Halaman ini diterjemahkan oleh Cloud Translation API.

Konfigurasi grup alamat

Grup alamat memungkinkan Anda menggabungkan beberapa alamat IP dan rentang alamat IP menjadi satu unit logis bernama, yang dapat Anda gunakan di beberapa produk. Ini dokumen ini menunjukkan cara menggunakan grup alamat dengan keamanan Google Cloud Armor kebijakan izin yang relevan. Anda memerlukan langganan Google Cloud Armor Enterprise yang aktif untuk menggunakan grup alamat.

Peran IAM

Untuk membuat dan mengelola grup alamat, Anda memerlukan Peran Administrator Jaringan (compute.networkAdmin) atau peran Administrator Keamanan (compute.securityAdmin). Anda juga bisa menentukan peran khusus dengan kumpulan izin yang setara.

Tabel berikut berisi daftar izin Identity and Access Management (IAM) yang diperlukan untuk melakukan serangkaian tugas pada grup alamat.

Tugas Nama peran IAM Izin IAM

Membuat dan mengelola grup alamat

Tugas	Nama peran IAM	Izin IAM
Membuat dan mengelola grup alamat	`compute.networkAdmin` `compute.securityAdmin`	`networksecurity.addressGroups.*`
Menemukan dan melihat grup alamat	`compute.networkUser`	`networksecurity.addressGroups.list` `networksecurity.addressGroups.get` `networksecurity.addressGroups.use`

compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*

Menemukan dan melihat grup alamat

compute.networkUser

networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Untuk informasi selengkapnya tentang peran mana yang menyertakan IAM spesifik izin, lihat Referensi izin IAM.

Membuat atau mengubah grup alamat

Bagian berikut menjelaskan cara membuat grup alamat, serta cara menambahkan dan menghapus alamat dari grup alamat, dan cara menghapus grup alamat.

Buat grup alamat

Saat membuat grup alamat, Anda harus menentukan kapasitas dan alamat IP-nya versi menggunakan tanda --capacity dan --type masing-masing. Anda tidak dapat ubah nilai ini setelah Anda membuat grup alamat.

Selain itu, kapasitas maksimum untuk Google Cloud Armor mungkin lebih tinggi dari kapasitas maksimum untuk produk lain, seperti Cloud Next Generation Firewall. Oleh karena itu, jika Anda ingin menggunakan grup alamat yang sama di lebih dari satu produk, Anda harus setel kapasitas menjadi kurang dari atau sama dengan kapasitas maksimum terendah di antara produk-produk tersebut.

Konsol

Di Konsol Google Cloud, buka halaman Address groups.

Buka Grup alamat
Di menu pemilih project, jika tersedia, pilih project Anda.
Klik Buat Grup Alamat.
Di kolom Nama, masukkan nama.
(Opsional): Di kolom Deskripsi, tambahkan deskripsi.
Untuk Cakupan, pilih Global.
Untuk Type, pilih IPv4 atau IPv6.
Untuk Tujuan, pilih Cloud Armor; atau, pilih Firewall dan Cloud Armor jika Anda juga berencana menggunakan grup alamat dengan kebijakan Cloud Next Generation Firewall.

Untuk informasi selengkapnya tentang memilih tujuan, lihat spesifikasi grup alamat.
Di kolom Capacity, masukkan kapasitas grup alamat.

Catatan: Setelah kapasitas grup alamat ditetapkan, kapasitas tersebut tidak dapat diubah. Pastikan Anda menetapkan kapasitas ke nilai yang sesuai berdasarkan pada kasus penggunaan Anda.
Pada kolom Alamat IP, cantumkan alamat IP atau rentang IP yang yang ingin Anda sertakan ke grup alamat yang dipisahkan dengan koma. Contoh, 1.1.1.0/24,1.2.0.0.

Catatan: Jumlah alamat IP atau rentang IP tidak boleh melebihi kapasitas yang dikonfigurasi.
Klik Create.

gcloud

Gunakan contoh berikut Perintah gcloud beta network-security address-groups create untuk membuat grup alamat yang disebut GROUP_NAME dengan kapasitas 1.000 IPv4 alamat, yang dapat digunakan dengan Google Cloud Armor atau Cloud NGFW:

gcloud beta network-security address-groups create GROUP_NAME \
  --location global \
  --description  "address group description" \
  --capacity 1000 \
  --type IPv4 \
  --purpose DEFAULT,CLOUD_ARMOR

Atau, Anda bisa membuat grup alamat dengan kapasitas lebih besar dengan menetapkan tujuannya khusus untuk CLOUD_ARMOR. Pada contoh berikut, Anda membuat grup alamat dengan kapasitas 10.000 rentang alamat IP IPv6:

gcloud beta network-security address-groups create GROUP_NAME \
  --location global \
  --description  "address group description" \
  --capacity 10000 \
  --type IPv6 \
  --purpose CLOUD_ARMOR

Tambahkan item ke grup alamat

Setelah membuat grup alamat, Anda dapat menambahkan item menggunakan Konsol Google Cloud atau Perintah gcloud beta network-security address-groups add-items.

Konsol

Di Konsol Google Cloud, buka halaman Address groups.

Buka Grup alamat
Di menu pemilih project, jika tersedia, pilih project Anda.
Untuk mengedit grup alamat, klik nama grup alamat Anda.
Klik Edit.
Di kolom Alamat IP, tambahkan item baru ke kolom yang dipisahkan koma daftar alamat IP. Atau, Anda dapat mengklik Impor alamat untuk mengupload file CSV dengan daftar alamat IP.
Klik Simpan.

gcloud

Pada contoh berikut, Anda menambahkan alamat IP 192.168.1.2, 192.168.1.8, dan 192.168.1.9 ke grup alamat GROUP_NAME. Anda memberikan daftar item yang dipisahkan koma dengan tanda --item:

gcloud beta network-security address-groups add-items GROUP_NAME \
  --location global \
  --items 192.168.1.2,192.168.1.8,192.168.1.9

Menghapus item dari grup alamat

Anda dapat menghapus item dari grup alamat menggunakan Konsol Google Cloud atau Perintah gcloud beta network-security address-groups remove-items.

Konsol

Di Konsol Google Cloud, buka halaman Address groups.

Buka Grup alamat
Di menu pemilih project, jika tersedia, pilih project Anda.
Untuk mengedit grup alamat, klik nama grup alamat Anda.
Klik Edit.
Di kolom Alamat IP, hapus item yang ingin dihapus dari daftar alamat IP yang dipisahkan koma.
Klik Simpan.

gcloud

Perintah berikut menghapus alamat IP 192.168.1.2, 192.168.1.8, dan 192.168.1.9 yang Anda tambahkan di perintah sebelumnya:

gcloud beta network-security address-groups remove-items GROUP_NAME \
  --location global \
  --items 192.168.1.2,192.168.1.8,192.168.1.9

Menghapus grup alamat

Anda tidak dapat menghapus grup alamat jika grup alamat tersebut direferensikan oleh resource, termasuk resource kebijakan {i>firewall<i} atau kebijakan keamanan. Gunakan langkah-langkah berikut untuk menghapus alamat grup:

Konsol

Di Konsol Google Cloud, buka halaman Address groups.

Buka Grup alamat
Di menu pemilih project, jika tersedia, pilih project Anda.
Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan bahwa grup alamat yang dipilih tidak direferensikan oleh pihak mana pun firewall atau kebijakan keamanan.
Klik Delete, lalu klik Delete lagi untuk mengonfirmasi.

gcloud

Contoh berikut menggunakan Perintah gcloud beta network-security address-groups delete untuk menghapus grup alamat yang bernama GROUP_NAME.

gcloud beta network-security address-groups delete GROUP_NAME \
  --location global

Menggunakan grup alamat dengan kebijakan keamanan

Setelah membuat grup alamat dan menambahkan alamat IP ke grup tersebut, Anda dapat menggunakannya dengan kebijakan keamanan backend Google Cloud Armor yang ada. Tujuan contoh berikut menunjukkan dua cara yang berbeda untuk menggunakan grup alamat.

Menolak grup alamat IP

Untuk contoh ini, anggaplah Anda memiliki grup alamat IP yang disebut BAD_IPS dengan 10.000 alamat IP yang Anda tahu berbahaya. Anda dapat menolak semua alamat IP ini menggunakan satu kebijakan keamanan deny aturan dengan kondisi pencocokan berikut:

evaluateAddressGroup('BAD_IPS', origin.ip)

Menggunakan kembali grup rentang alamat IP di beberapa kebijakan keamanan

Untuk contoh ini, bayangkan Anda memiliki daftar 10.000 alamat IP yang sama dengan di contoh sebelumnya, tetapi beberapa alamat IP diketahui telah web crawler. Anda ingin memblokir semua alamat IP ini dari beberapa backend layanan web, namun mengizinkan web crawler mengakses layanan backend lainnya untuk meningkatkan pengoptimalan mesin telusur (SEO). Gunakan langkah-langkah berikut untuk menolak semua akses alamat ke BACKEND_SERVICE_1, sekaligus mengizinkan alamat IP rentang 66.249.77.32/27 dan 66.249.77.64/27 untuk diakses BACKEND_SERVICE_2:

Buat kebijakan keamanan backend bernama POLICY_1, lalu lampirkan ke BACKEND_SERVICE_1.
Di POLICY_1, buat aturan deny dengan kecocokan berikut kondisi:
```
evaluateAddressGroup('BAD_IPS', origin.ip)
```
Buat kebijakan keamanan backend kedua yang disebut POLICY_2, dan lampirkan ke BACKEND_SERVICE_2.
Di POLICY_2, buat aturan deny dengan kecocokan berikut kondisi, yang mengecualikan 66.249.77.32/27 dan 66.249.77.64/27:
```
evaluateAddressGroup('BAD_IPS', origin.ip, [66.249.77.32/27, 66.249.77.64/27])
```

Menggunakan grup alamat untuk mencocokkan dengan alamat IP pengguna

Perhatian: Saat Anda menggunakan origin.user_ip sebagai argumen kedua di evaluateAddressGroup, Anda harus konfigurasikan userIpRequestHeaders[] dalam kebijakan keamanan. Nilai origin.user_ip ditetapkan secara default ke nilai origin.ip jika Anda memenuhi salah satu kondisi berikut:

Anda tidak mengonfigurasi opsi userIpRequestHeaders[].
Header yang dikonfigurasi berisi nilai alamat IP yang tidak valid.
Header yang dikonfigurasi tidak ada.

Untuk contoh ini, anggaplah Anda memiliki grup alamat IP yang disebut BAD_IPS dengan 10.000 alamat IP yang Anda tahu berbahaya. Di beberapa Anda juga akan menggunakan proxy upstream, yang menyertakan informasi tentang klien asal di {i>header<i}. Anda dapat menolak semua alamat IP ini menggunakan satu aturan deny kebijakan keamanan dengan kecocokan berikut kondisi:

evaluateAddressGroup('BAD_IPS', origin.user_ip)

Untuk informasi selengkapnya tentang alamat IP pengguna, lihat atribut bahasa aturan.

Langkah selanjutnya

Mengonfigurasi atribut bahasa aturan kustom