地址组概览

地址组包含多个 IP 地址、采用 CIDR 格式的 IP 地址范围,或两者兼而有之。每个地址组都可以供多个资源使用,例如 Cloud NGFW 防火墙政策中的规则或 Cloud Armor 安全政策中的规则。

对地址组的更新会自动传播到引用地址组的资源。例如,您可以创建一个包含一组受信任 IP 地址的地址组。如需更改这组受信任的 IP 地址,您可以更新相应地址组。您对地址组进行的更新会自动反映在每个关联资源中。

规格

地址群组资源具有以下特征:

  • 每个地址组均由包含以下元素的网址唯一标识:
    • 容器类型:决定地址组类型 - organizationproject
    • 容器 ID:组织或项目的 ID。
    • 位置:指定地址组是 global 还是区域级资源(例如 europe-west)。
    • 名称:地址组名称,格式如下:
      • 长度为 1-63 个字符的字符串
      • 仅包含字母数字字符
      • 不能以数字开头
  • 您可以按以下格式为地址组构建唯一的网址标识符:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
    

    例如,项目 myproject 中的 global 地址组 example-address-group 具有以下唯一的 4 元组标识符:

    projects/myproject/locations/global/addressGroups/example-address-group
    
  • 每个地址组的关联类型可以是 IPv4 或 IPv6,但不能同时具有这两种类型。地址组类型以后无法更改。

  • 地址组中的每个 IP 地址或 IP 地址范围都称为项。 您可以添加到地址组中的项数取决于地址组的容量。您可以在地址组创建期间定义项容量。此容量以后无法更改。您可以为地址组配置的最大容量因您使用地址组的产品而异。

  • 您必须在创建地址组时指定容量和类型。 此外,使用 Cloud Armor 时,您必须将 purpose 字段设置为 CLOUD_ARMOR

  • 如果您创建的地址组的用途不是 CLOUD_ARMOR,则该地址组的容量上限为 1,000 个 IP 地址。

地址组的类型

地址组根据其范围进行分类。范围用于标识地址组在资源层次结构中的适用级别。地址组分为以下几类:

地址组可以是项目级或组织级地址组,但不能同时是这两者。

项目级地址组

如果您想定义要在项目或网络中使用的 IP 地址列表,以屏蔽或允许更改 IP 地址列表,请使用项目级地址组。例如,如果要定义自己的威胁情报列表并将其添加到规则中,请创建具有所需 IP 地址的地址组。

项目级地址组的容器类型始终设置为 project。如需详细了解如何创建和修改项目级地址组,请参阅使用项目级地址组

组织级地址组

如果您想要定义可在高级规则中使用的 IP 地址中央列表,以便为整个组织提供一致的控制并减少个别网络和项目所有者维护公共列表(例如受信任的服务和内部 IP 地址)的开销,请使用组织级地址组。

组织级地址组的容器类型始终设置为 organization。如需详细了解如何创建和修改组织级地址组,请参阅使用组织级地址组

地址组如何与安全政策搭配使用

地址组简化了安全政策的配置和维护,因为您可以在多个安全政策中共享每个 IP 地址列表。将地址组与安全政策搭配使用时,请考虑以下其他规范:

  • 地址组仅适用于全球范围的后端安全政策
  • 组织级地址组适用于服务级安全政策和分层安全政策。
  • 地址组的容量会添加到使用该地址组的安全政策的属性总数中。请确保根据您的应用场景将容量设置为适当的值。
  • 如需使用地址组,您必须在 Cloud Armor Enterprise 中注册您的项目。如果您降级为标准结算,则无法创建新的地址组或修改现有地址组。您也无法创建引用现有地址组的规则,并且引用地址组的安全政策会被冻结。也就是说,这些规则仍处于有效状态,但在您删除引用地址组的所有规则之前,无法对其进行修改。

我们建议您查看地址组的配额限制

除了为后端安全政策配置组织级地址组之外,您还可以为分层安全政策配置组织级地址组。您无法在项目级地址组所属的项目之外的任何安全政策中使用这些地址组,但可以在整个组织内与安全政策共享组织级地址组;因此,在与分层安全政策搭配使用时,组织级地址组与安全政策会特别有用。如需详细了解分层安全政策,请参阅分层安全政策概览

示例

以下示例展示了如何使用地址组来帮助您配置安全政策:

  • 假设您有一个网络配置,其中有三个后端服务,每个服务都有一个安全政策。此外,您还有一个已知是恶意的 IP 地址列表。在每个安全政策中创建 deny 规则时,您可以创建一个地址组,并将其与所有三个安全政策搭配使用,而不是将 IP 地址列表添加到每个安全政策中。然后,每当您创建新的安全政策时,都可以再次使用地址组来制定新规则。
  • 假设您有一个组织,其中包含许多分组到文件夹中的项目,并且您有三个 IP 地址列表,每个列表中的地址只需要访问其中一些文件夹。您可以创建三个组织级地址组(每个 IP 地址列表对应一个),然后创建三个分层安全政策。您可以为每个分层安全政策提供一个针对三个地址组之一进行匹配的 allow 规则,然后将分层安全政策与允许的 IP 地址组需要访问的每个文件夹相关联。

后续步骤