Para usar grupos de endereços, primeiro você precisa identificar o escopo do grupo de endereços relevante para seu requisito. O escopo identifica o nível em que o grupo de endereços é aplicável na hierarquia de recursos.
Se você quiser usar um grupo de endereços em uma regra de política de firewall que se aplique a um projeto individual, use um grupo de endereços com escopo de projeto.
Se você quiser usar um grupo de endereços em uma regra de política de firewall aplicável na hierarquia em todos os recursos de uma organização ou rede, use um grupo de endereços com escopo da organização.
Grupos de endereços com escopo do projeto
Nesta seção, você verá informações detalhadas sobre como gerenciar grupos de endereços com escopo do projeto.
Os grupos de endereços com escopo no projeto são definidos no nível do projeto e se aplicam apenas ao projeto em que são criados. Para usar um grupo de endereços, você precisa associá-lo a uma regra de firewall em uma política de firewall de rede global ou política de firewall de rede regional. O local do grupo de endereços precisa ser o mesmo da política de firewall em que é usado.
Criar um grupo de endereços
O tipo de contêiner
do grupo de endereços com escopo do projeto é sempre definido como projects
.
Ao criar um grupo de endereços, você pode especificar o nome dele como uma string ou como um identificador de URL exclusivo. O URL exclusivo de um grupo de endereços no escopo do projeto pode ser construído no seguinte formato:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
Se você usar um identificador de URL exclusivo para o nome do grupo de endereços, o local do grupo de endereços já estará incluído no identificador de URL. No entanto, se você usar apenas o nome do grupo de endereços, precisará especificar o local separadamente. Para mais informações sobre identificadores de URL exclusivos, consulte Especificações do grupo de endereços.
Um grupo de endereços pode ter tipos de itens IPv4 ou IPv6, mas não ambos. Você também precisa especificar a capacidade máxima do item para um grupo de endereços. Após a criação do grupo de endereços, não é possível mudar o nome, o tipo ou a capacidade do item.
gcloud
gcloud network-security address-groups create NAME \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
Substitua:
NAME
: o nome do grupo de endereços; você pode especificar o nome como uma string ou como um identificador de URL exclusivoTYPE
: o tipo de grupo de endereços – IPv4 ou IPv6.CAPACITY
: a capacidade do grupo de endereços.LOCATION
: a localização do grupo de endereços.Isso pode ser definido como
global
ou um código de região (comoeurope-west
). Se você usar um identificador de URL exclusivo para o parâmetroname
, será possível omitir o parâmetrolocation
.DESCRIPTION
: uma descrição opcional para o grupo de endereços.
Descrever um grupo de endereços
Para ver os detalhes de um grupo de endereços, especifique o nome e o local dele.
gcloud
gcloud network-security address-groups describe NAME \ --location LOCATION
Atualizar a descrição de um grupo de endereços
Não é possível atualizar o nome, o tipo ou a capacidade do grupo de endereços. Só é possível atualizar a descrição do grupo.
gcloud
gcloud network-security address-groups update NAME \ --description DESCRIPTION \ --location LOCATION
Listar grupos de endereços
Você pode listar todos os grupos de endereços de um local.
gcloud
gcloud network-security address-groups list \ --location LOCATION
Excluir um grupo de endereços
Para excluir um grupo de endereços, especifique o nome e o local dele. No entanto, se o grupo de endereços for referenciado por uma política de firewall, ele não poderá ser excluído.
gcloud
gcloud network-security address-groups delete NAME \ --location LOCATION
Encontrar referências de grupos de endereços
Um grupo de endereços é usado por políticas de firewall. É possível encontrar a lista de todas as políticas de firewall que usam um grupo de endereços específico.
gcloud
gcloud network-security address-groups list-references NAME \ --location LOCATION
Adicionar itens a um grupo de endereços
É possível adicionar vários itens, como endereços ou intervalos de IP, a um grupo de endereços. Se a solicitação tiver itens que já fazem parte dos grupos de endereços, eles vão ser ignorados. Se a solicitação tiver itens inválidos, toda a solicitação falhará.
gcloud
gcloud network-security address-groups add-items NAME \ --items ITEMS \ --location LOCATION
Substitua:
NAME
: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivoITEMS
: uma lista separada por vírgulas de endereços ou intervalos de IP no formato CIDRLOCATION
: a localização do grupo de endereços.Isso pode ser definido como
global
ou um código de região (comoeurope-west
). Se você usar um identificador de URL exclusivo para o parâmetroname
, será possível omitir o parâmetrolocation
.
Remover item de um grupo de endereços
Você pode remover itens de um grupo de endereços. Se algum dos itens na solicitação for inválido, a solicitação vai falhar. Se a solicitação tiver itens que não fazem parte do grupo de endereços, esses itens serão ignorados.
gcloud
gcloud network-security address-groups remove-items NAME \ --items ITEMS \ --location LOCATION
Clonar itens de outro grupo de endereços
Você pode clonar itens de um grupo de endereços para outro. Para clonar um grupo de endereços, siga estas diretrizes:
- Os dois grupos de endereços precisam ser do mesmo tipo.
- Os dois grupos de endereços precisam estar na mesma região.
- Verifique se o novo grupo de endereços tem capacidade suficiente para acomodar os itens do grupo de endereços de origem que estão sendo clonados.
Para especificar o grupo de endereços de origem, use o seguinte formato de identificador de URL exclusivo:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
Para mais informações sobre os identificadores de URL exclusivos para grupos de endereços, consulte Especificações do grupo de endereços.
gcloud
gcloud network-security address-groups clone-items NAME \ --source SOURCE_NAMED_LIST \ --location LOCATION
Substitua:
NAME
: o nome do grupo de endereços; você pode especificar o nome como uma string ou como um identificador de URL exclusivoSOURCE_NAMED_LIST
: um identificador de URL exclusivo do grupo de endereços de origem de onde os itens são clonados.LOCATION
: o local do grupo de endereços de destino.Isso pode ser definido como
global
ou um código de região (comoeurope-west
). Se você usar um identificador de URL exclusivo para o parâmetroname
, será possível omitir o parâmetrolocation
.
Grupos de endereços no escopo da organização
Nesta seção, você verá informações detalhadas sobre como gerenciar grupos de endereços no escopo da organização.
Os grupos de endereços com escopo da organização são definidos no nível da organização e se aplicam a todos os recursos da organização, conforme especificado na hierarquia de recursos. Para usar um grupo de endereços, você precisa associá-lo a uma regra de firewall em uma política hierárquica de firewall, uma política de firewall da rede global ou uma política de firewall de rede regional.
Criar um grupo de endereços
O tipo de contêiner
do grupo de endereços com escopo da organização sempre é definido como organization
.
Ao criar um grupo de endereços, você pode especificar o nome dele como uma string ou como um identificador de URL exclusivo. O URL exclusivo de um grupo de endereços no escopo da organização pode ser construído no seguinte formato:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
Se você usar um identificador de URL exclusivo para o nome do grupo de endereços, o ID ou o local da organização para o grupo de endereços já estará incluído no identificador do URL. No entanto, se você usar apenas o nome do grupo de endereços, precisará especificar o ID da organização e o local onde está definindo o grupo de endereços. Para mais informações sobre identificadores de URL exclusivos, consulte Especificações do grupo de endereços.
Um grupo de endereços pode ter tipos de itens IPv4 ou IPv6, mas não ambos. Você também precisa especificar a capacidade máxima do item para um grupo de endereços. Após a criação do grupo de endereços, não é possível mudar o nome, o tipo ou a capacidade do item.
gcloud
gcloud network-security org-address-groups create NAME \ --organization ORGANIZATION \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
Substitua:
NAME
: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivoORGANIZATION
: o ID da organização em que o grupo de endereços é criadoSe você usar um identificador de URL exclusivo para o parâmetro
name
, será possível omitir o parâmetroorganization
.TYPE
: o tipo de grupo de endereços – IPv4 ou IPv6.CAPACITY
: a capacidade do grupo de endereços.LOCATION
: a localização do grupo de endereços.Isso pode ser definido como
global
ou um código de região (comoeurope-west
). Se você usar um identificador de URL exclusivo para o parâmetroname
, será possível omitir o parâmetrolocation
.DESCRIPTION
: uma descrição opcional para o grupo de endereços.
Descrever um grupo de endereços
Você pode ver os detalhes de um grupo de endereços específico.
gcloud
gcloud network-security org-address-groups describe NAME \ --organization ORGANIZATION \ --location LOCATION
Atualizar a descrição de um grupo de endereços
Não é possível atualizar o nome, o tipo ou a capacidade do grupo de endereços. Só é possível atualizar a descrição do grupo.
gcloud
gcloud network-security org-address-groups update NAME \ --organization ORGANIZATION \ --description DESCRIPTION \ --location LOCATION
Listar grupos de endereços
Você pode listar todos os grupos de endereços de um local.
gcloud
gcloud network-security org-address-groups list \ --organization ORGANIZATION \ --location LOCATION
Excluir um grupo de endereços
Para excluir um grupo de endereços, especifique o nome, a organização e o local. Se o grupo de endereços for referenciado por uma política de firewall, esse grupo não poderá ser excluído.
gcloud
gcloud network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
Encontrar referências de grupos de endereços
Um grupo de endereços é usado pelas políticas de firewall. É possível encontrar a lista de todas as políticas de firewall que usam um grupo de endereços específico.
gcloud
gcloud network-security org-address-groups list-references NAME \ --organization ORGANIZATION \ --location LOCATION
Adicionar itens a um grupo de endereços
É possível adicionar vários itens, como endereços ou intervalos de IP, a um grupo de endereços. Se a solicitação contiver itens que já fazem parte do grupo de endereços, esses itens serão ignorados. Se a solicitação tiver itens inválidos, toda a solicitação falhará.
gcloud
gcloud network-security org-address-groups add-items NAME \ --organization ORGANIZATION \ --items ITEMS \ --location LOCATION
Substitua:
NAME
: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivoORGANIZATION
: o ID da organização em que o grupo de endereços é criadoSe você usar um identificador de URL exclusivo para o parâmetro
name
, será possível omitir o parâmetroorganization
.ITEMS
: uma lista separada por vírgulas de endereços ou intervalos de IP no formato CIDRLOCATION
: a localização do grupo de endereços.Isso pode ser definido como
global
ou um código de região (comoeurope-west
). Se você usar um identificador de URL exclusivo para o parâmetroname
, será possível omitir o parâmetrolocation
.
Remover item de um grupo de endereços
Você pode remover itens de um grupo de endereços. Se algum dos itens na solicitação for inválido, a solicitação vai falhar. Se a solicitação tiver itens que não fazem parte do grupo de endereços, esses itens serão ignorados.
gcloud
gcloud network-security org-address-groups remove-items NAME \ --organization ORGANIZATION \ --items ITEMS \ --location LOCATION
Clonar itens de outro grupo de endereços
Você pode clonar itens de um grupo de endereços para outro. Para clonar um grupo de endereços, siga estas diretrizes:
- Os dois grupos de endereços precisam ser do mesmo tipo.
- Os dois grupos de endereços precisam estar no mesmo local.
- Verifique se o novo grupo de endereços tem capacidade suficiente para acomodar os itens do grupo de endereços de origem que estão sendo clonados.
Para especificar o grupo de endereços de origem, use o seguinte identificador de URL exclusivo:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
Para mais informações sobre identificadores de URL exclusivos para grupos de endereços, consulte Especificações do grupo de endereços.
gcloud
gcloud network-security org-address-groups clone-items NAME \ --organization ORGANIZATION \ --source SOURCE_NAMED_LIST \ --location LOCATION
Substitua:
NAME
: o nome do grupo de endereços; você pode especificar o nome como uma string ou um identificador de URL exclusivoORGANIZATION
: o ID da organização em que o grupo de endereços é criadoSe você usar um identificador de URL exclusivo para o parâmetro
name
, será possível omitir o parâmetroorganization
.SOURCE_NAMED_LIST
: um identificador de URL exclusivo do grupo de endereços de origem de onde os itens são clonados.LOCATION
: o local do grupo de endereços de destino.Isso pode ser definido como
global
ou um código de região (comoeurope-west
). Se você usar um identificador de URL exclusivo para o parâmetroname
, será possível omitir o parâmetrolocation
.
A seguir
- Use políticas hierárquicas de firewall
- Usar políticas globais do firewall de rede
- Usar políticas de firewall de rede regional