使用地址组将多个 IP 地址和 IP 地址范围合并为一个命名的逻辑单元。然后,您可以在相同或不同防火墙政策中的多条规则中使用此单元。
地址组无需手动维护和同步跨多条防火墙规则使用的 IP 地址集。您可以创建包含所有所需 IP 地址或 IP 地址范围的通用地址组。然后,您可以在多条防火墙规则中重复使用此地址组,以进行来源和目标过滤。如果 IP 地址集中有任何更改,您可以更新地址组,而无需更新每条关联的规则。
地址组简化了防火墙政策的配置和维护。您可以在防火墙政策之间共享 IP 地址,并为您的网络定义更复杂、更一致且更强大的防火墙政策,从而减少维护开销。
规格
地址群组资源具有以下特征:
- 每个地址组均由包含以下元素的网址唯一标识:
- 容器类型:决定地址组类型 -
organization或project。 - 容器 ID:组织或项目的 ID。
- 位置:指定地址组是
global还是区域级资源(例如europe-west)。 - 名称:地址组名称,格式如下:
- 长度为 1-63 个字符的字符串
- 仅包含字母数字字符
- 不能以数字开头
- 容器类型:决定地址组类型 -
您可以按以下格式为地址组构建唯一的网址标识符:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>例如,项目
myproject中的global地址组example-address-group具有以下唯一的 4 元组标识符:projects/myproject/locations/global/addressGroups/example-address-group每个地址组的关联类型可以是 IPv4 或 IPv6,但不能同时具有这两种类型。地址组类型以后无法更改。
地址组中的每个 IP 地址或 IP 地址范围都称为项。您可以添加到地址组中的项数取决于地址组的容量。您可以在地址组创建期间定义项容量。此容量以后无法更改。对于一个地址组,您可以配置的最大容量为 1,000 项。
地址组的容量会添加到使用该地址组的防火墙政策的特性总数中。请务必根据您的使用场景将容量设置为适当的值。
您必须在创建地址组时指定容量和类型。
如果添加到防火墙政策规则的地址组不存在,系统会从规则中移除地址组过滤条件。如需详细了解如何将来源或目标地址组添加到防火墙政策规则,请参阅来源和目标。
地址组的类型
地址组根据其范围进行分类。范围用于标识地址组在资源层次结构中的适用级别。地址组分为以下几类:
地址组可以是项目级或组织级地址组,但不能同时是这两者。
组织级地址组可用于分层防火墙政策、全球网络防火墙政策和区域级网络防火墙政策。项目级地址组只能在全球网络防火墙政策和区域级网络防火墙政策中使用。
对于这两种地址组,地址组的位置必须与防火墙政策的位置匹配。
项目级地址组
如果您想定义要在项目或网络中使用的 IP 地址列表,以屏蔽或允许更改 IP 地址列表,请使用项目级地址组。例如,如果要定义自己的威胁情报列表并将其添加到防火墙政策规则,请创建具有所需 IP 地址的地址组。
您可以在防火墙规则中对网络防火墙政策使用项目级地址组。项目级地址组的容器类型始终设置为 project。如需详细了解如何创建和修改项目级地址组,请参阅使用项目级地址组。
组织级地址组
如果您想要定义可在高级防火墙规则中使用的 IP 地址中央列表,以便为整个组织提供一致的控制并减少个别网络和项目所有者维护公共列表(例如受信任的服务和内部 IP 地址)的开销,请使用组织级地址组。
您可以在防火墙规则中将组织级地址组用于分层防火墙政策和网络防火墙政策。组织级地址组的容器类型始终设置为 organization。如需详细了解如何创建和修改组织级地址组,请参阅使用组织级地址组。
IAM 角色
如需创建和管理地址组,您需要 Network Administrator 角色 (compute.networkAdmin) 或 Security Administrator 角色 (compute.securityAdmin)。您还可以定义具有一组等效权限的自定义角色。
下表提供了对地址组执行一组任务所需的 Identity and Access Management (IAM) 权限列表。
| 任务 | IAM 角色名称 | IAM 权限 |
|---|---|---|
| 创建和管理地址组 | compute.networkAdmin
|
networksecurity.addressGroups.* |
| 发现和查看地址组 | compute.networkUser |
networksecurity.addressGroups.list
|
如需详细了解哪些角色包含特定 IAM 权限,请参阅 IAM 权限参考文档。