주소 그룹에는 여러 IP 주소, CIDR 형식의 IP 주소 범위 또는 둘 다 포함됩니다. 각 주소 그룹은 Cloud NGFW 방화벽 정책의 규칙이나 Google Cloud Armor 보안 정책의 규칙과 같은 여러 리소스에서 사용할 수 있습니다.
주소 그룹에 대한 업데이트는 주소 그룹을 참조하는 리소스에 자동으로 전파됩니다. 예를 들어 신뢰할 수 있는 IP 주소 집합이 포함된 주소 그룹을 만들 수 있습니다. 신뢰할 수 있는 IP 주소 집합을 변경하려면 주소 그룹을 업데이트합니다. 주소 그룹에 대한 업데이트는 연결된 각 리소스에 자동으로 반영됩니다.
사양
주소 그룹 리소스는 다음과 같은 특징을 갖습니다.
- 각 주소 그룹은 다음 요소가 있는 URL로 고유하게 식별됩니다.
- 컨테이너 유형: 주소 그룹 유형(
organization
또는project
)을 결정합니다. - 컨테이너 ID: 조직 또는 프로젝트의 ID입니다.
- 위치: 주소 그룹이
global
인지 또는 리전별 리소스(예:europe-west
)인지 지정합니다. - 이름: 다음 형식의 주소 그룹 이름입니다.
- 1~63자(영문 기준)의 문자열
- 영숫자 문자만 포함
- 숫자로 시작하지 않아야 함
- 컨테이너 유형: 주소 그룹 유형(
다음 형식으로 주소 그룹에 고유한 URL 식별자를 구성할 수 있습니다.
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
예를 들어,
myproject
프로젝트의global
주소 그룹example-address-group
에는 다음과 같은 고유한 4-튜플 식별자가 있습니다.projects/myproject/locations/global/addressGroups/example-address-group
각 주소 그룹에는 IPv4 또는 IPv6인 1개의 연결된 유형이 있을 수 있지만 둘 다 있을 수는 없습니다. 주소 그룹 유형은 나중에 변경할 수 없습니다.
주소 그룹의 각 IP 주소 또는 IP 범위를 항목이라고 합니다. 주소 그룹에 추가할 수 있는 항목 수는 주소 그룹의 용량에 따라 다릅니다. 주소 그룹을 만드는 동안 항목 용량을 정의할 수 있습니다. 이 용량은 나중에 변경할 수 없습니다. 주소 그룹에 구성할 수 있는 최대 용량은 주소 그룹을 사용하는 제품에 따라 달라집니다.
주소 그룹을 만들 때 용량과 유형을 지정해야 합니다. 또한 Google Cloud Armor를 사용하는 경우
purpose
필드를CLOUD_ARMOR
로 설정해야 합니다.CLOUD_ARMOR
가 아닌 용도로 주소 그룹을 만드는 경우 주소 그룹의 최대 IP 주소 용량은 1,000개입니다.
주소 그룹 유형
주소 그룹은 범위에 따라 분류됩니다. 범위는 리소스 계층 구조에서 주소 그룹을 적용할 수 있는 수준을 식별합니다. 주소 그룹은 다음 유형으로 분류됩니다.
주소 그룹은 프로젝트 범위 또는 조직 범위일 수 있지만 둘 다일 수는 없습니다.
프로젝트 범위 주소 그룹
변경되는 IP 주소 목록을 차단하거나 허용하기 위해 프로젝트 또는 네트워크 내에서 사용할 IP 주소 목록을 정의하려는 경우 프로젝트 범위 주소 그룹을 사용합니다. 예를 들어 자체 위협 인텔리전스 목록을 정의하여 규칙에 추가하려면 필요한 IP 주소로 주소 그룹을 만듭니다.
프로젝트 범위 주소 그룹의 컨테이너 유형은 항상project
로 설정됩니다. 프로젝트 범위 주소 그룹을 만들고 수정하는 방법에 대한 자세한 내용은 프로젝트 범위 주소 그룹 사용을 참조하세요.
조직 범위 주소 그룹
개별 네트워크 및 프로젝트 소유자가 신뢰할 수 있는 서비스 및 내부 IP 주소와 같은 공통 목록을 유지관리하도록 전체 조직에 대한 일관된 제어를 제공하고 오버헤드를 줄이기 위해 대략적인 규칙에 사용할 수 있는 중앙 IP 주소 목록을 정의하려면 조직 범위 주소 그룹을 사용합니다.조직 범위 주소 그룹의 컨테이너 유형은 항상 organization
으로 설정됩니다. 조직 범위 주소 그룹을 만들고 수정하는 방법에 대한 자세한 내용은 조직 범위 주소 그룹 사용을 참조하세요.
IAM 역할
주소 그룹을 만들고 관리하려면 네트워크 관리자 역할(compute.networkAdmin
) 또는 보안 관리자 역할(compute.securityAdmin
)이 필요합니다. 동일한 권한 집합을 사용하여 커스텀 역할을 정의할 수도 있습니다.
다음 표에서는 주소 그룹에서 태스크 집합을 수행하는 데 필요한 Identity and Access Management(IAM) 권한 목록을 제공합니다.
작업 | IAM 역할 이름 | IAM 권한 |
---|---|---|
주소 그룹 만들기 및 관리 | compute.networkAdmin
|
networksecurity.addressGroups.* |
주소 그룹 탐색 및 보기 | compute.networkUser |
networksecurity.addressGroups.list
|
특정 IAM 권한이 포함된 역할에 대한 자세한 내용은 IAM 권한 참조를 확인하세요.
방화벽 정책에서 주소 그룹 작동 방식
주소 그룹을 사용하면 방화벽 정책의 구성 및 유지관리가 간소화됩니다. 방화벽 정책 간에 IP 주소를 공유하고 유지관리 오버헤드를 줄여서 더 복잡하고 일관되며 강력한 네트워크 방화벽 정책을 정의할 수 있습니다. 방화벽 정책에 주소 그룹을 사용할 때는 다음 추가 사양을 고려하세요.
주소 그룹의 용량이 주소 그룹이 사용되는 방화벽 정책의 총 속성 수에 추가됩니다. 사용 사례에 따라 용량을 적절한 값으로 설정해야 합니다.
방화벽 정책 규칙에 추가된 주소 그룹이 없으면 주소 그룹 필터가 규칙에서 삭제됩니다. 소스 또는 대상 주소 그룹을 방화벽 정책 규칙에 추가하는 방법에 대한 자세한 내용은 소스 및 대상을 참조하세요.
조직 범위 주소 그룹은 계층식 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책에 사용할 수 있습니다. 프로젝트 범위 주소 그룹은 전역 네트워크 방화벽 정책 및 리전 네트워크 방화벽 정책에만 사용할 수 있습니다.
프로젝트 범위 주소 그룹과 조직 범위 주소 그룹 모두 주소 그룹의 위치가 방화벽 정책의 위치와 일치해야 합니다.