地址组包含多个 IP 地址、采用 CIDR 格式的 IP 地址范围,或两者兼而有之。每个地址组都可以供多个资源使用,例如 Cloud NGFW 防火墙政策中的规则或 Google Cloud Armor 安全政策中的规则。
对地址组的更新会自动传播到引用地址组的资源。例如,您可以创建一个包含一组受信任 IP 地址的地址组。如需更改这组受信任的 IP 地址,您可以更新相应地址组。您对地址组进行的更新会自动反映在每个关联资源中。
规格
地址群组资源具有以下特征:
- 每个地址组均由包含以下元素的网址唯一标识:
- 容器类型:决定地址组类型 -
organization或project。 - 容器 ID:组织或项目的 ID。
- 位置:指定地址组是
global还是区域级资源(例如europe-west)。 - 名称:地址组名称,格式如下:
- 长度为 1-63 个字符的字符串
- 仅包含字母数字字符
- 不能以数字开头
- 容器类型:决定地址组类型 -
您可以按以下格式为地址组构建唯一的网址标识符:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>例如,项目
myproject中的global地址组example-address-group具有以下唯一的 4 元组标识符:projects/myproject/locations/global/addressGroups/example-address-group每个地址组的关联类型可以是 IPv4 或 IPv6,但不能同时具有这两种类型。地址组类型以后无法更改。
地址组中的每个 IP 地址或 IP 地址范围都称为项。 您可以添加到地址组中的项数取决于地址组的容量。您可以在地址组创建期间定义项容量。此容量以后无法更改。您可以为地址组配置的最大容量因您使用地址组的产品而异。
您必须在创建地址组时指定容量和类型。 此外,使用 Google Cloud Armor 时,您必须将
purpose字段设置为CLOUD_ARMOR。您创建地址组的目的并非
CLOUD_ARMOR,地址组的容量上限为 1,000 个 IP 地址。
地址组的类型
地址组根据其范围进行分类。范围用于标识地址组在资源层次结构中的适用级别。地址组分为以下几类:
地址组可以是项目级或组织级地址组,但不能同时是这两者。
项目级地址组
如果您想定义要在项目或网络中使用的 IP 地址列表,以屏蔽或允许更改 IP 地址列表,请使用项目级地址组。例如,如果要定义自己的威胁情报列表并将其添加到规则,请创建具有所需 IP 地址的地址组。
项目级地址组的容器类型始终设置为project。如需详细了解如何创建和修改项目级地址组,请参阅配置地址组。
组织级地址组
Google Cloud Armor 不支持组织级地址组。地址组如何与安全政策协同工作
地址组简化了安全政策的配置和维护,因为您可以将每个 IP 地址列表共享给多个安全政策。使用地址组时,请考虑以下其他规范 具有安全政策:
- 地址组仅适用于全局范围 后端安全政策。
- 地址组的容量会计入 使用地址组的安全政策。确保将 将容量设置为适当的值。
- 如需使用地址组,您的项目必须已注册
Cloud Armor Enterprise。
如果您降级为标准结算方式,将无法创建新的地址组,也无法查看或修改现有地址组。您也无法创建引用现有地址组的规则,并且引用地址组的规则会被冻结。这意味着
处于活跃状态,但您只能对其执行
delete操作。
示例
假设您的网络配置中有三个后端服务,每个服务都有一个安全政策。此外,你还有一份清单
列出恶意 IP 地址在每个安全政策中创建 deny 规则时,您可以创建一个地址组,并将其与所有三个安全政策一起使用,而不是将 IP 地址列表添加到每个安全政策中。然后,每当您创建新的安全政策时,都可以使用
地址组,以创建新的规则。