nome: o nome do grupo de moradas com o seguinte formato:
  - Uma string com 1 a 63 carateres
  - Inclui apenas carateres alfanuméricos
  - Não pode começar com um número
Pode criar um identificador de URL exclusivo para um grupo de moradas no seguinte formato:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Por exemplo, um globalgrupo de endereçosexample-address-group no projeto myprojecttem o seguinte identificador único de 4 tuplos:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
Cada grupo de endereços tem um tipo associado que pode ser IPv4 ou IPv6, mas não ambos. Não é possível alterar o tipo de grupo de endereços posteriormente.
Cada endereço IP ou intervalo de IP num grupo de endereços é denominado item. O número de itens que pode adicionar a um grupo de endereços depende da capacidade do grupo de endereços. Pode definir a capacidade de artigos durante a criação do grupo de endereços. Não é possível alterar esta capacidade mais tarde. A capacidade máxima que pode configurar para um grupo de endereços varia consoante o produto com o qual usa o grupo de endereços.
Tem de especificar a capacidade e o tipo quando cria um grupo de endereços. Além disso, quando usa o Cloud Armor, tem de definir o campo purpose como CLOUD_ARMOR.
Quando cria um grupo de endereços com um objetivo que não seja CLOUD_ARMOR, o grupo de endereços tem uma capacidade máxima de 1000 endereços IP.

Tipos de grupos de moradas

Os grupos de endereços são classificados com base no respetivo âmbito. O âmbito identifica o nível ao qual o grupo de endereços é aplicável na hierarquia de recursos. Os grupos de moradas são categorizados nos seguintes tipos:

Grupos de moradas ao nível do projeto
Grupos de endereços ao nível da organização

Um grupo de endereços pode ter âmbito de projeto ou de organização, mas não ambos.

Grupos de moradas ao nível do projeto

Use grupos de endereços ao nível do projeto quando quiser definir a sua própria lista de endereços IP a usar num projeto ou numa rede para bloquear ou permitir uma lista de endereços IP em mudança. Por exemplo, se quiser definir a sua própria lista de informações sobre ameaças e adicioná-la a uma regra, crie um grupo de endereços com os endereços IP necessários.

O tipo de contentor para grupos de endereços com âmbito de projeto é sempre definido como project. Para mais informações sobre como criar e modificar grupos de endereços ao nível do projeto, consulte o artigo Use grupos de endereços ao nível do projeto.

Grupos de moradas ao nível da organização

Use grupos de endereços ao nível da organização quando quiser definir uma lista central de endereços IP que podem ser usados em regras de alto nível para fornecer um controlo consistente para toda a organização e reduzir os custos gerais para os proprietários de redes e projetos individuais manterem listas comuns, como serviços fidedignos e endereços IP internos.

O tipo de contentor para grupos de endereços ao nível da organização está sempre definido como organization. Para mais informações sobre como criar e modificar grupos de endereços ao nível da organização, consulte o artigo Use grupos de endereços ao nível da organização.

Como funcionam os grupos de endereços com as políticas de segurança

Os grupos de endereços simplificam a configuração e a manutenção das políticas de segurança, uma vez que pode partilhar cada lista de endereços IP em várias políticas de segurança. Considere as seguintes especificações adicionais quando usar grupos de endereços com políticas de segurança:

Os grupos de endereços só estão disponíveis para políticas de segurança de back-end com âmbito global.
Os grupos de endereços com âmbito da organização estão disponíveis para políticas de segurança ao nível do serviço e políticas de segurança hierárquicas.
A capacidade de um grupo de endereços é adicionada à contagem total de atributos da política de segurança onde o grupo de endereços é usado. Certifique-se de que define a capacidade para um valor adequado com base no seu exemplo de utilização.
Para usar grupos de endereços, o seu projeto tem de estar inscrito no Cloud Armor Enterprise. Se mudar para a faturação padrão, não pode criar novos grupos de moradas nem modificar os existentes. Também não pode criar regras que façam referência a um grupo de endereços existente, e as suas políticas de segurança que fazem referência a grupos de endereços estão congeladas. Isto significa que continuam ativas, mas não as pode modificar até eliminar todas as regras que fazem referência a um grupo de endereços.

Recomendamos que veja as quotas e os limites para grupos de endereços.

Além de configurar grupos de endereços com âmbito da organização para as suas políticas de segurança de back-end, pode configurar grupos de endereços com âmbito da organização para as suas políticas de segurança hierárquicas. Não pode usar grupos de endereços ao nível do projeto em nenhuma política de segurança fora do projeto em que existem, mas pode partilhar grupos de endereços ao nível da organização com políticas de segurança em toda a sua organização. Isto torna os grupos de endereços ao nível da organização com políticas de segurança especialmente úteis quando os usa com políticas de segurança hierárquicas. Para mais informações sobre as políticas de segurança hierárquicas, consulte a vista geral das políticas de segurança hierárquicas.

Exemplos

Os exemplos seguintes demonstram como pode usar grupos de endereços para ajudar a configurar políticas de segurança:

Imagine que tem uma configuração de rede na qual tem três serviços de back-end, cada um dos quais tem uma política de segurança. Além disso, tem uma lista de endereços IP que sabe serem maliciosos. Quando cria uma regra deny em cada política de segurança, pode criar um grupo de endereços e usá-lo com todas as três políticas de segurança, em vez de adicionar a lista de endereços IP a cada política de segurança. Em seguida, sempre que criar uma nova política de segurança, pode usar novamente o grupo de endereços para criar novas regras.
Imagine que tem uma organização com muitos projetos agrupados em pastas e tem três listas de endereços IP que precisam de acesso apenas a algumas destas pastas. Pode criar três grupos de endereços com âmbito da organização, um para cada lista de endereços IP e, em seguida, criar três políticas de segurança hierárquicas. Pode atribuir a cada política de segurança hierárquica uma regra allowque corresponda a um dos três grupos de endereços e, em seguida, associar a política de segurança hierárquica a cada pasta à qual o grupo de endereços IP permitidos tem de aceder.

O que se segue?

Configure grupos de endereços.