Grup alamat untuk kebijakan firewall

Gunakan grup alamat untuk menggabungkan beberapa alamat IP dan rentang IP menjadi satu unit logis bernama. Selanjutnya, Anda dapat menggunakan unit ini di beberapa aturan dalam kebijakan firewall yang sama atau berbeda.

Dengan grup alamat, Anda tidak perlu mengelola dan menyinkronkan kumpulan alamat IP secara manual di beberapa aturan firewall. Anda dapat membuat grup alamat umum dengan semua alamat IP atau rentang IP yang diperlukan. Anda kemudian dapat menggunakan kembali grup alamat ini di beberapa aturan firewall untuk pemfilteran sumber dan tujuan. Jika ada perubahan dalam kumpulan alamat IP, Anda dapat memperbarui grup alamat tersebut tanpa perlu memperbarui setiap aturan yang terkait.

Grup alamat menyederhanakan konfigurasi dan pemeliharaan kebijakan firewall. Anda dapat berbagi alamat IP di seluruh kebijakan firewall dan menentukan kebijakan firewall yang lebih kompleks, konsisten, dan kuat untuk jaringan Anda dengan mengurangi overhead pemeliharaan.

Spesifikasi

Resource grup alamat memiliki karakteristik berikut:

  • Setiap grup alamat diidentifikasi secara unik oleh URL dengan elemen berikut:
    • Jenis penampung: Menentukan jenis grup alamat—organization atau project.
    • ID Penampung: ID organisasi atau project.
    • Lokasi: Menentukan apakah grup alamat adalah global atau resource regional (seperti europe-west).
    • Nama: Nama grup alamat dengan format berikut:
      • String dengan panjang 1-63 karakter
      • Hanya berisi karakter alfanumerik
      • Tidak boleh diawali dengan angka
  • Anda dapat membuat ID URL unik untuk grup alamat dalam format berikut:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
    

    Misalnya, grup alamat global example-address-group dalam project myproject memiliki ID 4-tuple unik berikut:

    projects/myproject/locations/global/addressGroups/example-address-group
    
  • Setiap grup alamat memiliki jenis terkait yang dapat berupa IPv4 atau IPv6, tetapi tidak keduanya. Jenis grup alamat tidak dapat diubah nanti.

  • Setiap alamat IP atau rentang IP dalam grup alamat disebut sebagai item. Jumlah item yang dapat Anda tambahkan ke grup alamat bergantung pada kapasitas grup alamat. Anda dapat menentukan kapasitas item selama pembuatan grup alamat. Kapasitas ini tidak dapat diubah nanti. Kapasitas maksimum yang dapat Anda konfigurasikan untuk grup alamat adalah 1.000 item.

  • Kapasitas grup alamat akan ditambahkan ke jumlah total atribut kebijakan firewall tempat grup alamat digunakan. Pastikan Anda menetapkan kapasitas ke nilai yang sesuai berdasarkan kasus penggunaan Anda.

  • Anda harus menentukan kapasitas dan jenis saat membuat grup alamat.

  • Jika grup alamat yang ditambahkan ke aturan kebijakan firewall tidak ada, filter grup alamat akan dihapus dari aturan. Untuk mengetahui informasi selengkapnya tentang cara menambahkan grup alamat sumber atau tujuan ke aturan kebijakan firewall, lihat Sumber dan Tujuan.

Jenis grup alamat

Grup alamat diklasifikasikan berdasarkan cakupannya. Cakupan mengidentifikasi level tempat grup alamat berlaku dalam hierarki resource. Grup alamat dikategorikan ke dalam jenis berikut:

Grup alamat dapat mencakup cakupan project atau organisasi, tetapi tidak keduanya.

Grup alamat cakupan organisasi dapat digunakan dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, dan kebijakan firewall jaringan regional. Grup alamat cakupan project hanya dapat digunakan di kebijakan firewall jaringan global dan kebijakan firewall jaringan regional.

Untuk kedua jenis grup alamat, lokasi grup alamat harus sesuai dengan lokasi kebijakan firewall.

Grup alamat cakupan project

Gunakan grup alamat cakupan project jika Anda ingin menentukan daftar alamat IP Anda sendiri yang akan digunakan dalam project atau jaringan untuk memblokir atau mengizinkan daftar perubahan alamat IP. Misalnya, jika Anda ingin menentukan daftar kecerdasan ancaman Anda sendiri dan menambahkannya ke aturan kebijakan firewall, buat grup alamat dengan alamat IP yang diperlukan.

Anda dapat menggunakan grup alamat cakupan project pada aturan firewall untuk kebijakan firewall jaringan. Jenis penampung untuk grup alamat cakupan project selalu ditetapkan ke project. Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengubah grup alamat cakupan project, lihat Menggunakan grup alamat cakupan project.

Grup alamat cakupan organisasi

Gunakan grup alamat cakupan organisasi jika Anda ingin menentukan daftar sentral alamat IP yang dapat digunakan dalam aturan firewall tingkat tinggi guna memberikan kontrol yang konsisten untuk seluruh organisasi dan mengurangi overhead untuk setiap jaringan dan pemilik project guna mempertahankan daftar umum, seperti layanan tepercaya dan alamat IP internal.

Anda dapat menggunakan grup alamat cakupan organisasi dalam aturan firewall untuk kebijakan firewall dan kebijakan firewall jaringan. Jenis penampung untuk grup alamat cakupan organisasi selalu ditetapkan ke organization. Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengubah grup alamat cakupan organisasi, lihat Menggunakan grup alamat cakupan organisasi.

Peran IAM

Untuk membuat dan mengelola grup alamat, Anda memerlukan peran Administrator Jaringan (compute.networkAdmin) atau peran Administrator Keamanan (compute.securityAdmin). Anda juga dapat menentukan peran khusus dengan sekumpulan izin yang setara.

Tabel berikut menyediakan daftar izin Identity and Access Management (IAM) yang diperlukan untuk menjalankan serangkaian tugas di grup alamat.

Tugas Nama peran IAM Izin IAM
Membuat dan mengelola grup alamat compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*
Menemukan dan melihat grup alamat compute.networkUser networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Untuk mengetahui informasi selengkapnya tentang peran mana yang menyertakan izin IAM tertentu, lihat Referensi izin IAM.

Langkah selanjutnya