如需使用地址组,您必须先确定与您的要求相关的地址组的范围。范围用于标识地址组在资源层次结构中的适用级别。
如果您要在应用于单个项目的防火墙政策规则中使用地址组,请使用项目级地址组。
如果您要在适用于组织或网络中整个层次结构的所有资源的防火墙政策规则中使用地址组,请使用组织级地址组。
项目级地址组
本部分详细介绍了如何管理项目级地址组。
项目级地址组在项目级层定义,并且仅适用于在其中创建它们的项目。如需使用地址组,您必须将其与全球网络防火墙政策或区域级网络防火墙政策中的防火墙规则相关联。地址组的位置必须与其使用的防火墙政策的位置相同。
创建地址组
项目级地址组的容器类型始终设置为 projects。
创建地址组时,您可以将地址组的名称指定为字符串或唯一网址标识符。项目级地址组的唯一网址可以按以下格式构建:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
如果您为地址组名称使用唯一网址标识符,则地址组的位置已包含在该网址标识符中。但是,如果您仅使用地址组名称,则必须单独指定位置。 如需详细了解唯一网址标识符,请参阅地址组规范。
地址组可以包含 IPv4 或 IPv6 内容类型,但不能同时包含这两种类型。您还必须指定地址组的内容容量上限。地址组创建后,您将无法更改地址组的名称、内容类型或内容容量。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的项目。
点击 创建地址组。
在名称字段中,输入一个名称。
可选:在说明字段中,输入说明。
对于范围,选择全球或区域级。
如果选择区域级,请指定在其中创建地址组的区域。
对于类型,选择 IPv4 或 IPv6。
对于用途,选择防火墙。
如果您想在 Cloud 新一代防火墙政策和 Google Cloud Armor 安全政策中都使用地址组,请选择 Cloud NGFW 和 Cloud Armor。
如需详细了解此字段,请参阅地址组规范。
在容量字段中,输入地址组的容量。
在 IP 地址字段中,列出要包含在地址组中的 IP 地址或 IP 范围。例如
1.1.1.0/24,1.2.0.0。点击创建。
gcloud
如需创建地址组,请使用 gcloud network-security address-groups create 命令:
gcloud network-security address-groups create NAME \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符TYPE:地址组的类型 - IPv4 或 IPv6CAPACITY:地址组的容量LOCATION:地址群组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。DESCRIPTION:地址组的可选说明
描述地址组
如需查看地址组的详细信息,您必须指定地址组的名称和位置。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的项目。
地址组会在地址组部分中列出。
如需查看详细信息,请点击地址组的名称。
gcloud
如需描述地址组,请使用 gcloud network-security address-groups describe 命令:
gcloud network-security address-groups describe NAME \
--location LOCATION
更新地址组
您无法更新地址组的名称、类型或容量。您只能更新地址组说明和 IP 地址。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的项目。
地址组会在地址组部分中列出。
如需修改地址组,请点击地址组的名称。
点击修改。
修改所需字段。
点击保存。
gcloud
如需更新地址组,请使用 gcloud network-security address-groups update 命令:
gcloud network-security address-groups update NAME \
--description DESCRIPTION \
--location LOCATION
列出地址组
您可以列出一个位置中的所有地址组。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的项目。
地址组会在地址组部分中列出。
gcloud
如需列出地址组,请使用 gcloud network-security address-groups list 命令:
gcloud network-security address-groups list \
--location LOCATION
删除地址组
您可以通过指定地址组的名称和位置来将其删除。但是,如果防火墙政策引用了该地址组,则该地址组无法删除。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的项目。
地址组会在地址组部分中列出。
选中您要删除的地址组旁边的复选框。确保所选地址组未被任何防火墙政策引用。
点击 删除,然后再次点击删除进行确认。
gcloud
如需删除项目中的地址组,请使用 gcloud network-security address-groups delete 命令:
gcloud network-security address-groups delete NAME \ --location LOCATION
查找地址组引用
地址组由防火墙政策使用。您可以找到使用特定地址组的所有防火墙政策的列表。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的项目。
地址组会在地址组部分中列出。
点击您的地址组的名称。
在使用者字段中,使用此地址组的防火墙政策会采用以下格式列出:
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
如需列出引用项目级地址组的所有资源,请使用 gcloud network-security address-groups list-references 命令:
gcloud network-security address-groups list-references NAME \
--location LOCATION
向地址组添加内容
您可以向地址组添加多项内容,例如 IP 地址或 IP 范围。如果请求中包含已经属于地址组的内容,则系统会忽略这些内容。如果请求包含无效内容,则整个请求会失败。
控制台
如需使用 Google Cloud 控制台向地址组添加内容,请按照更新地址组中所述的过程操作。
gcloud
如需向地址组添加内容,请使用 gcloud network-security address-groups add-items 命令:
gcloud network-security address-groups add-items NAME \
--items ITEMS \
--location LOCATION
替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符ITEMS:以英文逗号分隔的 IP 地址或 IP 范围列表(采用 CIDR 格式)LOCATION:地址群组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。
从地址组中移除内容
您可以从地址组中移除现有内容。如果请求中的任何内容无效,则请求会失败。如果请求中包含不属于地址组的内容,则系统会忽略这些内容。
控制台
如需使用 Google Cloud 控制台从地址组中移除内容,请按照更新地址组中所述的过程操作。
gcloud
如需从地址组中移除内容,请使用 gcloud network-security address-groups remove-items 命令:
gcloud network-security address-groups remove-items NAME \
--items ITEMS \
--location LOCATION
从其他地址组中克隆内容
您可以将内容从一个地址组克隆到另一个地址组。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的项目。
地址组会在地址组部分中列出。
点击要克隆的地址组的名称。
点击克隆。
在克隆地址组窗格中,为名称输入名称。
可选:在说明字段中,输入说明。
对于范围,选择全球或区域级。
如果选择区域级,请指定在其中创建地址组的区域。
对于类型,选择 IPv4 或 IPv6。
对于用途,选择防火墙。
在容量字段中,输入地址组的容量。
在 IP 地址字段中,更新从地址组克隆的 IP 地址或 IP 范围。
点击克隆。
gcloud
如需使用 Google Cloud CLI 克隆地址组,请遵循以下准则:
- 两个地址组的类型必须相同。
- 两个地址组必须位于同一区域。
- 确保新地址组有足够的容量来容纳要克隆的来源地址组的内容。
如需指定来源地址组,请使用以下唯一网址标识符格式:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME如需详细了解地址组的唯一网址标识符,请参阅地址组规范。
如需从地址组中克隆内容,请使用 gcloud network-security address-groups clone-items 命令:
gcloud network-security address-groups clone-items NAME \
--source SOURCE_NAMED_LIST \
--location LOCATION
替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符SOURCE_NAMED_LIST:从其中克隆内容的来源地址组的唯一网址标识符LOCATION:目标地址组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。
组织级地址组
本部分详细介绍了如何管理组织级地址组。
组织级地址组在组织级层定义,并应用于组织中资源层次结构所指定的所有资源。如需使用地址组,您必须将其与分层防火墙政策、全球网络防火墙政策或区域级网络防火墙政策中的防火墙规则相关联。
创建地址组
组织级地址组的容器类型始终设置为 organization。
创建地址组时,您可以将地址组的名称指定为字符串或唯一网址标识符。组织级地址组的唯一网址可以按以下格式构建:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
如果您为地址组名称使用唯一网址标识符,则地址组的组织 ID 或位置已包含在该网址标识符中。但是,如果您仅使用地址组名称,则必须指定组织的 ID 以及在其中定义地址组的位置。如需详细了解唯一网址标识符,请参阅地址组规范。
地址组可以包含 IPv4 或 IPv6 内容类型,但不能同时包含这两种类型。您还必须指定地址组的内容容量上限。地址组创建后,您将无法更改地址组的名称、内容类型或内容容量。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的组织。
点击 创建地址组。
在名称字段中,输入一个名称。
可选:在说明字段中,输入说明。
对于范围,选择全球或区域级。
如果选择区域级,请指定在其中创建地址组的区域。
对于类型,选择 IPv4 或 IPv6。
对于用途,选择防火墙。
在容量字段中,输入地址组的容量。
在 IP 地址字段中,列出要包含在地址组中的 IP 地址或 IP 范围。例如
1.1.1.0/24,1.2.0.0。点击创建。
gcloud
如需创建组织级地址组,请使用 gcloud network-security org-address-groups create 命令:
gcloud network-security org-address-groups create NAME \ --organization ORGANIZATION \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符ORGANIZATION:在其中创建地址组的组织的 ID如果您为
name参数使用唯一网址标识符,则可以省略organization参数。TYPE:地址组的类型 - IPv4 或 IPv6CAPACITY:地址组的容量LOCATION:地址群组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。DESCRIPTION:地址组的可选说明
描述地址组
您可以查看特定地址组的详细信息。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的组织。
地址组会在地址组部分中列出。
如需查看详细信息,请点击您的地址组的名称。
gcloud
如需描述组织级地址组,请使用 gcloud network-security org-address-groups describe 命令:
gcloud network-security org-address-groups describe NAME \
--organization ORGANIZATION \
--location LOCATION
更新地址组
您无法更新地址组的名称、类型或容量。您只能更新地址组说明和 IP 地址。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的组织。
地址组会在地址组部分中列出。
如需修改地址组,请点击地址组的名称。
点击修改。
修改所需字段。
点击保存。
gcloud
如需更新组织级地址组,请使用 gcloud network-security org-address-groups update 命令:
gcloud network-security org-address-groups update NAME \
--organization ORGANIZATION \
--description DESCRIPTION \
--location LOCATION
列出地址组
您可以列出一个位置中的所有地址组。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的组织。
地址组会在地址组部分中列出。
gcloud
如需列出组织中的地址组,请使用 gcloud network-security org-address-groups list 命令:
gcloud network-security org-address-groups list \
--organization ORGANIZATION \
--location LOCATION
删除地址组
您可以通过指定地址组的名称、组织和位置来将其删除。如果防火墙政策引用了该地址组,则该地址组无法删除。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的组织。
地址组会在地址组部分中列出。
选中您要删除的地址组旁边的复选框。确保所选地址组未被任何防火墙政策引用。
点击 删除,然后再次点击删除进行确认。
gcloud
如需删除组织级地址组,请使用 gcloud network-security org-address-groups delete 命令:
gcloud network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
查找地址组引用
地址组由防火墙政策使用。您可以找到使用特定地址组的所有防火墙政策的列表。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的组织。
地址组会在地址组部分中列出。
点击您的地址组的名称。
在使用者字段中,使用此地址组的防火墙政策会采用以下格式列出:
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
如需列出引用组织级地址组的所有资源,请使用 gcloud network-security org-address-groups list-references 命令:
gcloud network-security org-address-groups list-references NAME \
--organization ORGANIZATION \
--location LOCATION
向地址组添加内容
您可以向地址组添加多项内容,例如 IP 地址或 IP 范围。如果请求中包含已经属于地址组的内容,则系统会忽略此类内容。如果请求包含无效内容,则整个请求会失败。
控制台
如需使用 Google Cloud 控制台向组织级地址组添加内容,请按照更新地址组中所述的过程操作。
gcloud
如需向组织级地址组添加内容,请使用 gcloud network-security org-address-groups add-items 命令:
gcloud network-security org-address-groups add-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符ORGANIZATION:在其中创建地址组的组织的 ID如果您为
name参数使用唯一网址标识符,则可以省略organization参数。ITEMS:以英文逗号分隔的 IP 地址或 IP 范围列表(采用 CIDR 格式)LOCATION:地址群组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。
从地址组中移除内容
您可以从地址组中移除现有内容。如果请求中的任何内容无效,则请求会失败。如果请求中包含不属于地址组的内容,则系统会忽略这些内容。
控制台
如需使用 Google Cloud 控制台从组织级地址组中移除内容,请按照更新地址组中所述的过程操作。
gcloud
如需从组织级地址组中移除内容,请使用 gcloud network-security org-address-groups remove-items 命令:
gcloud network-security org-address-groups remove-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
从其他地址组中克隆内容
您可以将内容从一个地址组克隆到另一个地址组。
控制台
在 Google Cloud 控制台中,前往地址组页面。
在项目选择器菜单中,选择您的组织。
地址组会在地址组部分中列出。
点击要克隆的地址组的名称。
点击克隆。
在克隆地址组窗格中,为名称输入名称。
可选:在说明字段中,输入说明。
对于范围,选择全球或区域级。
如果选择区域级,请指定在其中创建地址组的区域。
对于类型,选择 IPv4 或 IPv6。
对于用途,选择防火墙。
在容量字段中,输入地址组的容量。
在 IP 地址字段中,更新从地址组克隆的 IP 地址或 IP 范围。
点击克隆。
gcloud
如需使用 gcloud CLI 克隆地址组,请遵循以下准则:
- 两个地址组的类型必须相同。
- 两个地址组必须位于同一位置。
- 确保新地址组有足够的容量来容纳要克隆的来源地址组的内容。
如需指定来源地址组,您必须使用以下唯一网址标识符:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
如需详细了解地址组的唯一网址标识符,请参阅地址组规范。
如需从组织级地址组中克隆内容,请使用 gcloud network-security org-address-groups clone-items 命令:
gcloud network-security org-address-groups clone-items NAME \
--organization ORGANIZATION \
--source SOURCE_NAMED_LIST \
--location LOCATION
替换以下内容:
NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符ORGANIZATION:在其中创建地址组的组织的 ID如果您为
name参数使用唯一网址标识符,则可以省略organization参数。SOURCE_NAMED_LIST:从其中克隆内容的来源地址组的唯一网址标识符LOCATION:目标地址组的位置此位置可以设置为
global或区域代码(例如europe-west)。如果您为name参数使用唯一网址标识符,则可以省略location参数。