如需使用地址组,您必须先确定与您的要求相关的地址组的范围。范围用于标识地址组在资源层次结构中的适用级别。
如果您要在应用于单个项目的防火墙政策规则中使用地址组,请使用项目级地址组。
如果您要在适用于组织或网络中整个层次结构的所有资源的防火墙政策规则中使用地址组,请使用组织级地址组。
项目级地址组
本部分详细介绍了如何管理项目级地址组。
项目级地址组在项目级层定义,并且仅适用于在其中创建它们的项目。如需使用地址组,您必须将其与全球网络防火墙政策或区域级网络防火墙政策中的防火墙规则相关联。地址组的位置必须与其使用的防火墙政策的位置相同。
创建地址组
项目级地址组的容器类型始终设置为 projects。
创建地址组时,您可以将地址组的名称指定为字符串或唯一网址标识符。项目级地址组的唯一网址可以按以下格式构建:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
如果您为地址组名称使用唯一网址标识符,则地址组的位置已包含在该网址标识符中。但是,如果您仅使用地址组名称,则必须单独指定位置。 如需详细了解唯一网址标识符,请参阅地址组规范。
地址组可以包含 IPv4 或 IPv6 内容类型,但不能同时包含这两种类型。您还必须指定地址组的内容容量上限。地址组创建后,您将无法更改地址组的名称、内容类型或内容容量。
gcloud
gcloud network-security address-groups create NAME \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
请替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符TYPE:地址组的类型 - IPv4 或 IPv6CAPACITY:地址组的容量LOCATION:地址组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。DESCRIPTION:地址组的可选说明
描述地址组
如需查看地址组的详细信息,您必须指定地址组的名称和位置。
gcloud
gcloud network-security address-groups describe NAME \
--location LOCATION
更新地址组说明
您无法更新地址组的名称、类型或容量。您只能更新地址组说明。
gcloud
gcloud network-security address-groups update NAME \
--description DESCRIPTION \
--location LOCATION
列出地址组
您可以列出一个位置中的所有地址组。
gcloud
gcloud network-security address-groups list \
--location LOCATION
删除地址组
您可以通过指定地址组的名称和位置来将其删除。但是,如果防火墙政策引用了该地址组,则该地址组无法删除。
gcloud
gcloud network-security address-groups delete NAME \ --location LOCATION
查找地址组引用
地址组由防火墙政策使用。您可以找到使用特定地址组的所有防火墙政策的列表。
gcloud
gcloud network-security address-groups list-references NAME \
--location LOCATION
向地址组添加内容
您可以向地址组添加多项内容,例如 IP 地址或 IP 范围。如果请求中包含已经属于地址组的内容,则系统会忽略这些内容。如果请求包含无效内容,则整个请求会失败。
gcloud
gcloud network-security address-groups add-items NAME \
--items ITEMS \
--location LOCATION
请替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符ITEMS:以英文逗号分隔的 IP 地址或 IP 范围列表(采用 CIDR 格式)LOCATION:地址组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。
从地址组中移除内容
您可以从地址组中移除现有内容。如果请求中的任何内容无效,则请求会失败。如果请求中包含不属于地址组的内容,则系统会忽略这些内容。
gcloud
gcloud network-security address-groups remove-items NAME \
--items ITEMS \
--location LOCATION
从其他地址组中克隆内容
您可以将内容从一个地址组克隆到另一个地址组。如需克隆地址组,请遵循以下准则:
- 两个地址组必须属于同一类型。
- 两个地址组必须位于同一区域。
- 确保新地址组有足够的容量来容纳要克隆的来源地址组的内容。
如需指定来源地址组,请使用以下唯一网址标识符格式:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME如需详细了解地址组的唯一网址标识符,请参阅地址组规范。
gcloud
gcloud network-security address-groups clone-items NAME \
--source SOURCE_NAMED_LIST \
--location LOCATION
请替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符SOURCE_NAMED_LIST:从其中克隆内容的来源地址组的唯一网址标识符LOCATION:目标地址组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。
组织级地址组
本部分详细介绍了如何管理组织级地址组。
组织级地址组在组织级层定义,并应用于组织中资源层次结构所指定的所有资源。如需使用地址组,您必须将其与分层防火墙政策、全球网络防火墙政策或区域级网络防火墙政策中的防火墙规则相关联。
创建地址组
组织级地址组的容器类型始终设置为 organization。
创建地址组时,您可以将地址组的名称指定为字符串或唯一网址标识符。组织级地址组的唯一网址可以按以下格式构建:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
如果您为地址组名称使用唯一网址标识符,则地址组的组织 ID 或位置已包含在该网址标识符中。但是,如果您仅使用地址组名称,则必须指定组织的 ID 以及在其中定义地址组的位置。如需详细了解唯一网址标识符,请参阅地址组规范。
地址组可以包含 IPv4 或 IPv6 内容类型,但不能同时包含这两种类型。您还必须指定地址组的内容容量上限。地址组创建后,您将无法更改地址组的名称、内容类型或内容容量。
gcloud
gcloud network-security org-address-groups create NAME \ --organization ORGANIZATION \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
请替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符ORGANIZATION:在其中创建地址组的组织的 ID如果您为
name参数使用唯一网址标识符,则可以省略organization参数。TYPE:地址组的类型 - IPv4 或 IPv6CAPACITY:地址组的容量LOCATION:地址组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。DESCRIPTION:地址组的可选说明
描述地址组
您可以查看特定地址组的详细信息。
gcloud
gcloud network-security org-address-groups describe NAME \
--organization ORGANIZATION \
--location LOCATION
更新地址组说明
您无法更新地址组的名称、类型或容量。您只能更新地址组说明。
gcloud
gcloud network-security org-address-groups update NAME \
--organization ORGANIZATION \
--description DESCRIPTION \
--location LOCATION
列出地址组
您可以列出一个位置中的所有地址组。
gcloud
gcloud network-security org-address-groups list \
--organization ORGANIZATION \
--location LOCATION
删除地址组
您可以通过指定地址组的名称、组织和位置来将其删除。如果防火墙政策引用了该地址组,则该地址组无法删除。
gcloud
gcloud network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
查找地址组引用
地址组由防火墙政策使用。您可以找到使用特定地址组的所有防火墙政策的列表。
gcloud
gcloud network-security org-address-groups list-references NAME \
--organization ORGANIZATION \
--location LOCATION
向地址组添加内容
您可以向地址组添加多项内容,例如 IP 地址或 IP 范围。如果请求中包含已经属于地址组的内容,则系统会忽略此类内容。如果请求包含无效内容,则整个请求会失败。
gcloud
gcloud network-security org-address-groups add-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
请替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符ORGANIZATION:在其中创建地址组的组织的 ID如果您为
name参数使用唯一网址标识符,则可以省略organization参数。ITEMS:以英文逗号分隔的 IP 地址或 IP 范围列表(采用 CIDR 格式)LOCATION:地址组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。
从地址组中移除内容
您可以从地址组中移除现有内容。如果请求中的任何内容无效,则请求会失败。如果请求中包含不属于地址组的内容,则系统会忽略这些内容。
gcloud
gcloud network-security org-address-groups remove-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
从其他地址组中克隆内容
您可以将内容从一个地址组克隆到另一个地址组。如需克隆地址组,请遵循以下准则:
- 两个地址组必须属于同一类型。
- 两个地址组必须位于同一位置。
- 确保新地址组有足够的容量来容纳要克隆的来源地址组的内容。
如需指定来源地址组,您必须使用以下唯一网址标识符:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME如需详细了解地址组的唯一网址标识符,请参阅地址组规范。
gcloud
gcloud network-security org-address-groups clone-items NAME \
--organization ORGANIZATION \
--source SOURCE_NAMED_LIST \
--location LOCATION
请替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符ORGANIZATION:在其中创建地址组的组织的 ID如果您为
name参数使用唯一网址标识符,则可以省略organization参数。SOURCE_NAMED_LIST:从其中克隆内容的来源地址组的唯一网址标识符LOCATION:目标地址组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。