Questa pagina è stata tradotta dall'API Cloud Translation.

Gruppi di indirizzi per i criteri firewall

Un gruppo di indirizzi contiene più indirizzi IP, intervalli di indirizzi IP in CIDR di testo o entrambi. Ogni gruppo di indirizzi può essere utilizzato da più risorse, ad esempio nei criteri firewall di Cloud NGFW o nelle regole Criteri di sicurezza di Google Cloud Armor.

Gli aggiornamenti a un gruppo di indirizzi vengono propagati automaticamente alle risorse fare riferimento al gruppo di indirizzi. Ad esempio, puoi creare un gruppo di indirizzi contenente un insieme di indirizzi IP attendibili. Modificare l'insieme di indirizzi IP attendibili indirizzi, aggiorni il gruppo di indirizzi. Gli aggiornamenti al gruppo di indirizzi sono che si riflette automaticamente in ogni risorsa associata.

Specifiche

Le risorse del gruppo di indirizzi hanno le seguenti caratteristiche:

Ogni gruppo di indirizzi è identificato in modo univoco da un URL con i seguenti elementi:
- Tipo di contenitore: determina il tipo di gruppo di indirizzi (organization o project).
- ID contenitore: ID dell'organizzazione o del progetto.
- Posizione:specifica se il gruppo di indirizzi è un global o una risorsa di regione (ad esempio europe-west).
- Nome: il nome del gruppo di indirizzi nel seguente formato:
  - Una stringa di lunghezza compresa tra 1 e 63 caratteri
  - Include solo caratteri alfanumerici
  - Non deve iniziare con un numero
Puoi creare un identificatore URL univoco per un gruppo di indirizzi nella seguente formato:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Ad esempio, un gruppo di indirizzi globalexample-address-group nel progetto myprojectha il seguente identificatore univoco a 4 tuple:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
A ogni gruppo di indirizzi è associato un tipo che può essere IPv4 o IPv6, ma non entrambi. Il tipo di gruppo di indirizzi non può essere modificato in un secondo momento.
Ogni indirizzo IP o intervallo IP in un gruppo di indirizzi viene definito elemento. Il numero di elementi che puoi aggiungere a un gruppo di indirizzi dipende dalla del gruppo di indirizzi. Puoi definire la capacità degli articoli durante l'indirizzo la creazione di gruppi. Questa capacità non può essere modificata in un secondo momento. La capacità massima che puoi configurare per un gruppo di indirizzi, varia in base al prodotto con cui utilizzi il gruppo di indirizzi.
Devi specificare la capacità e il tipo quando crei un gruppo di indirizzi. Nel Inoltre, quando utilizzi Google Cloud Armor, devi impostare purpose su CLOUD_ARMOR.
Quando crei un gruppo di indirizzi con uno scopo che non CLOUD_ARMOR, il gruppo di indirizzi ha una capacità massima di 1000 IP indirizzi IP esterni.

Tipi di gruppi di indirizzi

I gruppi di indirizzi sono classificati in base al loro ambito. L'ambito identifica il livello a cui il gruppo di indirizzi è applicabile gerarchia delle risorse. I gruppi di indirizzi sono classificati nei seguenti tipi:

Gruppi di indirizzi con ambito a livello di progetto
Gruppi di indirizzi con ambito a livello di organizzazione

Un gruppo di indirizzi può essere a livello di progetto o organizzazione, ma non entrambi.

Gruppi di indirizzi con ambito a livello di progetto

Utilizza gruppi di indirizzi con ambito a livello di progetto quando vuoi definire il tuo elenco di indirizzi IP indirizzi IP da usare all'interno di un progetto o di una rete per bloccare o consentire un elenco cambiare gli indirizzi IP. Ad esempio, se vuoi definire la tua minaccia intelligente e aggiungerlo a una regola, crea un gruppo di indirizzi gli indirizzi IP richiesti.

Il tipo di container per i gruppi di indirizzi con ambito a livello di progetto è sempre impostato su project. Per ulteriori informazioni su come creare e modificare gruppi di indirizzi con ambito a livello di progetto, vedi Utilizzare gruppi di indirizzi con ambito a livello di progetto.

Gruppi di indirizzi con ambito a livello di organizzazione

Utilizza gruppi di indirizzi con ambito a livello di organizzazione quando vuoi definire un elenco centrale indirizzi IP che possono essere utilizzati nelle regole di alto livello per un controllo coerente per l'intera organizzazione e a ridurre l'overhead per i singoli proprietari di reti e progetti per mantenere elenchi comuni, ad esempio quelli e indirizzi IP interni.

Il tipo di contenitore per i gruppi di indirizzi con ambito a livello di organizzazione è sempre impostato su organization. Per ulteriori informazioni su come creare e modificare gruppi di indirizzi con ambito a livello di organizzazione, vedi Utilizza gruppi di indirizzi con ambito a livello di organizzazione.

Ruoli IAM

Per creare e gestire un gruppo di indirizzi, è necessario Ruolo di amministratore di rete (compute.networkAdmin) o il ruolo Amministratore sicurezza (compute.securityAdmin). Puoi inoltre definire un ruolo personalizzato con un insieme equivalente di autorizzazioni.

La tabella seguente fornisce un elenco delle autorizzazioni di Identity and Access Management (IAM) necessari per eseguire una serie di attività sui gruppi di indirizzi.

Attività Nome ruolo IAM Autorizzazioni IAM

Creare e gestire i gruppi di indirizzi

Attività	Nome ruolo IAM	Autorizzazioni IAM
Creare e gestire i gruppi di indirizzi	`compute.networkAdmin` `compute.securityAdmin`	`networksecurity.addressGroups.*`
Scopri e visualizza i gruppi di indirizzi	`compute.networkUser`	`networksecurity.addressGroups.list` `networksecurity.addressGroups.get` `networksecurity.addressGroups.use`

compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*

Scopri e visualizza i gruppi di indirizzi

compute.networkUser

networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Per ulteriori informazioni su quali ruoli includono IAM specifici autorizzazioni, consulta le Riferimento alle autorizzazioni IAM.

Come funzionano i gruppi di indirizzi con i criteri firewall

I gruppi di indirizzi semplificano la configurazione e la manutenzione dei criteri firewall. Puoi condividere gli indirizzi IP tra i criteri firewall e definire complessi, coerenti e affidabili per la tua rete con un per la manutenzione. Prendi in considerazione le seguenti specifiche aggiuntive quando utilizza gruppi di indirizzi con criteri firewall:

La capacità di un gruppo di indirizzi viene aggiunta all'attributo totale dei criteri firewall in cui viene utilizzato il gruppo di indirizzi. Accertati che imposti la capacità su un valore appropriato in base al tuo caso d'uso.
Se non esiste un gruppo di indirizzi aggiunto alla regola del criterio firewall, il filtro del gruppo di indirizzi è stato rimosso dalla regola. Per ulteriori informazioni come aggiungere gruppi di indirizzi di origine o di destinazione alle regole dei criteri firewall consulta la sezione Fonti e Destinations.
I gruppi di indirizzi con ambito a livello di organizzazione possono essere utilizzati criteri firewall gerarchici, criteri firewall di rete globali, e criteri firewall di rete regionali. I gruppi di indirizzi con ambito a livello di progetto possono essere utilizzati solo in criteri firewall di rete globali e i criteri firewall di rete regionali.
Per i gruppi di indirizzi con ambito a livello di progetto e di organizzazione, la località del gruppo di indirizzi deve corrispondere alla posizione del criterio firewall.

Passaggi successivi

Utilizzare i gruppi di indirizzi