Utiliser des groupes d'adresses dans les stratégies de pare-feu

Pour utiliser des groupes d'adresses, vous devez d'abord identifier le champ d'application du groupe d'adresses qui répond à vos besoins. Le champ d'application identifie le niveau auquel le groupe d'adresses s'applique dans la hiérarchie des ressources.

Si vous souhaitez utiliser un groupe d'adresses dans une règle de stratégie de pare-feu qui s'applique à un projet individuel, utilisez un groupe d'adresses à l'échelle du projet.

Si vous souhaitez utiliser un groupe d'adresses dans une règle de stratégie de pare-feu applicable à la hiérarchie de toutes les ressources d'une organisation ou d'un réseau, utilisez un groupe d'adresses au niveau de l'organisation.

Groupes d'adresses au niveau du projet

Cette section fournit des informations détaillées sur la gestion des groupes d'adresses à l'échelle du projet.

Les groupes d'adresses à l'échelle du projet sont définis au niveau du projet et ne s'appliquent qu'au projet dans lequel ils sont créés. Pour utiliser un groupe d'adresses, vous devez l'associer à une règle de pare-feu dans une stratégie de pare-feu de réseau au niveau mondial ou une stratégie de pare-feu réseau régionale. L'emplacement du groupe d'adresses doit être identique à celui de la stratégie de pare-feu dans laquelle il est utilisé.

Créer un groupe d'adresses

Le type de conteneur du groupe d'adresses au niveau du projet est toujours défini sur projects.

Lorsque vous créez un groupe d'adresses, vous pouvez spécifier le nom du groupe d'adresses sous forme de chaîne ou d'identifiant unique. L'URL unique d'un groupe d'adresses à l'échelle du projet peut être créée au format suivant:

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

Si vous utilisez un identifiant d'URL unique pour le nom du groupe d'adresses, l'emplacement du groupe d'adresses est déjà inclus dans l'identifiant d'URL. Toutefois, si vous n'utilisez que le nom du groupe d'adresses, vous devez spécifier l'emplacement séparément. Pour en savoir plus sur les identifiants d'URL uniques, consultez la section Spécifications du groupe d'adresses.

Un groupe d'adresses peut être de type IPv4 ou IPv6, mais pas les deux. Vous devez également spécifier la capacité maximale d'élément pour un groupe d'adresses. Une fois le groupe d'adresses créé, vous ne pouvez pas en modifier le nom, le type ou la capacité.

gcloud

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Remplacez les éléments suivants :

  • NAME: nom du groupe d'adresses ; vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • TYPE: type de groupe d'adresses (IPv4 ou IPv6)

  • CAPACITY: capacité du groupe d'adresses

  • LOCATION: emplacement du groupe d'adresses

    Cela peut être défini sur global ou sur un code de région (tel que europe-west). Si vous utilisez un identifiant d'URL unique pour le paramètre name, vous pouvez omettre le paramètre location.

  • DESCRIPTION: description facultative du groupe d'adresses

Décrire un groupe d'adresses

Pour afficher les détails d'un groupe d'adresses, vous devez spécifier le nom et l'emplacement du groupe d'adresses.

gcloud

gcloud network-security address-groups describe NAME \
    --location LOCATION

Mettre à jour la description d'un groupe d'adresses

Vous ne pouvez pas mettre à jour le nom, le type ou la capacité du groupe d'adresses. Vous ne pouvez mettre à jour que la description du groupe d'adresses.

gcloud

gcloud network-security address-groups update NAME \
    --description DESCRIPTION \
    --location LOCATION

Répertorier les groupes d'adresses

Vous pouvez répertorier tous les groupes d'adresses d'un emplacement.

gcloud

gcloud network-security address-groups list \
    --location LOCATION

Supprimer un groupe d'adresses

Vous pouvez supprimer un groupe d'adresses en spécifiant son nom et son emplacement. Toutefois, si le groupe d'adresses est référencé par une stratégie de pare-feu, ce groupe d'adresses ne peut pas être supprimé.

gcloud

gcloud network-security address-groups delete NAME \
  --location LOCATION

Rechercher des références de groupe d'adresses

Un groupe d'adresses est utilisé par les stratégies de pare-feu. Vous trouverez la liste de toutes les stratégies de pare-feu qui utilisent un groupe d'adresses spécifique.

gcloud

gcloud network-security address-groups list-references NAME \
    --location LOCATION

Ajouter des éléments à un groupe d'adresses

Vous pouvez ajouter plusieurs éléments, tels que des adresses IP ou des plages d'adresses IP, à un groupe d'adresses. Si la requête contient des éléments faisant déjà partie des groupes d'adresses, ces éléments sont ignorés. Si la requête contient des éléments non valides, l'intégralité de la requête échoue.

gcloud

gcloud network-security address-groups add-items NAME \
    --items ITEMS \
    --location LOCATION

Remplacez les éléments suivants :

  • NAME: nom du groupe d'adresses ; vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ITEMS: liste d'adresses IP ou de plages d'adresses IP séparées par des virgules au format CIDR.

  • LOCATION: emplacement du groupe d'adresses

    Cela peut être défini sur global ou sur un code de région (tel que europe-west). Si vous utilisez un identifiant d'URL unique pour le paramètre name, vous pouvez omettre le paramètre location.

Supprimer un élément d'un groupe d'adresses

Vous pouvez supprimer des éléments d'un groupe d'adresses. Si l'un des éléments de la requête n'est pas valide, la requête échoue. Si la requête contient des éléments qui ne font pas partie du groupe d'adresses, ils sont ignorés.

gcloud

gcloud network-security address-groups remove-items NAME \
    --items ITEMS \
    --location LOCATION

Cloner des éléments d'un autre groupe d'adresses

Vous pouvez cloner des éléments d'un groupe d'adresses vers un autre. Pour cloner un groupe d'adresses, procédez comme suit:

  • Les deux groupes d'adresses doivent être du même type.
  • Les deux groupes d'adresses doivent se trouver dans la même région.
  • Assurez-vous que le nouveau groupe d'adresses dispose de la capacité nécessaire pour accueillir les éléments du groupe d'adresses source en cours de clonage.

  • Pour spécifier le groupe d'adresses source, utilisez le format d'identifiant d'URL unique suivant:

    projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

    Pour en savoir plus sur les identifiants d'URL uniques pour les groupes d'adresses, consultez la section Spécifications des groupes d'adresses.

gcloud

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Remplacez les éléments suivants :

  • NAME: nom du groupe d'adresses ; vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • SOURCE_NAMED_LIST: identifiant d'URL unique du groupe d'adresses source à partir duquel les éléments sont clonés.

  • LOCATION: emplacement du groupe d'adresses de destination

    Cela peut être défini sur global ou sur un code de région (tel que europe-west). Si vous utilisez un identifiant d'URL unique pour le paramètre name, vous pouvez omettre le paramètre location.

Groupes d'adresses au niveau de l'organisation

Cette section fournit des informations détaillées sur la gestion des groupes d'adresses à l'échelle de l'organisation.

Les groupes d'adresses à l'échelle de l'organisation sont définis au niveau de l'organisation et s'appliquent à toutes les ressources de l'organisation, comme spécifié dans la hiérarchie des ressources. Pour utiliser un groupe d'adresses, vous devez l'associer à une règle de pare-feu dans une stratégie de pare-feu hiérarchique, une stratégie de pare-feu réseau au niveau mondial ou une stratégie de pare-feu de réseau régionale.

Créer un groupe d'adresses

Le type de conteneur du groupe d'adresses au niveau de l'organisation est toujours défini sur organization.

Lorsque vous créez un groupe d'adresses, vous pouvez spécifier le nom du groupe d'adresses sous forme de chaîne ou d'identifiant unique. L'URL unique d'un groupe d'adresses à l'échelle de l'organisation peut être construite au format suivant:

organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Si vous utilisez un identifiant d'URL unique pour le nom du groupe d'adresses, l'ID de l'organisation ou l'emplacement du groupe d'adresses est déjà inclus dans l'identifiant d'URL. Toutefois, si vous n'utilisez que le nom du groupe d'adresses, vous devez spécifier l'ID de l'organisation et l'emplacement dans lequel vous définissez le groupe d'adresses. Pour en savoir plus sur les identifiants d'URL uniques, consultez la section Spécifications du groupe d'adresses.

Un groupe d'adresses peut être de type IPv4 ou IPv6, mais pas les deux. Vous devez également spécifier la capacité maximale d'élément pour un groupe d'adresses. Une fois le groupe d'adresses créé, vous ne pouvez pas en modifier le nom, le type ou la capacité.

gcloud

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Remplacez les éléments suivants :

  • NAME: nom du groupe d'adresses ; vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION: ID de l'organisation dans laquelle le groupe d'adresses est créé

    Si vous utilisez un identifiant d'URL unique pour le paramètre name, vous pouvez omettre le paramètre organization.

  • TYPE: type de groupe d'adresses (IPv4 ou IPv6)

  • CAPACITY: capacité du groupe d'adresses

  • LOCATION: emplacement du groupe d'adresses

    Cela peut être défini sur global ou sur un code de région (tel que europe-west). Si vous utilisez un identifiant d'URL unique pour le paramètre name, vous pouvez omettre le paramètre location.

  • DESCRIPTION: description facultative du groupe d'adresses

Décrire un groupe d'adresses

Vous pouvez afficher les détails d'un groupe d'adresses spécifique.

gcloud

gcloud network-security org-address-groups describe NAME \
    --organization ORGANIZATION \
    --location LOCATION

Mettre à jour la description d'un groupe d'adresses

Vous ne pouvez pas mettre à jour le nom, le type ou la capacité du groupe d'adresses. Vous ne pouvez mettre à jour que la description du groupe d'adresses.

gcloud

gcloud network-security org-address-groups update NAME \
    --organization ORGANIZATION \
    --description DESCRIPTION \
    --location LOCATION

Répertorier les groupes d'adresses

Vous pouvez répertorier tous les groupes d'adresses d'un emplacement.

gcloud

gcloud network-security org-address-groups list \
    --organization ORGANIZATION \
    --location LOCATION

Supprimer un groupe d'adresses

Vous pouvez supprimer un groupe d'adresses en spécifiant son nom, son organisation et son emplacement. Si le groupe d'adresses est référencé par une stratégie de pare-feu, ce groupe d'adresses ne peut pas être supprimé.

gcloud

gcloud network-security org-address-groups delete NAME \
  --organization ORGANIZATION \
  --location LOCATION

Rechercher des références de groupe d'adresses

Un groupe d'adresses est utilisé par les stratégies de pare-feu. Vous trouverez la liste de toutes les stratégies de pare-feu qui utilisent un groupe d'adresses spécifique.

gcloud

gcloud network-security org-address-groups list-references NAME \
    --organization ORGANIZATION \
    --location LOCATION

Ajouter des éléments à un groupe d'adresses

Vous pouvez ajouter plusieurs éléments, tels que des adresses IP ou des plages d'adresses IP, à un groupe d'adresses. Si la requête contient des éléments qui font déjà partie du groupe d'adresses, ces éléments sont ignorés. Si la requête contient des éléments non valides, l'intégralité de la requête échoue.

gcloud

gcloud network-security org-address-groups add-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Remplacez les éléments suivants :

  • NAME: nom du groupe d'adresses ; vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION: ID de l'organisation dans laquelle le groupe d'adresses est créé

    Si vous utilisez un identifiant d'URL unique pour le paramètre name, vous pouvez omettre le paramètre organization.

  • ITEMS: liste d'adresses IP ou de plages d'adresses IP séparées par des virgules au format CIDR.

  • LOCATION: emplacement du groupe d'adresses

    Cela peut être défini sur global ou sur un code de région (tel que europe-west). Si vous utilisez un identifiant d'URL unique pour le paramètre name, vous pouvez omettre le paramètre location.

Supprimer un élément d'un groupe d'adresses

Vous pouvez supprimer des éléments d'un groupe d'adresses. Si l'un des éléments de la requête n'est pas valide, la requête échoue. Si la requête contient des éléments qui ne font pas partie du groupe d'adresses, ils sont ignorés.

gcloud

gcloud network-security org-address-groups remove-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Cloner des éléments d'un autre groupe d'adresses

Vous pouvez cloner des éléments d'un groupe d'adresses vers un autre. Pour cloner un groupe d'adresses, procédez comme suit:

  • Les deux groupes d'adresses doivent être du même type.
  • Les deux groupes d'adresses doivent se trouver au même emplacement.
  • Assurez-vous que le nouveau groupe d'adresses dispose de la capacité nécessaire pour accueillir les éléments du groupe d'adresses source en cours de clonage.

  • Pour spécifier le groupe d'adresses source, vous devez utiliser l'identifiant d'URL unique suivant:

    organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

    Pour en savoir plus sur les identifiants d'URL uniques pour les groupes d'adresses, consultez la section Spécifications des groupes d'adresses.

gcloud

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Remplacez les éléments suivants :

  • NAME: nom du groupe d'adresses ; vous pouvez spécifier le nom en tant que chaîne ou en tant qu'identifiant d'URL unique.

  • ORGANIZATION: ID de l'organisation dans laquelle le groupe d'adresses est créé

    Si vous utilisez un identifiant d'URL unique pour le paramètre name, vous pouvez omettre le paramètre organization.

  • SOURCE_NAMED_LIST: identifiant d'URL unique du groupe d'adresses source à partir duquel les éléments sont clonés.

  • LOCATION: emplacement du groupe d'adresses de destination

    Cela peut être défini sur global ou sur un code de région (par exemple, europe-west). Si vous utilisez un identifiant d'URL unique pour le paramètre name, vous pouvez omettre le paramètre location.

Étapes suivantes