Para usar grupos de endereços, primeiro você precisa identificar o escopo do grupo de endereços relevante para seu requisito. O escopo identifica o nível em que o grupo de endereços é aplicável na hierarquia de recursos.
Se você quiser usar um grupo de endereços em uma regra de política de firewall que se aplique a um projeto individual, use um grupo de endereços com escopo de projeto.
Se você quiser usar um grupo de endereços em uma regra de política de firewall aplicável na hierarquia em todos os recursos de uma organização ou rede, use um grupo de endereços com escopo da organização.
Grupos de endereços com escopo do projeto
Nesta seção, você verá informações detalhadas sobre como gerenciar grupos de endereços com escopo do projeto.
Os grupos de endereços com escopo no projeto são definidos no nível do projeto e se aplicam apenas ao projeto em que são criados. Para usar um grupo de endereços, você precisa associá-lo a uma regra de firewall em uma política de firewall de rede global ou política de firewall de rede regional. O local do grupo de endereços precisa ser o mesmo da política de firewall em que é usado.
Criar um grupo de endereços
O tipo de contêiner
do grupo de endereços com escopo do projeto é sempre definido como projects.
Ao criar um grupo de endereços, você pode especificar o nome dele como uma string ou como um identificador de URL exclusivo. O URL exclusivo de um grupo de endereços no escopo do projeto pode ser construído no seguinte formato:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
Se você usar um identificador de URL exclusivo para o nome do grupo de endereços, o local do grupo de endereços já estará incluído no identificador de URL. No entanto, se você usar apenas o nome do grupo de endereços, precisará especificar o local separadamente. Para mais informações sobre identificadores de URL exclusivos, consulte Especificações do grupo de endereços.
Um grupo de endereços pode ter tipos de itens IPv4 ou IPv6, mas não ambos. Você também precisa especificar a capacidade máxima do item para um grupo de endereços. Após a criação do grupo de endereços, não é possível mudar o nome, o tipo ou a capacidade do item.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, escolha seu projeto.
Clique em Criar grupo de endereços.
Digite um nome no campo Nome.
Opcional: no campo Descrição, insira uma descrição.
Em Escopo, escolha Global ou Regional.
Se você escolher Regional, especifique a região em que um grupo de endereços IP é criado.
Em Tipo, selecione IPv4 ou IPv6.
Em Finalidade, selecione Firewall.
Se você quiser usar o grupo de endereços nas políticas do Cloud Next Generation Firewall e de segurança do Google Cloud Armor, escolha Cloud NGFW e Cloud Armor.
Para mais informações sobre esse campo , consulte a especificação do grupo de endereços.
No campo Capacidade, insira a capacidade do grupo de endereços.
No campo Endereços IP, liste os endereços IP ou intervalos de IP que você quer incluir no grupo de endereços. Por exemplo,
1.1.1.0/24,1.2.0.0.Clique em Criar.
gcloud
Para criar um grupo de endereços, use o
Comando gcloud network-security address-groups create:
gcloud network-security address-groups create NAME \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
Substitua:
NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou como um identificador de URL exclusivoTYPE: o tipo de grupo de endereços – IPv4 ou IPv6.CAPACITY: a capacidade do grupo de endereços.LOCATION: a localização do grupo de endereços.Isso pode ser definido como
globalou um código de região (comoeurope-west). Se você usar um identificador de URL exclusivo para o parâmetroname, será possível omitir o parâmetrolocation.DESCRIPTION: uma descrição opcional para o grupo de endereços.
Descrever um grupo de endereços
Para ver os detalhes de um grupo de endereços, especifique o nome e o local dele.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, escolha seu projeto.
Os grupos de endereços são listados na seção Grupos de endereços.
Para ver os detalhes, clique no nome do seu grupo de endereços.
gcloud
Para descrever um grupo de endereços, use o
Comando gcloud network-security address-groups describe:
gcloud network-security address-groups describe NAME \
--location LOCATION
Atualizar um grupo de endereços
Não é possível atualizar o nome, o tipo ou a capacidade do grupo de endereços. Você pode só atualizam a descrição do grupo de endereços e os endereços IP.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, escolha seu projeto.
Os grupos de endereços são listados na seção Grupos de endereços.
Para editar um grupo de endereços, clique no nome dele.
Clique em Editar.
Modifique os campos obrigatórios.
Clique em Salvar.
gcloud
Para atualizar um grupo de endereços, use o
Comando gcloud network-security address-groups update:
gcloud network-security address-groups update NAME \
--description DESCRIPTION \
--location LOCATION
Listar grupos de endereços
Você pode listar todos os grupos de endereços de um local.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, escolha seu projeto.
Os grupos de endereços são listados na seção Grupos de endereços.
gcloud
Para listar os grupos de endereços, use o evento
Comando gcloud network-security address-groups list:
gcloud network-security address-groups list \
--location LOCATION
Excluir um grupo de endereços
Para excluir um grupo de endereços, especifique o nome e o local dele. No entanto, se o grupo de endereços for referenciado por uma política de firewall, ele não poderá ser excluído.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, escolha seu projeto.
Os grupos de endereços são listados na seção Grupos de endereços.
Marque a caixa de seleção ao lado do grupo de endereços que você quer excluir. Verifique se o grupo de endereços selecionado não é referenciado por nenhuma política de firewall.
Clique em Excluir, e depois em Excluir novamente para confirmar.
gcloud
Para excluir um grupo de endereços em um projeto, use o método
Comando gcloud network-security address-groups delete:
gcloud network-security address-groups delete NAME \ --location LOCATION
Encontrar referências de grupos de endereços
Um grupo de endereços é usado por políticas de firewall. É possível encontrar a lista de todas as políticas de firewall que usam um grupo de endereços específico.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, escolha seu projeto.
Os grupos de endereços são listados na seção Grupos de endereços.
Clique no nome do seu grupo de endereços.
No campo Em uso por, as políticas de firewall que usam esse grupo de endereços são listadas no seguinte formato:
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
Para listar todos os recursos que fazem referência a um grupo de endereços no escopo do projeto, use o comando gcloud network-security address-groups list-references:
gcloud network-security address-groups list-references NAME \
--location LOCATION
Adicionar itens a um grupo de endereços
É possível adicionar vários itens, como endereços ou intervalos de IP, a um grupo de endereços. Se a solicitação tiver itens que já fazem parte dos grupos de endereços, eles vão ser ignorados. Se a solicitação tiver itens inválidos, toda a solicitação falhará.
Console
Para adicionar um item a um grupo de endereços usando o console do Google Cloud, siga o procedimento mencionado em Atualizar um grupo de endereços.
gcloud
Para adicionar itens a um grupo de endereços, use o
comando gcloud network-security address-groups add-items:
gcloud network-security address-groups add-items NAME \
--items ITEMS \
--location LOCATION
Substitua:
NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivoITEMS: uma lista separada por vírgulas de endereços ou intervalos de IP no formato CIDRLOCATION: a localização do grupo de endereços.Isso pode ser definido como
globalou um código de região (comoeurope-west). Se você usar um identificador de URL exclusivo para o parâmetroname, será possível omitir o parâmetrolocation.
Remover item de um grupo de endereços
Você pode remover itens de um grupo de endereços. Se algum dos itens na solicitação for inválido, a solicitação vai falhar. Se a solicitação tiver itens que não fazem parte do grupo de endereços, esses itens serão ignorados.
Console
Para remover um item de um grupo de endereços usando o console do Google Cloud, siga o procedimento mencionado em Atualizar um grupo de endereços.
gcloud
Para remover itens de um grupo de endereços, use o
Comando gcloud network-security address-groups remove-items:
gcloud network-security address-groups remove-items NAME \
--items ITEMS \
--location LOCATION
Clonar itens de outro grupo de endereços
Você pode clonar itens de um grupo de endereços para outro.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, escolha seu projeto.
Os grupos de endereços são listados na seção Grupos de endereços.
Clique no nome do grupo de endereços que você quer clonar.
Clique em Clone.
No painel Clone address group, insira um nome em Name.
Opcional: no campo Descrição, insira uma descrição.
Em Escopo, selecione Global ou Regional.
Se você escolher Regional, especifique a região em que um grupo de endereços IP é criado.
Em Tipo, selecione IPv4 ou IPv6.
Em Finalidade, selecione Firewall.
No campo Capacidade, insira a capacidade do grupo de endereços.
No campo Endereços IP, atualize os endereços ou intervalos de IP que clonadas do grupo de endereços.
Clique em Clonar.
gcloud
Para clonar um grupo de endereços usando a CLI do Google Cloud, siga estas diretrizes:
- Os dois grupos de endereços precisam ser do mesmo tipo.
- Os dois grupos de endereços precisam estar na mesma região.
- Verifique se o novo grupo de endereços tem capacidade suficiente para acomodar os itens do grupo de endereços de origem que estão sendo clonados.
Para especificar o grupo de endereços de origem, use o seguinte formato de identificador de URL exclusivo:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAMEPara mais informações sobre os identificadores de URL exclusivos para grupos de endereços, consulte Especificações do grupo de endereços.
Para clonar itens de um grupo de endereços, use o
comando gcloud network-security address-groups clone-items:
gcloud network-security address-groups clone-items NAME \
--source SOURCE_NAMED_LIST \
--location LOCATION
Substitua:
NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou como um identificador de URL exclusivoSOURCE_NAMED_LIST: um identificador de URL exclusivo do grupo de endereços de origem de onde os itens são clonados.LOCATION: o local do grupo de endereços de destino.Isso pode ser definido como
globalou um código de região (comoeurope-west). Se você usar um identificador de URL exclusivo para o parâmetroname, será possível omitir o parâmetrolocation.
Grupos de endereços no escopo da organização
Nesta seção, você verá informações detalhadas sobre como gerenciar grupos de endereços no escopo da organização.
Os grupos de endereços com escopo da organização são definidos no nível da organização e se aplicam a todos os recursos da organização, conforme especificado na hierarquia de recursos. Para usar um grupo de endereços, você precisa associá-lo a uma regra de firewall em uma política hierárquica de firewall, uma política de firewall da rede global ou uma política de firewall de rede regional.
Criar um grupo de endereços
O tipo de contêiner
do grupo de endereços com escopo da organização sempre é definido como organization.
Ao criar um grupo de endereços, você pode especificar o nome dele como uma string ou como um identificador de URL exclusivo. O URL exclusivo de um grupo de endereços no escopo da organização pode ser construído no seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
Se você usar um identificador de URL exclusivo para o nome do grupo de endereços, o ID ou o local da organização para o grupo de endereços já estará incluído no identificador do URL. No entanto, se você usar apenas o nome do grupo de endereços, precisará especificar o ID da organização e o local onde está definindo o grupo de endereços. Para mais informações sobre identificadores de URL exclusivos, consulte Especificações do grupo de endereços.
Um grupo de endereços pode ter tipos de itens IPv4 ou IPv6, mas não ambos. Você também precisa especificar a capacidade máxima do item para um grupo de endereços. Após a criação do grupo de endereços, não é possível mudar o nome, o tipo ou a capacidade do item.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, selecione sua organização.
Clique em Criar grupo de endereços.
Digite um nome no campo Nome.
Opcional: no campo Descrição, insira uma descrição.
Em Escopo, selecione Global ou Regional.
Se você escolher Regional, especifique a região em que um grupo de endereços IP é criado.
Em Tipo, selecione IPv4 ou IPv6.
Em Finalidade, selecione Firewall.
No campo Capacidade, insira a capacidade do grupo de endereços.
No campo Endereços IP, liste os endereços IP ou intervalos de IP que você quer incluir no grupo de endereços. Por exemplo,
1.1.1.0/24,1.2.0.0.Clique em Criar.
gcloud
Para criar um grupo de endereços no escopo da organização, use o
Comando gcloud network-security org-address-groups create:
gcloud network-security org-address-groups create NAME \ --organization ORGANIZATION \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
Substitua:
NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivoORGANIZATION: o ID da organização em que o grupo de endereços é criadoSe você usar um identificador de URL exclusivo para o parâmetro
name, será possível omitir o parâmetroorganization.TYPE: o tipo de grupo de endereços – IPv4 ou IPv6.CAPACITY: a capacidade do grupo de endereços.LOCATION: a localização do grupo de endereços.Isso pode ser definido como
globalou um código de região (comoeurope-west). Se você usar um identificador de URL exclusivo para o parâmetroname, será possível omitir o parâmetrolocation.DESCRIPTION: uma descrição opcional para o grupo de endereços.
Descrever um grupo de endereços
Você pode ver os detalhes de um grupo de endereços específico.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, selecione sua organização.
Os grupos de endereços são listados na seção Grupos de endereços.
Para conferir os detalhes, clique no nome do grupo de endereços.
gcloud
Para descrever um grupo de endereços no escopo da organização, use o
comando gcloud network-security org-address-groups describe:
gcloud network-security org-address-groups describe NAME \
--organization ORGANIZATION \
--location LOCATION
Atualizar um grupo de endereços
Não é possível atualizar o nome, o tipo ou a capacidade do grupo de endereços. Você pode só atualizam a descrição do grupo de endereços e os endereços IP.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, selecione sua organização.
Os grupos de endereços são listados na seção Grupos de endereços.
Para editar um grupo de endereços, clique no nome dele.
Clique em Editar.
Modifique os campos obrigatórios.
Clique em Salvar.
gcloud
Para atualizar um grupo de endereços no escopo da organização, use o
Comando gcloud network-security org-address-groups update:
gcloud network-security org-address-groups update NAME \
--organization ORGANIZATION \
--description DESCRIPTION \
--location LOCATION
Listar grupos de endereços
Você pode listar todos os grupos de endereços de um local.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, selecione sua organização.
Os grupos de endereços são listados na seção Grupos de endereços.
gcloud
Para listar os grupos de endereços em uma organização, use o
comando gcloud network-security org-address-groups list:
gcloud network-security org-address-groups list \
--organization ORGANIZATION \
--location LOCATION
Excluir um grupo de endereços
Para excluir um grupo de endereços, especifique o nome, a organização e o local. Se o grupo de endereços for referenciado por uma política de firewall, esse grupo não poderá ser excluído.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, selecione sua organização.
Os grupos de endereços são listados na seção Grupos de endereços.
Marque a caixa de seleção ao lado do grupo de endereços que você quer excluir. Verifique se o grupo de endereços selecionado não é referenciado por nenhuma política de firewall.
Clique em Excluir, e depois em Excluir novamente para confirmar.
gcloud
Para excluir um grupo de endereços no escopo da organização, use o
Comando gcloud network-security org-address-groups delete:
gcloud network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
Encontrar referências de grupos de endereços
Um grupo de endereços é usado pelas políticas de firewall. É possível encontrar a lista de todas as políticas de firewall que usam um grupo de endereços específico.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, selecione sua organização.
Os grupos de endereços são listados na seção Grupos de endereços.
Clique no nome do seu grupo de endereços.
No campo Em uso por, as políticas de firewall que usam esse grupo de endereços são listadas no seguinte formato:
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
Para listar todos os recursos que fazem referência a um grupo de endereços no escopo da organização,
Use o comando gcloud network-security org-address-groups list-references:
gcloud network-security org-address-groups list-references NAME \
--organization ORGANIZATION \
--location LOCATION
Adicionar itens a um grupo de endereços
É possível adicionar vários itens, como endereços ou intervalos de IP, a um grupo de endereços. Se a solicitação contiver itens que já fazem parte do grupo de endereços, esses itens serão ignorados. Se a solicitação tiver itens inválidos, toda a solicitação falhará.
Console
Para adicionar um item a um grupo de endereços no escopo da organização usando console do Google Cloud, siga o procedimento mencionado Atualizar um grupo de endereços.
gcloud
Para adicionar itens a um grupo de endereços no escopo da organização, use o
Comando gcloud network-security org-address-groups add-items:
gcloud network-security org-address-groups add-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
Substitua:
NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivoORGANIZATION: o ID da organização em que o grupo de endereços é criadoSe você usar um identificador de URL exclusivo para o parâmetro
name, será possível omitir o parâmetroorganization.ITEMS: uma lista separada por vírgulas de endereços ou intervalos de IP no formato CIDRLOCATION: a localização do grupo de endereços.Isso pode ser definido como
globalou um código de região (comoeurope-west). Se você usar um identificador de URL exclusivo para o parâmetroname, será possível omitir o parâmetrolocation.
Remover item de um grupo de endereços
Você pode remover itens de um grupo de endereços. Se algum dos itens na solicitação for inválido, a solicitação vai falhar. Se a solicitação tiver itens que não fazem parte do grupo de endereços, esses itens serão ignorados.
Console
Para remover um item de um grupo de endereços no escopo da organização usando o console do Google Cloud, siga o procedimento mencionado em Atualizar um grupo de endereços.
gcloud
Para remover um item de um grupo de endereços no escopo da organização, use o
comando gcloud network-security org-address-groups remove-items:
gcloud network-security org-address-groups remove-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
Clonar itens de outro grupo de endereços
Você pode clonar itens de um grupo de endereços para outro.
Console
No console do Google Cloud, acesse a página Grupos de endereços.
No menu do seletor de projetos, selecione sua organização.
Os grupos de endereços são listados na seção Grupos de endereços.
Clique no nome do grupo de endereços que você quer clonar.
Clique em Clone.
No painel Clone address group, insira um nome em Name.
Opcional: no campo Descrição, insira uma descrição.
Em Escopo, selecione Global ou Regional.
Se você escolher Regional, especifique a região em que um grupo de endereços IP é criado.
Em Tipo, selecione IPv4 ou IPv6.
Em Finalidade, selecione Firewall.
No campo Capacidade, insira a capacidade do grupo de endereços.
No campo Endereços IP, atualize os endereços ou intervalos de IP que clonadas do grupo de endereços.
Clique em Clonar.
gcloud
Para clonar um grupo de endereços usando a gcloud CLI, siga estas diretrizes:
- Os dois grupos de endereços precisam ser do mesmo tipo.
- Os dois grupos de endereços precisam estar no mesmo local.
- Verifique se o novo grupo de endereços tem capacidade suficiente para acomodar os itens do grupo de endereços de origem que estão sendo clonados.
Para especificar o grupo de endereços de origem, use o seguinte identificador de URL exclusivo:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
Para mais informações sobre identificadores de URL exclusivos para grupos de endereços, consulte Especificações do grupo de endereços.
Para clonar itens de um grupo de endereços no escopo da organização, use o
comando gcloud network-security org-address-groups clone-items:
gcloud network-security org-address-groups clone-items NAME \
--organization ORGANIZATION \
--source SOURCE_NAMED_LIST \
--location LOCATION
Substitua:
NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivoORGANIZATION: o ID da organização em que o grupo de endereços é criadoSe você usar um identificador de URL exclusivo para o parâmetro
name, será possível omitir o parâmetroorganization.SOURCE_NAMED_LIST: um identificador de URL exclusivo do grupo de endereços de origem de onde os itens são clonados.LOCATION: o local do grupo de endereços de destino.Isso pode ser definido como
globalou um código de região (comoeurope-west). Se você usar um identificador de URL exclusivo para o parâmetroname, será possível omitir o parâmetrolocation.
A seguir
- Use políticas hierárquicas de firewall
- Usar políticas globais do firewall de rede
- Usar políticas de firewall de rede regional