Um grupo de endereços contém vários endereços IP, intervalos de endereços IP no formato CIDR ou ambos. Cada grupo de endereços pode ser usado por vários recursos, como regras em políticas de firewall do NGFW da nuvem ou regras em políticas de segurança do Cloud Armor.
As atualizações a um grupo de moradas são propagadas automaticamente aos recursos que fazem referência ao grupo de moradas. Por exemplo, pode criar um grupo de endereços que contenha um conjunto de endereços IP fidedignos. Para alterar o conjunto de endereços IP fidedignos, atualize o grupo de endereços. As atualizações ao grupo de moradas são refletidas automaticamente em cada recurso associado.
Especificações
Os recursos de grupos de moradas têm as seguintes caraterísticas:
- Cada grupo de endereços é identificado de forma exclusiva por um URL com os seguintes elementos:
- Tipo de contentor: determina o tipo de grupo de endereços:
organizationouproject. - ID do contentor: ID da organização ou do projeto.
- Localização: especifica se o grupo de moradas é um recurso
globalou regional (comoeurope-west). - Nome: o nome do grupo de moradas com o seguinte formato:
- Uma string com 1 a 63 carateres
- Inclui apenas carateres alfanuméricos
- Não pode começar com um número
- Tipo de contentor: determina o tipo de grupo de endereços:
Pode criar um identificador de URL exclusivo para um grupo de moradas no seguinte formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>Por exemplo, um
globalgrupo de endereçosexample-address-groupno projetomyprojecttem o seguinte identificador único de 4 tuplos:projects/myproject/locations/global/addressGroups/example-address-groupCada grupo de endereços tem um tipo associado que pode ser IPv4 ou IPv6, mas não ambos. Não é possível alterar o tipo de grupo de endereços posteriormente.
Cada endereço IP ou intervalo de IP num grupo de endereços é denominado item. O número de itens que pode adicionar a um grupo de endereços depende da capacidade do grupo de endereços. Pode definir a capacidade de artigos durante a criação do grupo de endereços. Não é possível alterar esta capacidade posteriormente. A capacidade máxima que pode configurar para um grupo de endereços varia consoante o produto com o qual usa o grupo de endereços.
Tem de especificar a capacidade e o tipo quando cria um grupo de endereços. Além disso, quando usa o Cloud Armor, tem de definir o campo
purposecomoCLOUD_ARMOR.Quando cria um grupo de endereços com um objetivo que não seja
CLOUD_ARMOR, o grupo de endereços tem uma capacidade máxima de 1000 endereços IP.
Tipos de grupos de moradas
Os grupos de endereços são classificados com base no respetivo âmbito. O âmbito identifica o nível ao qual o grupo de endereços é aplicável na hierarquia de recursos. Os grupos de moradas são categorizados nos seguintes tipos:
Um grupo de endereços pode ter âmbito de projeto ou de organização, mas não ambos.
Grupos de moradas ao nível do projeto
Use grupos de endereços ao nível do projeto quando quiser definir a sua própria lista de endereços IP a usar num projeto ou numa rede para bloquear ou permitir uma lista de endereços IP em mudança. Por exemplo, se quiser definir a sua própria lista de informações sobre ameaças e adicioná-la a uma regra, crie um grupo de endereços com os endereços IP necessários.
O tipo de contentor para grupos de endereços com âmbito de projeto é sempre definido comoproject. Para mais informações sobre como criar e modificar grupos de endereços ao nível do projeto, consulte o artigo Use grupos de endereços ao nível do projeto.
Grupos de moradas ao nível da organização
Use grupos de endereços ao nível da organização quando quiser definir uma lista central de endereços IP que podem ser usados em regras de alto nível para fornecer um controlo consistente para toda a organização e reduzir a sobrecarga para os proprietários de redes e projetos individuais manterem listas comuns, como serviços fidedignos e endereços IP internos.O tipo de contentor para grupos de endereços ao nível da organização está sempre definido como
organization. Para mais informações sobre como criar e modificar
grupos de endereços ao nível da organização, consulte o artigo
Use grupos de endereços ao nível da organização.
Funções de IAM
Para criar e gerir um grupo de endereços, precisa da função de administrador de rede de computação (roles/compute.networkAdmin). Também pode definir uma função personalizada com um conjunto equivalente de autorizações.
A tabela seguinte fornece uma lista de autorizações da gestão de identidade e de acesso (IAM) necessárias para realizar um conjunto de tarefas em grupos de endereços.
| Tarefa | Nome da função de IAM | Autorizações de IAM |
|---|---|---|
| Crie e faça a gestão de |
Administrador de rede de Calcular |
networksecurity.addressGroups.* |
| Descubra e veja |
Utilizador da rede de computação |
networksecurity.addressGroups.list networksecurity.addressGroups.get networksecurity.addressGroups.use |
Para mais informações sobre as funções que incluem autorizações de IAM específicas, consulte o índice de funções e autorizações de IAM.
Como funcionam os grupos de endereços com as políticas de firewall
Os grupos de endereços simplificam a configuração e a manutenção das políticas de firewall. Pode partilhar os endereços IP entre políticas de firewall e definir políticas de firewall mais complexas, consistentes e robustas para a sua rede com custos de manutenção reduzidos. Considere as seguintes especificações adicionais quando usar grupos de endereços com políticas de firewall:
A capacidade de um grupo de endereços é adicionada à contagem total de atributos da política de firewall onde o grupo de endereços é usado. Certifique-se de que define a capacidade para um valor adequado com base no seu exemplo de utilização.
Se um grupo de endereços adicionado à regra da política de firewall não existir, o filtro do grupo de endereços é removido da regra. Para mais informações sobre como adicionar grupos de endereços de origem ou de destino a regras de políticas de firewall, consulte Origens e Destinos.
Os grupos de endereços com âmbito da organização podem ser usados em políticas de firewall hierárquicas, políticas de firewall de rede globais e políticas de firewall de rede regionais. Os grupos de endereços ao nível do projeto só podem ser usados em políticas de firewall de rede globais e políticas de firewall de rede regionais.
Para grupos de endereços ao nível do projeto e da organização, a localização do grupo de endereços tem de corresponder à localização da política de firewall.