Questa pagina è stata tradotta dall'API Cloud Translation.

Gruppi di indirizzi per i criteri firewall

Utilizza i gruppi di indirizzi per combinare più indirizzi IP e intervalli di indirizzi IP in un'unica unità logica denominata. Puoi quindi utilizzare questa unità in più prodotti, come Cloud NGFW o Google Cloud Armor.

I gruppi di indirizzi eliminano la necessità di gestire e sincronizzare manualmente i set di indirizzi IP utilizzati in più risorse, come le regole dei criteri firewall e di sicurezza. Puoi creare un gruppo di indirizzi comune con tutti gli indirizzi IP o intervalli IP richiesti e riutilizzare questo gruppo di indirizzi con più risorse. In caso di modifica del set di indirizzi IP, puoi aggiornare il gruppo di indirizzi senza dover aggiornare ogni risorsa associata.

Specifiche

Le risorse del gruppo di indirizzi hanno le seguenti caratteristiche:

Ogni gruppo di indirizzi è identificato in modo univoco da un URL con i seguenti elementi:
- Tipo di contenitore: determina il tipo di gruppo di indirizzi (organization o project).
- ID contenitore: ID dell'organizzazione o del progetto.
- Posizione:specifica se il gruppo di indirizzi è un global o una risorsa di regione (ad esempio europe-west).
- Nome: il nome del gruppo di indirizzi nel seguente formato:
  - Una stringa di lunghezza compresa tra 1 e 63 caratteri
  - Include solo caratteri alfanumerici
  - Non deve iniziare con un numero
Puoi creare un identificatore URL univoco per un gruppo di indirizzi nel seguente formato:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Ad esempio, un gruppo di indirizzi globalexample-address-group nel progetto myprojectha il seguente identificatore univoco a 4 tuple:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
A ogni gruppo di indirizzi è associato un tipo che può essere IPv4 o IPv6, ma non entrambi. Il tipo di gruppo di indirizzi non può essere modificato in un secondo momento.
Ogni indirizzo IP o intervallo IP in un gruppo di indirizzi viene definito elemento. Il numero di elementi che puoi aggiungere a un gruppo di indirizzi dipende dalla capacità del gruppo di indirizzi. Puoi definire la capacità degli articoli durante la creazione del gruppo di indirizzi. Questa capacità non può essere modificata in un secondo momento. La capacità massima che puoi configurare per un gruppo di indirizzi varia in base al prodotto con cui utilizzi il gruppo di indirizzi.
Devi specificare la capacità e il tipo quando crei un gruppo di indirizzi. Inoltre, quando utilizzi Google Cloud Armor, devi impostare il campo purpose su CLOUD_ARMOR.
Quando crei un gruppo di indirizzi con uno scopo diverso CLOUD_ARMOR, il gruppo di indirizzi ha una capacità massima di 1000 indirizzi IP.

Tipi di gruppi di indirizzi

I gruppi di indirizzi sono classificati in base al loro ambito. L'ambito identifica il livello a cui il gruppo di indirizzi è applicabile nella gerarchia delle risorse. I gruppi di indirizzi sono classificati nei seguenti tipi:

Gruppi di indirizzi con ambito a livello di progetto
Gruppi di indirizzi con ambito a livello di organizzazione

Un gruppo di indirizzi può essere basato sui progetti o sull'organizzazione, ma non entrambi.

Gruppi di indirizzi con ambito a livello di progetto

Utilizza i gruppi di indirizzi con ambito a livello di progetto quando vuoi definire il tuo elenco personale di indirizzi IP da utilizzare all'interno di un progetto o di una rete per bloccare o consentire un elenco di indirizzi IP modificabili. Ad esempio, se vuoi definire il tuo elenco personale di informazioni sulle minacce e aggiungerlo a una regola, crea un gruppo di indirizzi con gli indirizzi IP richiesti.

Il tipo di contenitore per i gruppi di indirizzi con ambito a livello di progetto è sempre impostato su project. Per saperne di più su come creare e modificare i gruppi di indirizzi con ambito a livello di progetto, vedi Utilizzare gruppi di indirizzi con ambito a livello di progetto.

Gruppi di indirizzi con ambito a livello di organizzazione

Utilizza i gruppi di indirizzi con ambito a livello di organizzazione quando vuoi definire un elenco centrale di indirizzi IP che possono essere utilizzati nelle regole di alto livello per fornire un controllo coerente per l'intera organizzazione e ridurre l'overhead per singoli proprietari di reti e progetti per mantenere elenchi comuni, come servizi attendibili e indirizzi IP interni.

Il tipo di contenitore per i gruppi di indirizzi con ambito a livello di organizzazione è sempre impostato su organization. Per saperne di più su come creare e modificare i gruppi di indirizzi con ambito a livello di organizzazione, vedi Utilizzare i gruppi di indirizzi con ambito a livello di organizzazione.

Ruoli IAM

Per creare e gestire un gruppo di indirizzi, devi disporre del ruolo Amministratore di rete (compute.networkAdmin) o di Amministratore della sicurezza (compute.securityAdmin). Puoi anche definire un ruolo personalizzato con un insieme equivalente di autorizzazioni.

La tabella seguente fornisce un elenco delle autorizzazioni di Identity and Access Management (IAM) necessarie per eseguire un insieme di attività nei gruppi di indirizzi.

Attività Nome ruolo IAM Autorizzazioni IAM

Creare e gestire i gruppi di indirizzi

Attività	Nome ruolo IAM	Autorizzazioni IAM
Creare e gestire i gruppi di indirizzi	`compute.networkAdmin` `compute.securityAdmin`	`networksecurity.addressGroups.*`
Scopri e visualizza i gruppi di indirizzi	`compute.networkUser`	`networksecurity.addressGroups.list` `networksecurity.addressGroups.get` `networksecurity.addressGroups.use`

compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*

Scopri e visualizza i gruppi di indirizzi

compute.networkUser

networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Per ulteriori informazioni sui ruoli che includono autorizzazioni IAM specifiche, consulta la documentazione di riferimento sulle autorizzazioni IAM.

Come funzionano i gruppi di indirizzi con i criteri firewall

I gruppi di indirizzi semplificano la configurazione e la manutenzione dei criteri firewall. Puoi condividere gli indirizzi IP tra i criteri firewall e definire criteri firewall più complessi, coerenti e solidi per la tua rete con un overhead di manutenzione ridotto. Considera le seguenti specifiche aggiuntive quando utilizzi gruppi di indirizzi con criteri firewall:

La capacità di un gruppo di indirizzi viene aggiunta al numero totale di attributi del criterio firewall in cui viene utilizzato il gruppo di indirizzi. Assicurati di impostare la capacità su un valore appropriato in base al tuo caso d'uso.
Se non esiste un gruppo di indirizzi aggiunto alla regola del criterio firewall, il filtro del gruppo di indirizzi viene rimosso dalla regola. Per saperne di più su come aggiungere gruppi di indirizzi di origine o di destinazione alle regole dei criteri firewall, consulta Origini e Destinazioni.
I gruppi di indirizzi con ambito a livello di organizzazione possono essere utilizzati nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali. I gruppi di indirizzi con ambito a livello di progetto possono essere utilizzati solo nei criteri firewall di rete globali e nei criteri firewall di rete regionali.
Per i gruppi di indirizzi con ambito a livello di progetto e di organizzazione, la località del gruppo deve corrispondere a quella del criterio firewall.

Passaggi successivi

Utilizzare i gruppi di indirizzi