Para usar grupos de endereços, primeiro tem de identificar o âmbito do grupo de endereços relevante para o seu requisito. O âmbito identifica o nível em que o grupo de endereços é aplicável na hierarquia de recursos.
Se quiser usar um grupo de endereços numa regra de política de firewall que se aplique a um projeto individual, use um grupo de endereços ao nível do projeto.
Se quiser usar um grupo de endereços numa regra de política de firewall que seja aplicável em toda a hierarquia em todos os recursos numa organização ou numa rede, use um grupo de endereços ao nível da organização.
Grupos de moradas ao nível do projeto
Esta secção fornece informações detalhadas sobre como gerir grupos de endereços ao nível do projeto.
Os grupos de endereços com âmbito de projeto são definidos ao nível do projeto e aplicam-se apenas ao projeto onde são criados. Para usar um grupo de endereços, tem de o associar a uma regra de firewall numa política de firewall de rede global ou numa política de firewall de rede regional. A localização do grupo de endereços tem de ser igual à localização da política de firewall onde é usado.
Crie um grupo de endereços
O tipo de contentor
do grupo de endereços ao nível do projeto está sempre definido como projects.
Quando cria um grupo de endereços, pode especificar o nome do grupo de endereços como uma string ou como um identificador de URL exclusivo. O URL exclusivo de um grupo de endereços ao nível do projeto pode ser construído no seguinte formato:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
Se usar um identificador de URL exclusivo para o nome do grupo de moradas, a localização do grupo de moradas já está incluída no identificador de URL. No entanto, se usar apenas o nome do grupo de moradas, tem de especificar a localização separadamente. Para mais informações acerca dos identificadores únicos de URL, consulte as especificações do grupo de endereços.
Um grupo de endereços pode ter tipos de itens IPv4 ou IPv6, mas não ambos. Também tem de especificar a capacidade máxima de itens para um grupo de endereços. Depois de criar o grupo de moradas, não pode alterar o nome, o tipo de artigo nem a capacidade do artigo do grupo de moradas.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione o seu projeto.
Clique em Criar grupo de endereços.
No campo Nome, introduza um nome.
Opcional: no campo Descrição, introduza uma descrição.
Em Âmbito, escolha Global ou Regional.
Se escolher Regional, especifique a região onde o grupo de endereços é criado.
Em Tipo, selecione IPv4 ou IPv6.
Para Objetivo, selecione Firewall.
Se quiser usar o grupo de endereços nas políticas de firewall de nova geração do Cloud e nas políticas de segurança do Google Cloud Armor, escolha Cloud NGFW e Cloud Armor.
Para mais informações sobre este campo , consulte a especificação do grupo de endereços.
No campo Capacidade, introduza a capacidade do grupo de endereços.
No campo Endereços IP, liste os endereços IP ou os intervalos de IP que quer incluir no grupo de endereços. Por exemplo,
1.1.1.0/24,1.2.0.0.Clique em Criar.
gcloud
Para criar um grupo de endereços, use o comando gcloud network-security address-groups create:
gcloud network-security address-groups create NAME \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
Substitua o seguinte:
NAME: o nome do grupo de endereços; pode especificar o nome como uma string ou como um identificador de URL exclusivoTYPE: o tipo de grupo de endereços: IPv4 ou IPv6CAPACITY: a capacidade do grupo de moradasLOCATION: a localização do grupo de moradasPode definir este valor como
globalou um código de região (comoeurope-west). Se usar um identificador de URL exclusivo para o parâmetroname, pode omitir o parâmetrolocation.DESCRIPTION: uma descrição opcional para o grupo de endereços
Descreva um grupo de endereços
Para ver os detalhes de um grupo de moradas, tem de especificar o nome e a localização do grupo de moradas.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione o seu projeto.
Os grupos de moradas são apresentados na secção Grupos de moradas.
Para ver os detalhes, clique no nome do grupo de moradas.
gcloud
Para descrever um grupo de endereços, use o comando
gcloud network-security address-groups describe:
gcloud network-security address-groups describe NAME \
--location LOCATION
Atualize um grupo de moradas
Não pode atualizar o nome, o tipo nem a capacidade do grupo de moradas. Só pode atualizar a descrição do grupo de endereços e os endereços IP.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione o seu projeto.
Os grupos de moradas são apresentados na secção Grupos de moradas.
Para editar um grupo de moradas, clique no nome do grupo de moradas.
Clique em Editar.
Modifique os campos obrigatórios.
Clique em Guardar.
gcloud
Para atualizar um grupo de moradas, use o comando
gcloud network-security address-groups update:
gcloud network-security address-groups update NAME \
--description DESCRIPTION \
--location LOCATION
Liste grupos de endereços
Pode listar todos os grupos de endereços numa localização.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione o seu projeto.
Os grupos de moradas são apresentados na secção Grupos de moradas.
gcloud
Para apresentar uma lista dos grupos de endereços, use o comando gcloud network-security address-groups list:
gcloud network-security address-groups list \
--location LOCATION
Elimine um grupo de endereços
Pode eliminar um grupo de moradas especificando o respetivo nome e localização. No entanto, se o grupo de endereços for referenciado por uma política de firewall, não é possível eliminar esse grupo de endereços.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione o seu projeto.
Os grupos de moradas são apresentados na secção Grupos de moradas.
Selecione a caixa de verificação junto ao grupo de moradas que quer eliminar. Certifique-se de que o grupo de endereços selecionado não é referenciado por nenhuma política de firewall.
Clique em Eliminar e, em seguida, clique novamente em Eliminar para confirmar.
gcloud
Para eliminar um grupo de endereços num projeto, use o comando
gcloud network-security address-groups delete:
gcloud network-security address-groups delete NAME \ --location LOCATION
Encontre referências de grupos de moradas
Um grupo de endereços é usado por políticas de firewall. Pode encontrar a lista de todas as políticas de firewall que usam um grupo de endereços específico.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione o seu projeto.
Os grupos de moradas são apresentados na secção Grupos de moradas.
Clique no nome do grupo de moradas.
No campo Em utilização por, as políticas de firewall que usam este grupo de endereços são apresentadas no seguinte formato:
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
Para listar todos os recursos que referenciam um grupo de endereços com âmbito de projeto, use o comando gcloud network-security address-groups list-references:
gcloud network-security address-groups list-references NAME \
--location LOCATION
Adicione itens a um grupo de moradas
Pode adicionar vários itens, como endereços IP ou intervalos de IP, a um grupo de endereços. Se o pedido contiver itens que já fazem parte dos grupos de moradas, esses itens são ignorados. Se o pedido contiver itens inválidos, o pedido inteiro falha.
Consola
Para adicionar um item a um grupo de endereços através da Google Cloud consola, siga o procedimento mencionado em Atualize um grupo de endereços.
gcloud
Para adicionar itens a um grupo de moradas, use o comando
gcloud network-security address-groups add-items:
gcloud network-security address-groups add-items NAME \
--items ITEMS \
--location LOCATION
Substitua o seguinte:
NAME: o nome do grupo de endereços. Pode especificar o nome como uma string ou como um identificador de URL exclusivoITEMS: uma lista separada por vírgulas de endereços IP ou intervalos de IP no formato CIDRLOCATION: a localização do grupo de moradasPode definir este valor como
globalou um código de região (comoeurope-west). Se usar um identificador de URL exclusivo para o parâmetroname, pode omitir o parâmetrolocation.
Remova um item de um grupo de endereços
Pode remover itens existentes de um grupo de endereços. Se algum dos itens no pedido for inválido, o pedido falha. Se o pedido contiver itens que não fazem parte do grupo de endereços, esses itens são ignorados.
Consola
Para remover um item de um grupo de endereços através da Google Cloud consola, siga o procedimento mencionado em Atualize um grupo de endereços.
gcloud
Para remover itens de um grupo de endereços, use o comando
gcloud network-security address-groups remove-items:
gcloud network-security address-groups remove-items NAME \
--items ITEMS \
--location LOCATION
Clone itens de outro grupo de endereços
Pode clonar itens de um grupo de endereços para outro.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione o seu projeto.
Os grupos de moradas são apresentados na secção Grupos de moradas.
Clique no nome do grupo de moradas que quer clonar.
Clique em Clonar.
No painel Clonar grupo de moradas, em Nome, introduza um nome.
Opcional: no campo Descrição, introduza uma descrição.
Para Âmbito, selecione Global ou Regional.
Se escolher Regional, especifique a região onde o grupo de endereços é criado.
Em Tipo, selecione IPv4 ou IPv6.
Para Objetivo, selecione Firewall.
No campo Capacidade, introduza a capacidade do grupo de endereços.
No campo Endereços IP, atualize os endereços IP ou os intervalos de IP clonados do grupo de endereços.
Clique em Clonar.
gcloud
Para clonar um grupo de endereços através da CLI Google Cloud, siga estas diretrizes:
- Ambos os grupos de moradas têm de ser do mesmo tipo.
- Ambos os grupos de moradas têm de estar na mesma região.
- Certifique-se de que o novo grupo de endereços tem capacidade suficiente para os itens do grupo de endereços de origem que estão a ser clonados.
Para especificar o grupo de endereços de origem, use o seguinte formato de identificador de URL único:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAMEPara mais informações sobre identificadores de URL únicos para grupos de moradas, consulte as especificações do grupo de moradas.
Para clonar itens de um grupo de endereços, use o comando gcloud network-security address-groups clone-items:
gcloud network-security address-groups clone-items NAME \
--source SOURCE_NAMED_LIST \
--location LOCATION
Substitua o seguinte:
NAME: o nome do grupo de endereços. Pode especificar o nome como uma string ou como um identificador de URL exclusivoSOURCE_NAMED_LIST: um identificador de URL exclusivo do grupo de endereços de origem a partir do qual os itens são clonadosLOCATION: a localização do grupo de endereços de destinoPode definir este valor como
globalou um código de região (comoeurope-west). Se usar um identificador de URL exclusivo para o parâmetroname, pode omitir o parâmetrolocation.
Grupos de moradas ao nível da organização
Esta secção fornece informações detalhadas sobre como gerir grupos de moradas ao nível da organização.
Os grupos de endereços com âmbito da organização são definidos ao nível da organização e aplicam-se a todos os recursos na organização, conforme especificado na hierarquia de recursos. Para usar um grupo de endereços, tem de o associar a uma regra de firewall numa política de firewall hierárquica, numa política de firewall de rede global ou numa política de firewall de rede regional.
Crie um grupo de endereços
O tipo de contentor
do grupo de moradas ao nível da organização está sempre definido como organization.
Quando cria um grupo de endereços, pode especificar o nome do grupo de endereços como uma string ou como um identificador de URL exclusivo. O URL exclusivo de um grupo de moradas ao nível da organização pode ser criado no seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
Se usar um identificador de URL exclusivo para o nome do grupo de moradas, o ID da organização ou a localização do grupo de moradas já está incluído no identificador de URL. No entanto, se usar apenas o nome do grupo de moradas, tem de especificar o ID da organização e a localização onde está a definir o grupo de moradas. Para mais informações sobre identificadores de URLs únicos, consulte as especificações do grupo de endereços.
Um grupo de endereços pode ter tipos de itens IPv4 ou IPv6, mas não ambos. Também tem de especificar a capacidade máxima de itens para um grupo de endereços. Depois de criar o grupo de moradas, não pode alterar o nome, o tipo de artigo nem a capacidade de artigos do grupo de moradas.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione a sua organização.
Clique em Criar grupo de endereços.
No campo Nome, introduza um nome.
Opcional: no campo Descrição, introduza uma descrição.
Para Âmbito, selecione Global ou Regional.
Se escolher Regional, especifique a região onde o grupo de endereços é criado.
Em Tipo, selecione IPv4 ou IPv6.
Para Objetivo, selecione Firewall.
No campo Capacidade, introduza a capacidade do grupo de endereços.
No campo Endereços IP, liste os endereços IP ou os intervalos de IP que quer incluir no grupo de endereços. Por exemplo,
1.1.1.0/24,1.2.0.0.Clique em Criar.
gcloud
Para criar um grupo de endereços ao nível da organização, use o comando gcloud network-security org-address-groups create:
gcloud network-security org-address-groups create NAME \ --organization ORGANIZATION \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
Substitua o seguinte:
NAME: o nome do grupo de endereços. Pode especificar o nome como uma string ou como um identificador de URL exclusivoORGANIZATION: o ID da organização onde o grupo de endereços é criadoSe usar um identificador de URL exclusivo para o parâmetro
name, pode omitir o parâmetroorganization.TYPE: o tipo de grupo de endereços: IPv4 ou IPv6CAPACITY: a capacidade do grupo de moradasLOCATION: a localização do grupo de moradasPode definir este valor como
globalou um código de região (comoeurope-west). Se usar um identificador de URL exclusivo para o parâmetroname, pode omitir o parâmetrolocation.DESCRIPTION: uma descrição opcional para o grupo de endereços
Descreva um grupo de endereços
Pode ver os detalhes de um grupo de endereços específico.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione a sua organização.
Os grupos de moradas são apresentados na secção Grupos de moradas.
Para ver os detalhes, clique no nome do grupo de endereços.
gcloud
Para descrever um grupo de endereços ao nível da organização, use o comando gcloud network-security org-address-groups describe:
gcloud network-security org-address-groups describe NAME \
--organization ORGANIZATION \
--location LOCATION
Atualize um grupo de moradas
Não pode atualizar o nome, o tipo nem a capacidade do grupo de moradas. Só pode atualizar a descrição do grupo de endereços e os endereços IP.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione a sua organização.
Os grupos de moradas são apresentados na secção Grupos de moradas.
Para editar um grupo de moradas, clique no nome do grupo de moradas.
Clique em Editar.
Modifique os campos obrigatórios.
Clique em Guardar.
gcloud
Para atualizar um grupo de moradas ao nível da organização, use o comando gcloud network-security org-address-groups update:
gcloud network-security org-address-groups update NAME \
--organization ORGANIZATION \
--description DESCRIPTION \
--location LOCATION
Liste grupos de endereços
Pode listar todos os grupos de endereços numa localização.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione a sua organização.
Os grupos de moradas são apresentados na secção Grupos de moradas.
gcloud
Para apresentar uma lista dos grupos de endereços numa organização, use o comando gcloud network-security org-address-groups list:
gcloud network-security org-address-groups list \
--organization ORGANIZATION \
--location LOCATION
Elimine um grupo de endereços
Pode eliminar um grupo de moradas especificando o respetivo nome, organização e localização. Se o grupo de endereços for referenciado por uma política de firewall, não é possível eliminar esse grupo de endereços.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione a sua organização.
Os grupos de moradas são apresentados na secção Grupos de moradas.
Selecione a caixa de verificação junto ao grupo de moradas que quer eliminar. Certifique-se de que o grupo de endereços selecionado não é referenciado por nenhuma política de firewall.
Clique em Eliminar e, em seguida, clique novamente em Eliminar para confirmar.
gcloud
Para eliminar um grupo de endereços ao nível da organização, use o comando gcloud network-security org-address-groups delete:
gcloud network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
Encontre referências de grupos de moradas
Um grupo de endereços é usado pelas políticas de firewall. Pode encontrar a lista de todas as políticas de firewall que usam um grupo de endereços específico.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione a sua organização.
Os grupos de moradas são apresentados na secção Grupos de moradas.
Clique no nome do grupo de moradas.
No campo Em utilização por, as políticas de firewall que usam este grupo de endereços são apresentadas no seguinte formato:
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
Para apresentar uma lista de todos os recursos que referenciam um grupo de endereços ao nível da organização,
use o comando gcloud network-security org-address-groups list-references:
gcloud network-security org-address-groups list-references NAME \
--organization ORGANIZATION \
--location LOCATION
Adicione itens a um grupo de moradas
Pode adicionar vários itens, como endereços IP ou intervalos de IP, a um grupo de endereços. Se o pedido contiver itens que já fazem parte do grupo de endereços, esses itens são ignorados. Se o pedido contiver itens inválidos, o pedido inteiro falha.
Consola
Para adicionar um item a um grupo de endereços com âmbito da organização através da Google Cloud consola, siga o procedimento mencionado em Atualize um grupo de endereços.
gcloud
Para adicionar itens a um grupo de moradas ao nível da organização, use o comando
gcloud network-security org-address-groups add-items:
gcloud network-security org-address-groups add-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
Substitua o seguinte:
NAME: o nome do grupo de endereços. Pode especificar o nome como uma string ou como um identificador de URL exclusivoORGANIZATION: o ID da organização onde o grupo de endereços é criadoSe usar um identificador de URL exclusivo para o parâmetro
name, pode omitir o parâmetroorganization.ITEMS: uma lista separada por vírgulas de endereços IP ou intervalos de IP no formato CIDRLOCATION: a localização do grupo de moradasPode definir este valor como
globalou um código de região (comoeurope-west). Se usar um identificador de URL exclusivo para o parâmetroname, pode omitir o parâmetrolocation.
Remova um item de um grupo de endereços
Pode remover itens existentes de um grupo de endereços. Se algum dos itens no pedido for inválido, o pedido falha. Se o pedido contiver itens que não fazem parte do grupo de endereços, esses itens são ignorados.
Consola
Para remover um item de um grupo de endereços ao nível da organização através da Google Cloud consola, siga o procedimento mencionado em Atualize um grupo de endereços.
gcloud
Para remover um item de um grupo de endereços ao nível da organização, use o comando
gcloud network-security org-address-groups remove-items:
gcloud network-security org-address-groups remove-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
Clone itens de outro grupo de endereços
Pode clonar itens de um grupo de endereços para outro.
Consola
Na Google Cloud consola, aceda à página Grupos de endereços.
No menu do seletor de projetos, selecione a sua organização.
Os grupos de moradas são apresentados na secção Grupos de moradas.
Clique no nome do grupo de moradas que quer clonar.
Clique em Clonar.
No painel Clonar grupo de moradas, em Nome, introduza um nome.
Opcional: no campo Descrição, introduza uma descrição.
Para Âmbito, selecione Global ou Regional.
Se escolher Regional, especifique a região onde o grupo de endereços é criado.
Em Tipo, selecione IPv4 ou IPv6.
Para Objetivo, selecione Firewall.
No campo Capacidade, introduza a capacidade do grupo de endereços.
No campo Endereços IP, atualize os endereços IP ou os intervalos de IP clonados do grupo de endereços.
Clique em Clonar.
gcloud
Para clonar um grupo de endereços através da CLI gcloud, siga estas diretrizes:
- Ambos os grupos de moradas têm de ser do mesmo tipo.
- Ambos os grupos de moradas têm de estar na mesma localização.
- Certifique-se de que o novo grupo de endereços tem capacidade suficiente para os itens do grupo de endereços de origem que estão a ser clonados.
Para especificar o grupo de endereços de origem, tem de usar o seguinte identificador de URL exclusivo:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
Para mais informações sobre identificadores de URL únicos para grupos de moradas, consulte as especificações do grupo de moradas.
Para clonar itens de um grupo de endereços ao nível da organização, use o comando
gcloud network-security org-address-groups clone-items:
gcloud network-security org-address-groups clone-items NAME \
--organization ORGANIZATION \
--source SOURCE_NAMED_LIST \
--location LOCATION
Substitua o seguinte:
NAME: o nome do grupo de endereços. Pode especificar o nome como uma string ou como um identificador de URL exclusivoORGANIZATION: o ID da organização onde o grupo de moradas foi criadoSe usar um identificador de URL exclusivo para o parâmetro
name, pode omitir o parâmetroorganization.SOURCE_NAMED_LIST: um identificador de URL exclusivo do grupo de endereços de origem a partir do qual os itens são clonadosLOCATION: a localização do grupo de endereços de destinoPode ser definido como
globalou um código de região (comoeurope-west). Se usar um identificador de URL exclusivo para o parâmetroname, pode omitir o parâmetrolocation.
O que se segue?
- Use políticas de firewall hierárquicas
- Use políticas de firewall de rede global
- Use políticas de firewall de rede regionais