Un gruppo di indirizzi contiene più indirizzi IP, intervalli di indirizzi IP in CIDR di testo o entrambi. Ogni gruppo di indirizzi può essere utilizzato da più risorse, ad esempio le regole nei criteri di firewall di Cloud NGFW o le regole nei criteri di sicurezza di Google Cloud Armor.
Gli aggiornamenti a un gruppo di indirizzi vengono propagati automaticamente alle risorse fare riferimento al gruppo di indirizzi. Ad esempio, puoi creare un gruppo di indirizzi contenente un insieme di indirizzi IP attendibili. Modificare l'insieme di indirizzi IP attendibili indirizzi, aggiorni il gruppo di indirizzi. Gli aggiornamenti al gruppo di indirizzi vengono riportati automaticamente in ogni risorsa associata.
Specifiche
Le risorse del gruppo di indirizzi hanno le seguenti caratteristiche:
- Ogni gruppo di indirizzi è identificato in modo univoco da un URL con
i seguenti elementi:
- Tipo di contenitore: determina il tipo di gruppo di indirizzi (
organization
oproject
). - ID contenitore: ID dell'organizzazione o del progetto.
- Posizione: specifica se il gruppo di indirizzi è una risorsa
global
o regionale (ad esempioeurope-west
). - Nome: il nome del gruppo di indirizzi nel seguente formato:
- Una stringa di 1-63 caratteri
- Sono inclusi solo caratteri alfanumerici
- Non può iniziare con un numero
- Tipo di contenitore: determina il tipo di gruppo di indirizzi (
Puoi creare un identificatore URL univoco per un gruppo di indirizzi nella seguente formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
Ad esempio, un gruppo di indirizzi
global
example-address-group
nel progettomyproject
ha il seguente identificatore univoco a 4 tuple:projects/myproject/locations/global/addressGroups/example-address-group
A ogni gruppo di indirizzi è associato un tipo che può essere IPv4 o IPv6, ma non entrambi. Il tipo di gruppo di indirizzi non può essere modificato in un secondo momento.
Ogni indirizzo IP o intervallo IP in un gruppo di indirizzi viene definito elemento. Il numero di elementi che puoi aggiungere a un gruppo di indirizzi dipende dalla sua capacità. Puoi definire la capacità dell'articolo durante la creazione del gruppo di indirizzi. Questa capacità non può essere modificata in un secondo momento. La capacità massima che puoi configurare per un gruppo di indirizzi, varia in base al prodotto con cui utilizzi il gruppo di indirizzi.
Devi specificare la capacità e il tipo quando crei un gruppo di indirizzi. Nella Inoltre, quando utilizzi Google Cloud Armor, devi impostare
purpose
suCLOUD_ARMOR
.Quando crei un gruppo di indirizzi con uno scopo che non
CLOUD_ARMOR
, il gruppo di indirizzi ha una capacità massima di 1000 IP indirizzi IP esterni.
Tipi di gruppi di indirizzi
I gruppi di indirizzi sono classificati in base al loro ambito. L'ambito identifica il livello a cui il gruppo di indirizzi è applicabile gerarchia delle risorse. I gruppi di indirizzi sono classificati nei seguenti tipi:
Un gruppo di indirizzi può essere a livello di progetto o organizzazione, ma non entrambi.
Gruppi di indirizzi con ambito a livello di progetto
Utilizza gruppi di indirizzi con ambito a livello di progetto quando vuoi definire il tuo elenco di indirizzi IP indirizzi IP da usare all'interno di un progetto o di una rete per bloccare o consentire un elenco cambiare gli indirizzi IP. Ad esempio, se vuoi definire il tuo elenco di informazioni sulla minaccia e aggiungerlo a una regola, crea un gruppo di indirizzi con gli indirizzi IP richiesti.
Il tipo di contenitore per i gruppi di indirizzi basati sul progetto è sempre impostato suproject
. Per ulteriori informazioni su come creare e modificare
gruppi di indirizzi con ambito a livello di progetto, vedi Utilizzare gruppi di indirizzi con ambito a livello di progetto.
Gruppi di indirizzi con ambito a livello di organizzazione
Utilizza gruppi di indirizzi con ambito a livello di organizzazione quando vuoi definire un elenco centrale indirizzi IP che possono essere utilizzati nelle regole di alto livello per un controllo coerente per l'intera organizzazione e a ridurre l'overhead per i singoli proprietari di reti e progetti per mantenere elenchi comuni, ad esempio quelli e indirizzi IP interni.Il tipo di contenitore per i gruppi di indirizzi basati sull'organizzazione è sempre impostato su
organization
. Per ulteriori informazioni su come creare e modificare
gruppi di indirizzi con ambito a livello di organizzazione, vedi
Utilizza gruppi di indirizzi con ambito a livello di organizzazione.
Ruoli IAM
Per creare e gestire un gruppo di indirizzi, è necessario
Ruolo di amministratore di rete (compute.networkAdmin
)
o il ruolo Amministratore sicurezza (compute.securityAdmin
). Puoi inoltre definire
un ruolo personalizzato
con un insieme equivalente di autorizzazioni.
La tabella seguente fornisce un elenco delle autorizzazioni Identity and Access Management (IAM) necessarie per eseguire un insieme di attività sui gruppi di indirizzi.
Attività | Nome del ruolo IAM | Autorizzazioni IAM |
---|---|---|
Creare e gestire i gruppi di indirizzi | compute.networkAdmin
|
networksecurity.addressGroups.* |
Scopri e visualizza i gruppi di indirizzi | compute.networkUser |
networksecurity.addressGroups.list
|
Per ulteriori informazioni su quali ruoli includono IAM specifici autorizzazioni, consulta le Riferimento alle autorizzazioni IAM.
Come funzionano i gruppi di indirizzi con i criteri firewall
I gruppi di indirizzi semplificano la configurazione e la manutenzione dei criteri del firewall. Puoi condividere gli indirizzi IP tra i criteri firewall e definire criteri firewall più complessi, coerenti e solidi per la tua rete con un overhead di manutenzione ridotto. Prendi in considerazione le seguenti specifiche aggiuntive quando utilizza gruppi di indirizzi con criteri firewall:
La capacità di un gruppo di indirizzi viene aggiunta all'attributo totale dei criteri firewall in cui viene utilizzato il gruppo di indirizzi. Assicurati di impostare la capacità su un valore appropriato in base al tuo caso d'uso.
Se non esiste un gruppo di indirizzi aggiunto alla regola del criterio firewall, il filtro del gruppo di indirizzi viene rimosso dalla regola. Per ulteriori informazioni come aggiungere gruppi di indirizzi di origine o di destinazione alle regole dei criteri firewall consulta la sezione Fonti e Destinations.
I gruppi di indirizzi con ambito a livello di organizzazione possono essere utilizzati criteri firewall gerarchici, criteri firewall di rete globali, e criteri firewall di rete regionali. I gruppi di indirizzi con ambito a livello di progetto possono essere utilizzati solo in criteri firewall di rete globali e i criteri firewall di rete regionali.
Sia per i gruppi di indirizzi basati sul progetto sia per quelli basati sull'organizzazione, la località del gruppo di indirizzi deve corrispondere a quella del criterio del firewall.