防火墙政策的地址组

使用地址组将多个 IP 地址和 IP 地址范围合并为一个命名的逻辑单元。然后，您可以在多个产品（例如 Cloud NGFW 或 Google Cloud Armor）中使用此单元。

地址组无需手动维护和同步跨多种资源（例如防火墙政策规则和安全政策规则）使用的 IP 地址集。您可以创建包含所有所需 IP 地址或 IP 地址范围的通用地址组，并将此地址组用于多个资源。如果 IP 地址集中有任何更改，您可以更新地址组，而无需更新每条关联的资源。

规格

地址群组资源具有以下特征：

• 每个地址组均由包含以下元素的网址唯一标识：
  • 容器类型：决定地址组类型 - organization 或 project。
  • 容器 ID：组织或项目的 ID。
  • 位置：指定地址组是 global 还是区域级资源（例如 europe-west）。
  • 名称：地址组名称，格式如下：
    • 长度为 1-63 个字符的字符串
    • 仅包含字母数字字符
    • 不能以数字开头

• 您可以按以下格式为地址组构建唯一的网址标识符：

  <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
  

  例如，项目 myproject 中的 global 地址组 example-address-group 具有以下唯一的 4 元组标识符：

  projects/myproject/locations/global/addressGroups/example-address-group
  

• 每个地址组的关联类型可以是 IPv4 或 IPv6，但不能同时具有这两种类型。地址组类型以后无法更改。

• 地址组中的每个 IP 地址或 IP 地址范围都称为项。 您可以添加到地址组中的项数取决于地址组的容量。您可以在地址组创建期间定义项容量。此容量以后无法更改。您可以为地址组配置的最大容量因您使用地址组的产品而异。

• 您必须在创建地址组时指定容量和类型。 此外，当您使用 Google Cloud Armor 时，必须将 purpose 字段设置为 CLOUD_ARMOR。

• 如果您创建的地址组的用途不是CLOUD_ARMOR，则该地址组的最大容量为 1,000 个 IP 地址。

地址组的类型

地址组根据其范围进行分类。范围用于标识地址组在资源层次结构中的适用级别。地址组分为以下几类：

• 项目级地址组
• 组织级地址组

地址组可以是项目级或组织级地址组，但不能同时是这两者。

项目级地址组

如果您想定义要在项目或网络中使用的 IP 地址列表，以屏蔽或允许更改 IP 地址列表，请使用项目级地址组。例如，如果要定义自己的威胁情报列表并将其添加到规则中，请创建具有所需 IP 地址的地址组。

项目级地址组的容器类型始终设置为 project。如需详细了解如何创建和修改项目级地址组，请参阅使用项目级地址组。

组织级地址组

如果您想要定义可在高级规则中使用的 IP 地址中央列表，以便为整个组织提供一致的控制并减少个别网络和项目所有者维护公共列表（例如受信任的服务和内部 IP 地址）的开销，请使用组织级地址组。

组织级地址组的容器类型始终设置为 organization。如需详细了解如何创建和修改组织级地址组，请参阅使用组织级地址组。

IAM 角色

如需创建和管理地址组，您需要 Network Administrator 角色 (compute.networkAdmin) 或 Security Administrator 角色 (compute.securityAdmin)。您还可以定义具有一组等效权限的自定义角色。

下表提供了对地址组执行一组任务所需的 Identity and Access Management (IAM) 权限列表。

任务	IAM 角色名称	IAM 权限
创建和管理地址组	compute.networkAdmin compute.securityAdmin	networksecurity.addressGroups.*
发现和查看地址组	compute.networkUser	networksecurity.addressGroups.list networksecurity.addressGroups.get networksecurity.addressGroups.use

如需详细了解哪些角色包含特定 IAM 权限，请参阅 IAM 权限参考文档。

地址组如何与防火墙政策搭配使用

地址组简化了防火墙政策的配置和维护。您可以在防火墙政策之间共享 IP 地址，并为您的网络定义更复杂、更一致且更强大的防火墙政策，从而减少维护开销。 将地址组与防火墙政策搭配使用时，请考虑以下其他规范：

• 地址组的容量会添加到使用该地址组的防火墙政策的特性总数中。请务必根据您的使用场景将容量设置为适当的值。

• 如果添加到防火墙政策规则的地址组不存在，系统会从规则中移除地址组过滤条件。如需详细了解如何将来源或目标地址组添加到防火墙政策规则，请参阅来源和目标。

• 组织级地址组可用于分层防火墙政策、全球网络防火墙政策和区域级网络防火墙政策。项目级地址组只能在全球网络防火墙政策和区域级网络防火墙政策中使用。

• 对于项目级地址组和组织级地址组，地址组的位置必须与防火墙政策的位置匹配。

后续步骤

• 使用地址组