Usar grupos de endereços em políticas de firewall

Para usar grupos de endereços, primeiro você precisa identificar o escopo do grupo de endereços relevante para seu requisito. O escopo identifica o nível em que o grupo de endereços é aplicável na hierarquia de recursos.

Se você quiser usar um grupo de endereços em uma regra de política de firewall que se aplique a um projeto individual, use um grupo de endereços com escopo de projeto.

Se você quiser usar um grupo de endereços em uma regra de política de firewall aplicável na hierarquia em todos os recursos de uma organização ou rede, use um grupo de endereços com escopo da organização.

Grupos de endereços com escopo do projeto

Nesta seção, você verá informações detalhadas sobre como gerenciar grupos de endereços com escopo do projeto.

Os grupos de endereços com escopo no projeto são definidos no nível do projeto e se aplicam apenas ao projeto em que são criados. Para usar um grupo de endereços, você precisa associá-lo a uma regra de firewall em uma política de firewall de rede global ou política de firewall de rede regional. O local do grupo de endereços precisa ser o mesmo da política de firewall em que é usado.

Criar um grupo de endereços

O tipo de contêiner do grupo de endereços com escopo do projeto é sempre definido como projects.

Ao criar um grupo de endereços, você pode especificar o nome dele como uma string ou como um identificador de URL exclusivo. O URL exclusivo de um grupo de endereços no escopo do projeto pode ser construído no seguinte formato:

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

Se você usar um identificador de URL exclusivo para o nome do grupo de endereços, o local do grupo de endereços já estará incluído no identificador de URL. No entanto, se você usar apenas o nome do grupo de endereços, precisará especificar o local separadamente. Para mais informações sobre identificadores de URL exclusivos, consulte Especificações do grupo de endereços.

Um grupo de endereços pode ter tipos de itens IPv4 ou IPv6, mas não ambos. Você também precisa especificar a capacidade máxima do item para um grupo de endereços. Após a criação do grupo de endereços, não é possível mudar o nome, o tipo ou a capacidade do item.

gcloud 

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Substitua:

  • NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou como um identificador de URL exclusivo

  • TYPE: o tipo de grupo de endereços – IPv4 ou IPv6.

  • CAPACITY: a capacidade do grupo de endereços.

  • LOCATION: a localização do grupo de endereços.

    Isso pode ser definido como global ou um código de região (como europe-west). Se você usar um identificador de URL exclusivo para o parâmetro name, será possível omitir o parâmetro location.

  • DESCRIPTION: uma descrição opcional para o grupo de endereços.

Descrever um grupo de endereços

Para ver os detalhes de um grupo de endereços, especifique o nome e o local dele.

gcloud 

gcloud network-security address-groups describe NAME \
    --location LOCATION

Atualizar a descrição de um grupo de endereços

Não é possível atualizar o nome, o tipo ou a capacidade do grupo de endereços. Só é possível atualizar a descrição do grupo.

gcloud 

gcloud network-security address-groups update NAME \
    --description DESCRIPTION \
    --location LOCATION

Listar grupos de endereços

Você pode listar todos os grupos de endereços de um local.

gcloud 

gcloud network-security address-groups list \
    --location LOCATION

Excluir um grupo de endereços

Para excluir um grupo de endereços, especifique o nome e o local dele. No entanto, se o grupo de endereços for referenciado por uma política de firewall, ele não poderá ser excluído.

gcloud 

gcloud network-security address-groups delete NAME \
  --location LOCATION

Encontrar referências de grupos de endereços

Um grupo de endereços é usado por políticas de firewall. É possível encontrar a lista de todas as políticas de firewall que usam um grupo de endereços específico.

gcloud 

gcloud network-security address-groups list-references NAME \
    --location LOCATION

Adicionar itens a um grupo de endereços

É possível adicionar vários itens, como endereços ou intervalos de IP, a um grupo de endereços. Se a solicitação tiver itens que já fazem parte dos grupos de endereços, eles vão ser ignorados. Se a solicitação tiver itens inválidos, toda a solicitação falhará.

gcloud 

gcloud network-security address-groups add-items NAME \
    --items ITEMS \
    --location LOCATION

Substitua:

  • NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivo

  • ITEMS: uma lista separada por vírgulas de endereços ou intervalos de IP no formato CIDR

  • LOCATION: a localização do grupo de endereços.

    Isso pode ser definido como global ou um código de região (como europe-west). Se você usar um identificador de URL exclusivo para o parâmetro name, será possível omitir o parâmetro location.

Remover item de um grupo de endereços

Você pode remover itens de um grupo de endereços. Se algum dos itens na solicitação for inválido, a solicitação vai falhar. Se a solicitação tiver itens que não fazem parte do grupo de endereços, esses itens serão ignorados.

gcloud 

gcloud network-security address-groups remove-items NAME \
    --items ITEMS \
    --location LOCATION

Clonar itens de outro grupo de endereços

Você pode clonar itens de um grupo de endereços para outro. Para clonar um grupo de endereços, siga estas diretrizes:

  • Os dois grupos de endereços precisam ser do mesmo tipo.
  • Os dois grupos de endereços precisam estar na mesma região.
  • Verifique se o novo grupo de endereços tem capacidade suficiente para acomodar os itens do grupo de endereços de origem que estão sendo clonados.

  • Para especificar o grupo de endereços de origem, use o seguinte formato de identificador de URL exclusivo:

    projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

    Para mais informações sobre os identificadores de URL exclusivos para grupos de endereços, consulte Especificações do grupo de endereços.

gcloud 

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Substitua:

  • NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou como um identificador de URL exclusivo

  • SOURCE_NAMED_LIST: um identificador de URL exclusivo do grupo de endereços de origem de onde os itens são clonados.

  • LOCATION: o local do grupo de endereços de destino.

    Isso pode ser definido como global ou um código de região (como europe-west). Se você usar um identificador de URL exclusivo para o parâmetro name, será possível omitir o parâmetro location.

Grupos de endereços no escopo da organização

Nesta seção, você verá informações detalhadas sobre como gerenciar grupos de endereços no escopo da organização.

Os grupos de endereços com escopo da organização são definidos no nível da organização e se aplicam a todos os recursos da organização, conforme especificado na hierarquia de recursos. Para usar um grupo de endereços, você precisa associá-lo a uma regra de firewall em uma política hierárquica de firewall, uma política de firewall da rede global ou uma política de firewall de rede regional.

Criar um grupo de endereços

O tipo de contêiner do grupo de endereços com escopo da organização sempre é definido como organization.

Ao criar um grupo de endereços, você pode especificar o nome dele como uma string ou como um identificador de URL exclusivo. O URL exclusivo de um grupo de endereços no escopo da organização pode ser construído no seguinte formato:

organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Se você usar um identificador de URL exclusivo para o nome do grupo de endereços, o ID ou o local da organização para o grupo de endereços já estará incluído no identificador do URL. No entanto, se você usar apenas o nome do grupo de endereços, precisará especificar o ID da organização e o local onde está definindo o grupo de endereços. Para mais informações sobre identificadores de URL exclusivos, consulte Especificações do grupo de endereços.

Um grupo de endereços pode ter tipos de itens IPv4 ou IPv6, mas não ambos. Você também precisa especificar a capacidade máxima do item para um grupo de endereços. Após a criação do grupo de endereços, não é possível mudar o nome, o tipo ou a capacidade do item.

gcloud 

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Substitua:

  • NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivo

  • ORGANIZATION: o ID da organização em que o grupo de endereços é criado

    Se você usar um identificador de URL exclusivo para o parâmetro name, será possível omitir o parâmetro organization.

  • TYPE: o tipo de grupo de endereços – IPv4 ou IPv6.

  • CAPACITY: a capacidade do grupo de endereços.

  • LOCATION: a localização do grupo de endereços.

    Isso pode ser definido como global ou um código de região (como europe-west). Se você usar um identificador de URL exclusivo para o parâmetro name, será possível omitir o parâmetro location.

  • DESCRIPTION: uma descrição opcional para o grupo de endereços.

Descrever um grupo de endereços

Você pode ver os detalhes de um grupo de endereços específico.

gcloud 

gcloud network-security org-address-groups describe NAME \
    --organization ORGANIZATION \
    --location LOCATION

Atualizar a descrição de um grupo de endereços

Não é possível atualizar o nome, o tipo ou a capacidade do grupo de endereços. Só é possível atualizar a descrição do grupo.

gcloud 

gcloud network-security org-address-groups update NAME \
    --organization ORGANIZATION \
    --description DESCRIPTION \
    --location LOCATION

Listar grupos de endereços

Você pode listar todos os grupos de endereços de um local.

gcloud 

gcloud network-security org-address-groups list \
    --organization ORGANIZATION \
    --location LOCATION

Excluir um grupo de endereços

Para excluir um grupo de endereços, especifique o nome, a organização e o local. Se o grupo de endereços for referenciado por uma política de firewall, esse grupo não poderá ser excluído.

gcloud 

gcloud network-security org-address-groups delete NAME \
  --organization ORGANIZATION \
  --location LOCATION

Encontrar referências de grupos de endereços

Um grupo de endereços é usado pelas políticas de firewall. É possível encontrar a lista de todas as políticas de firewall que usam um grupo de endereços específico.

gcloud 

gcloud network-security org-address-groups list-references NAME \
    --organization ORGANIZATION \
    --location LOCATION

Adicionar itens a um grupo de endereços

É possível adicionar vários itens, como endereços ou intervalos de IP, a um grupo de endereços. Se a solicitação contiver itens que já fazem parte do grupo de endereços, esses itens serão ignorados. Se a solicitação tiver itens inválidos, toda a solicitação falhará.

gcloud 

gcloud network-security org-address-groups add-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Substitua:

  • NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivo

  • ORGANIZATION: o ID da organização em que o grupo de endereços é criado

    Se você usar um identificador de URL exclusivo para o parâmetro name, será possível omitir o parâmetro organization.

  • ITEMS: uma lista separada por vírgulas de endereços ou intervalos de IP no formato CIDR

  • LOCATION: a localização do grupo de endereços.

    Isso pode ser definido como global ou um código de região (como europe-west). Se você usar um identificador de URL exclusivo para o parâmetro name, será possível omitir o parâmetro location.

Remover item de um grupo de endereços

Você pode remover itens de um grupo de endereços. Se algum dos itens na solicitação for inválido, a solicitação vai falhar. Se a solicitação tiver itens que não fazem parte do grupo de endereços, esses itens serão ignorados.

gcloud 

gcloud network-security org-address-groups remove-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Clonar itens de outro grupo de endereços

Você pode clonar itens de um grupo de endereços para outro. Para clonar um grupo de endereços, siga estas diretrizes:

  • Os dois grupos de endereços precisam ser do mesmo tipo.
  • Os dois grupos de endereços precisam estar no mesmo local.
  • Verifique se o novo grupo de endereços tem capacidade suficiente para acomodar os itens do grupo de endereços de origem que estão sendo clonados.

  • Para especificar o grupo de endereços de origem, use o seguinte identificador de URL exclusivo:

    organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

    Para mais informações sobre identificadores de URL exclusivos para grupos de endereços, consulte Especificações do grupo de endereços.

gcloud 

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Substitua:

  • NAME: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivo

  • ORGANIZATION: o ID da organização em que o grupo de endereços é criado

    Se você usar um identificador de URL exclusivo para o parâmetro name, será possível omitir o parâmetro organization.

  • SOURCE_NAMED_LIST: um identificador de URL exclusivo do grupo de endereços de origem de onde os itens são clonados.

  • LOCATION: o local do grupo de endereços de destino.

    Isso pode ser definido como global ou um código de região (como europe-west). Se você usar um identificador de URL exclusivo para o parâmetro name, será possível omitir o parâmetro location.

A seguir