Utilizza i gruppi di indirizzi per combinare più indirizzi IP e intervalli IP in una singola unità logica denominata. Puoi quindi utilizzare questa unità per più regole nello stesso criterio firewall o in criteri firewall diversi.
I gruppi di indirizzi eliminano la necessità di gestire e sincronizzare manualmente i set di indirizzi IP utilizzati in più regole firewall. Puoi creare un gruppo di indirizzi comune con tutti gli indirizzi IP o gli intervalli IP richiesti. Puoi quindi riutilizzare questo gruppo di indirizzi in più regole firewall per i filtri di origine e destinazione. In caso di modifiche all'indirizzo IP impostato, puoi aggiornare il gruppo di indirizzi senza dover aggiornare ogni regola associata.
I gruppi di indirizzi semplificano la configurazione e la manutenzione dei criteri firewall. Puoi condividere gli indirizzi IP attraverso i criteri firewall e definire criteri firewall più complessi, coerenti e affidabili per la tua rete con un overhead di manutenzione ridotto.
Specifiche
Le risorse del gruppo di indirizzi hanno le seguenti caratteristiche:
- Ogni gruppo di indirizzi viene identificato in modo univoco da un URL con i seguenti elementi:
- Tipo di contenitore: determina il tipo di gruppo di indirizzi
organizationoproject. - ID contenitore: ID dell'organizzazione o del progetto.
- Località: specifica se il gruppo di indirizzi è una risorsa
globalo di regione (comeeurope-west). - Nome: il nome del gruppo di indirizzi con il seguente formato:
- Una stringa da 1 a 63 caratteri
- Include solo caratteri alfanumerici
- Non deve iniziare con un numero
- Tipo di contenitore: determina il tipo di gruppo di indirizzi
Puoi creare un identificatore URL univoco per un gruppo di indirizzi nel formato seguente:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>Ad esempio, un gruppo di indirizzi
globalexample-address-groupnel progettomyprojectha il seguente identificatore a 4 tuple univoco:projects/myproject/locations/global/addressGroups/example-address-groupA ogni gruppo di indirizzi è associato un tipo che può essere IPv4 o IPv6, ma non entrambi. Il tipo di gruppo di indirizzi non può essere modificato in un secondo momento.
Ogni indirizzo o intervallo IP in un gruppo di indirizzi è definito elemento. Il numero di elementi che puoi aggiungere a un gruppo di indirizzi dipende dalla capacità del gruppo di indirizzi. Puoi definire la capacità degli articoli durante la creazione del gruppo di indirizzi. Questa capacità non può essere modificata in un secondo momento. La capacità massima che puoi configurare per un gruppo di indirizzi è di 1000 elementi.
La capacità di un gruppo di indirizzi viene aggiunta al numero totale di attributi del criterio firewall in cui viene utilizzato il gruppo di indirizzi. Assicurati di impostare la capacità su un valore appropriato in base al tuo caso d'uso.
Devi specificare la capacità e il tipo quando crei un gruppo di indirizzi.
Se non esiste un gruppo di indirizzi aggiunto alla regola del criterio firewall, il filtro del gruppo di indirizzi viene rimosso dalla regola. Per saperne di più su come aggiungere gruppi di indirizzi di origine o di destinazione alle regole dei criteri firewall, consulta Origini e Destinazioni.
Tipi di gruppi di indirizzi
I gruppi di indirizzi vengono classificati in base all'ambito. L'ambito identifica il livello a cui il gruppo di indirizzi è applicabile nella gerarchia delle risorse. I gruppi di indirizzi sono classificati nei seguenti tipi:
Un gruppo di indirizzi può essere basato sul progetto o sull'organizzazione, ma non entrambi.
I gruppi di indirizzi con ambito organizzazione possono essere utilizzati nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete a livello di regione. I gruppi di indirizzi con ambito di progetto possono essere utilizzati solo nei criteri firewall di rete globali e nei criteri firewall di rete a livello di regione.
Per entrambi i tipi di gruppi di indirizzi, la località del gruppo di indirizzi deve corrispondere a quella del criterio firewall.
Gruppi di indirizzi con ambito di progetto
Utilizza i gruppi di indirizzi basati sui progetti quando vuoi definire il tuo elenco personale di indirizzi IP da utilizzare all'interno di un progetto o di una rete per bloccare o consentire un elenco di indirizzi IP in modifica. Ad esempio, se vuoi definire un tuo elenco di intelligence sulle minacce e aggiungerlo alla regola del criterio firewall, crea un gruppo di indirizzi con gli indirizzi IP richiesti.
Puoi utilizzare gruppi di indirizzi basati sui progetti nelle regole firewall per i criteri firewall di rete. Il tipo di contenitore per i gruppi di indirizzi con ambito di progetto è sempre impostato su project. Per saperne di più su come creare e modificare i gruppi di indirizzi basati sui progetti, vedi Utilizzare gruppi di indirizzi basati sui progetti.
Gruppi di indirizzi con ambito organizzazione
Utilizza i gruppi di indirizzi con ambito organizzazione quando vuoi definire un elenco centrale di indirizzi IP che possono essere utilizzati nelle regole firewall di alto livello per fornire un controllo coerente per l'intera organizzazione e ridurre l'overhead per i singoli proprietari di reti e progetti al fine di gestire elenchi comuni, come servizi attendibili e indirizzi IP interni.
Puoi utilizzare gruppi di indirizzi con ambito organizzazione nelle regole firewall per i criteri firewall gerarchici e i criteri firewall di rete. Il tipo di contenitore per i gruppi di indirizzi con ambito organizzazione è sempre impostato su organization. Per saperne di più su come creare e modificare gruppi di indirizzi con ambito organizzazione, vedi Utilizzare gruppi di indirizzi con ambito organizzazione.
Ruoli IAM
Per creare e gestire un gruppo di indirizzi, devi disporre del ruolo Amministratore di rete (compute.networkAdmin) o Amministratore della sicurezza (compute.securityAdmin). Puoi inoltre definire un ruolo personalizzato con un insieme equivalente di autorizzazioni.
La tabella seguente fornisce un elenco delle autorizzazioni di Identity and Access Management (IAM) necessarie per eseguire un insieme di attività sui gruppi di indirizzi.
| Attività | Nome ruolo IAM | Autorizzazioni IAM |
|---|---|---|
| Creare e gestire gruppi di indirizzi | compute.networkAdmin
|
networksecurity.addressGroups.* |
| Scoprire e visualizzare gruppi di indirizzi | compute.networkUser |
networksecurity.addressGroups.list
|
Per ulteriori informazioni su quali ruoli includono autorizzazioni IAM specifiche, consulta la documentazione di riferimento sulle autorizzazioni IAM.