Menggunakan grup alamat dalam kebijakan firewall

Untuk menggunakan grup alamat, Anda harus mengidentifikasi cakupan grup alamat yang relevan dengan persyaratan Anda terlebih dahulu. Cakupan mengidentifikasi level tempat grup alamat berlaku dalam hierarki resource.

Jika Anda ingin menggunakan grup alamat dalam aturan kebijakan firewall yang berlaku untuk setiap project, gunakan grup alamat cakupan project.

Jika Anda ingin menggunakan grup alamat dalam aturan kebijakan firewall yang berlaku di seluruh hierarki pada semua resource di organisasi atau jaringan, gunakan grup alamat cakupan organisasi.

Grup alamat cakupan project

Bagian ini memberikan informasi mendetail tentang cara mengelola grup alamat cakupan project.

Grup alamat cakupan project ditentukan di tingkat project, dan hanya berlaku untuk project tempat grup alamat tersebut dibuat. Untuk menggunakan grup alamat, Anda harus mengaitkannya dengan aturan firewall dalam kebijakan firewall jaringan global atau kebijakan firewall jaringan regional. Lokasi grup alamat harus sama dengan lokasi kebijakan firewall tempat grup alamat digunakan.

Membuat grup alamat

Jenis penampung grup alamat cakupan project selalu ditetapkan ke projects.

Saat membuat grup alamat, Anda dapat menentukan nama grup alamat sebagai string atau sebagai ID URL unik. URL unik untuk grup alamat cakupan project dapat dibuat dalam format berikut:

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

Jika Anda menggunakan ID URL unik untuk nama grup alamat, lokasi grup alamat sudah disertakan dalam ID URL. Namun, jika hanya menggunakan nama grup alamat, Anda harus menentukan lokasi secara terpisah. Untuk informasi selengkapnya tentang ID URL unik, lihat Spesifikasi grup alamat.

Grup alamat dapat memiliki jenis item IPv4 atau IPv6, tetapi tidak keduanya. Anda juga harus menentukan kapasitas item maksimum untuk grup alamat. Setelah grup alamat dibuat, Anda tidak dapat mengubah nama, jenis item, atau kapasitas item grup alamat.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih project Anda.

  3. Klik Create Address Group.

  4. Di kolom Name, masukkan nama.

  5. Opsional: Di kolom Deskripsi, masukkan deskripsi.

  6. Untuk Cakupan, pilih Global atau Regional.

    Jika Anda memilih Regional, tentukan region tempat grup alamat dibuat.

  7. Untuk Type, pilih IPv4 atau IPv6.

  8. Untuk Tujuan, pilih Firewall.

    Jika Anda ingin menggunakan grup alamat dalam kebijakan Cloud Next Generation Firewall dan kebijakan keamanan Google Cloud Armor, pilih Cloud NGFW dan Cloud Armor.

    Untuk mengetahui informasi selengkapnya tentang kolom ini , lihat spesifikasi grup alamat.

  9. Di kolom Kapasitas, masukkan kapasitas grup alamat.

  10. Di kolom IP Addresses, cantumkan alamat IP atau rentang IP yang ingin Anda sertakan dalam grup alamat. Contoh, 1.1.1.0/24,1.2.0.0.

  11. Klik Create.

gcloud

Untuk membuat grup alamat, gunakan perintah gcloud network-security address-groups create:

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • TYPE: jenis grup alamat—IPv4 atau IPv6

  • CAPACITY: kapasitas grup alamat

  • LOCATION: lokasi grup alamat

    Ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

  • DESCRIPTION: deskripsi opsional untuk grup alamat

Menjelaskan grup alamat

Untuk melihat detail grup alamat, Anda harus menentukan nama dan lokasi grup alamat.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Untuk melihat detailnya, klik nama grup alamat Anda.

gcloud

Untuk mendeskripsikan grup alamat, gunakan perintah gcloud network-security address-groups describe:

gcloud network-security address-groups describe NAME \
    --location LOCATION

Memperbarui grup alamat

Anda tidak dapat memperbarui nama, jenis, atau kapasitas grup alamat. Anda hanya dapat memperbarui deskripsi grup alamat dan alamat IP.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Untuk mengedit grup alamat, klik nama grup alamat Anda.

  5. Klik Edit.

  6. Ubah kolom yang wajib diisi.

  7. Klik Simpan.

gcloud

Untuk memperbarui grup alamat, gunakan perintah gcloud network-security address-groups update:

gcloud network-security address-groups update NAME \
    --description DESCRIPTION \
    --location LOCATION

Mencantumkan grup alamat

Anda dapat mencantumkan semua grup alamat di lokasi.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

gcloud

Untuk mencantumkan grup alamat, gunakan perintah gcloud network-security address-groups list:

gcloud network-security address-groups list \
    --location LOCATION

Menghapus grup alamat

Anda dapat menghapus grup alamat dengan menentukan nama dan lokasinya. Namun, jika grup alamat dirujuk oleh kebijakan firewall, grup alamat tersebut tidak dapat dihapus.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan grup alamat yang dipilih tidak dirujuk oleh kebijakan firewall apa pun.

  5. Klik Hapus, lalu klik Hapus lagi untuk mengonfirmasi.

gcloud

Untuk menghapus grup alamat dalam project, gunakan perintah gcloud network-security address-groups delete:

gcloud network-security address-groups delete NAME \
  --location LOCATION

Menemukan referensi grup alamat

Grup alamat digunakan oleh kebijakan firewall. Anda dapat menemukan daftar semua kebijakan firewall yang menggunakan grup alamat tertentu.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Klik nama grup alamat Anda.

  5. Di kolom Digunakan oleh, kebijakan firewall yang menggunakan grup alamat ini dicantumkan dalam format berikut:

    POLICY_NAME(rule priority:PRIORITY_NUMBER)

gcloud

Untuk mencantumkan semua resource yang mereferensikan grup alamat cakupan project, gunakan perintah gcloud network-security address-groups list-references:

gcloud network-security address-groups list-references NAME \
    --location LOCATION

Menambahkan item ke grup alamat

Anda dapat menambahkan beberapa item seperti alamat IP atau rentang IP ke grup alamat. Jika permintaan berisi item yang sudah menjadi bagian dari grup alamat, item tersebut akan diabaikan. Jika permintaan berisi item yang tidak valid, seluruh permintaan akan gagal.

Konsol

Untuk menambahkan item ke grup alamat menggunakan konsol Google Cloud, ikuti prosedur yang disebutkan di Memperbarui grup alamat.

gcloud

Untuk menambahkan item ke grup alamat, gunakan perintah gcloud network-security address-groups add-items:

gcloud network-security address-groups add-items NAME \
    --items ITEMS \
    --location LOCATION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • ITEMS: daftar alamat IP atau rentang IP yang dipisahkan koma dalam format CIDR

  • LOCATION: lokasi grup alamat

    Ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

Menghapus item dari grup alamat

Anda dapat menghapus item yang ada dari grup alamat. Jika salah satu item dalam permintaan tidak valid, permintaan akan gagal. Jika permintaan berisi item yang bukan bagian dari grup alamat, item tersebut akan diabaikan.

Konsol

Untuk menghapus item dari grup alamat menggunakan konsol Google Cloud, ikuti prosedur yang disebutkan di Memperbarui grup alamat.

gcloud

Untuk menghapus item dari grup alamat, gunakan perintah gcloud network-security address-groups remove-items:

gcloud network-security address-groups remove-items NAME \
    --items ITEMS \
    --location LOCATION

Mengkloning item dari grup alamat lain

Anda dapat meng-clone item dari satu grup alamat ke grup alamat lainnya.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Klik nama grup alamat yang ingin Anda clone.

  5. Klik Clone.

  6. Di panel Clone address group, untuk Name, masukkan nama.

  7. Opsional: Di kolom Deskripsi, masukkan deskripsi.

  8. Untuk Cakupan, pilih Global atau Regional.

    Jika Anda memilih Regional, tentukan region tempat grup alamat dibuat.

  9. Untuk Type, pilih IPv4 atau IPv6.

  10. Untuk Tujuan, pilih Firewall.

  11. Di kolom Kapasitas, masukkan kapasitas grup alamat.

  12. Di kolom IP Addresses, perbarui alamat IP atau rentang IP yang di-clone dari grup alamat.

  13. Klik Clone.

gcloud

Untuk meng-clone grup alamat menggunakan Google Cloud CLI, ikuti panduan berikut:

  • Kedua grup alamat harus memiliki jenis yang sama.
  • Kedua grup alamat harus berada di region yang sama.
  • Pastikan grup alamat baru memiliki kapasitas yang memadai untuk menyesuaikan item grup alamat sumber yang sedang di-clone.

  • Untuk menentukan grup alamat sumber, gunakan format ID URL unik berikut:

    projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

    Untuk informasi selengkapnya tentang ID URL unik untuk grup alamat, lihat Spesifikasi grup alamat.

Untuk meng-clone item dari grup alamat, gunakan perintah gcloud network-security address-groups clone-items:

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • SOURCE_NAMED_LIST: ID URL unik dari grup alamat sumber tempat item di-clone

  • LOCATION: lokasi grup alamat tujuan

    Ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

Grup alamat cakupan organisasi

Bagian ini memberikan informasi mendetail tentang cara mengelola grup alamat cakupan organisasi.

Grup alamat cakupan organisasi ditentukan di tingkat organisasi dan berlaku untuk semua resource dalam organisasi seperti yang ditentukan dalam hierarki resource. Untuk menggunakan grup alamat, Anda harus mengaitkannya ke aturan firewall dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.

Membuat grup alamat

Jenis penampung grup alamat cakupan organisasi selalu ditetapkan ke organization.

Saat membuat grup alamat, Anda dapat menentukan nama grup alamat sebagai string atau sebagai ID URL unik. URL unik untuk grup alamat cakupan organisasi dapat dibuat dalam format berikut:

organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Jika Anda menggunakan ID URL unik untuk nama grup alamat, ID organisasi atau lokasi untuk grup alamat sudah disertakan dalam ID URL. Namun, jika hanya menggunakan nama grup alamat, Anda harus menentukan ID organisasi dan lokasi tempat Anda menentukan grup alamat. Untuk informasi selengkapnya tentang ID URL unik, lihat Spesifikasi grup alamat.

Grup alamat dapat memiliki jenis item IPv4 atau IPv6, tetapi tidak keduanya. Anda juga harus menentukan kapasitas item maksimum untuk grup alamat. Setelah grup alamat dibuat, Anda tidak dapat mengubah nama, jenis item, atau kapasitas item grup alamat.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Klik Create Address Group.

  4. Di kolom Name, masukkan nama.

  5. Opsional: Di kolom Deskripsi, masukkan deskripsi.

  6. Untuk Cakupan, pilih Global atau Regional.

    Jika Anda memilih Regional, tentukan region tempat grup alamat dibuat.

  7. Untuk Type, pilih IPv4 atau IPv6.

  8. Untuk Tujuan, pilih Firewall.

  9. Di kolom Kapasitas, masukkan kapasitas grup alamat.

  10. Di kolom IP Addresses, cantumkan alamat IP atau rentang IP yang ingin Anda sertakan dalam grup alamat. Contoh, 1.1.1.0/24,1.2.0.0.

  11. Klik Create.

gcloud

Untuk membuat grup alamat cakupan organisasi, gunakan perintah gcloud network-security org-address-groups create:

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • ORGANIZATION: ID organisasi tempat grup alamat dibuat

    Jika menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter organization.

  • TYPE: jenis grup alamat—IPv4 atau IPv6

  • CAPACITY: kapasitas grup alamat

  • LOCATION: lokasi grup alamat

    Ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

  • DESCRIPTION: deskripsi opsional untuk grup alamat

Menjelaskan grup alamat

Anda dapat melihat detail grup alamat tertentu.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Untuk melihat detailnya, klik nama grup alamat Anda.

gcloud

Untuk mendeskripsikan grup alamat cakupan organisasi, gunakan perintah gcloud network-security org-address-groups describe:

gcloud network-security org-address-groups describe NAME \
    --organization ORGANIZATION \
    --location LOCATION

Memperbarui grup alamat

Anda tidak dapat memperbarui nama, jenis, atau kapasitas grup alamat. Anda hanya dapat memperbarui deskripsi grup alamat dan alamat IP.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Untuk mengedit grup alamat, klik nama grup alamat Anda.

  5. Klik Edit.

  6. Ubah kolom yang wajib diisi.

  7. Klik Simpan.

gcloud

Untuk memperbarui grup alamat cakupan organisasi, gunakan perintah gcloud network-security org-address-groups update:

gcloud network-security org-address-groups update NAME \
    --organization ORGANIZATION \
    --description DESCRIPTION \
    --location LOCATION

Mencantumkan grup alamat

Anda dapat mencantumkan semua grup alamat di lokasi.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

gcloud

Untuk mencantumkan grup alamat di organisasi, gunakan perintah gcloud network-security org-address-groups list:

gcloud network-security org-address-groups list \
    --organization ORGANIZATION \
    --location LOCATION

Menghapus grup alamat

Anda dapat menghapus grup alamat dengan menentukan nama, organisasi, dan lokasinya. Jika grup alamat dirujuk oleh kebijakan firewall, grup alamat tersebut tidak dapat dihapus.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan grup alamat yang dipilih tidak dirujuk oleh kebijakan firewall apa pun.

  5. Klik Hapus, lalu klik Hapus lagi untuk mengonfirmasi.

gcloud

Untuk menghapus grup alamat cakupan organisasi, gunakan perintah gcloud network-security org-address-groups delete:

gcloud network-security org-address-groups delete NAME \
  --organization ORGANIZATION \
  --location LOCATION

Menemukan referensi grup alamat

Grup alamat digunakan oleh kebijakan firewall. Anda dapat menemukan daftar semua kebijakan firewall yang menggunakan grup alamat tertentu.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Klik nama grup alamat Anda.

  5. Di kolom Digunakan oleh, kebijakan firewall yang menggunakan grup alamat ini dicantumkan dalam format berikut:

    POLICY_NAME(rule priority:PRIORITY_NUMBER)

gcloud

Untuk mencantumkan semua resource yang mereferensikan grup alamat cakupan organisasi, gunakan perintah gcloud network-security org-address-groups list-references:

gcloud network-security org-address-groups list-references NAME \
    --organization ORGANIZATION \
    --location LOCATION

Menambahkan item ke grup alamat

Anda dapat menambahkan beberapa item seperti alamat IP atau rentang IP ke grup alamat. Jika permintaan berisi item yang sudah menjadi bagian dari grup alamat, item tersebut akan diabaikan. Jika permintaan berisi item yang tidak valid, seluruh permintaan akan gagal.

Konsol

Untuk menambahkan item ke grup alamat cakupan organisasi menggunakan konsol Google Cloud, ikuti prosedur yang disebutkan dalam Memperbarui grup alamat.

gcloud

Untuk menambahkan item ke grup alamat cakupan organisasi, gunakan perintah gcloud network-security org-address-groups add-items:

gcloud network-security org-address-groups add-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • ORGANIZATION: ID organisasi tempat grup alamat dibuat

    Jika menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter organization.

  • ITEMS: daftar alamat IP atau rentang IP yang dipisahkan koma dalam format CIDR

  • LOCATION: lokasi grup alamat

    Ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

Menghapus item dari grup alamat

Anda dapat menghapus item yang ada dari grup alamat. Jika salah satu item dalam permintaan tidak valid, permintaan akan gagal. Jika permintaan berisi item yang bukan bagian dari grup alamat, item tersebut akan diabaikan.

Konsol

Untuk menghapus item dari grup alamat cakupan organisasi menggunakan konsol Google Cloud, ikuti prosedur yang disebutkan dalam Memperbarui grup alamat.

gcloud

Untuk menghapus item dari grup alamat cakupan organisasi, gunakan perintah gcloud network-security org-address-groups remove-items:

gcloud network-security org-address-groups remove-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Mengkloning item dari grup alamat lain

Anda dapat meng-clone item dari satu grup alamat ke grup alamat lainnya.

Konsol

  1. Di konsol Google Cloud, buka halaman Address groups.

    Buka Grup alamat

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Klik nama grup alamat yang ingin Anda clone.

  5. Klik Clone.

  6. Di panel Clone address group, untuk Name, masukkan nama.

  7. Opsional: Di kolom Deskripsi, masukkan deskripsi.

  8. Untuk Cakupan, pilih Global atau Regional.

    Jika Anda memilih Regional, tentukan region tempat grup alamat dibuat.

  9. Untuk Type, pilih IPv4 atau IPv6.

  10. Untuk Tujuan, pilih Firewall.

  11. Di kolom Kapasitas, masukkan kapasitas grup alamat.

  12. Di kolom IP Addresses, perbarui alamat IP atau rentang IP yang di-clone dari grup alamat.

  13. Klik Clone.

gcloud

Untuk meng-clone grup alamat menggunakan gcloud CLI, ikuti panduan berikut:

  • Kedua grup alamat harus memiliki jenis yang sama.
  • Kedua grup alamat harus berada di lokasi yang sama.
  • Pastikan grup alamat baru memiliki kapasitas yang memadai untuk menyesuaikan item grup alamat sumber yang sedang di-clone.

  • Untuk menentukan grup alamat sumber, Anda harus menggunakan ID URL unik berikut:

    organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Untuk informasi selengkapnya tentang ID URL unik untuk grup alamat, lihat Spesifikasi grup alamat.

Untuk meng-clone item dari grup alamat cakupan organisasi, gunakan perintah gcloud network-security org-address-groups clone-items:

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • ORGANIZATION: ID organisasi tempat grup alamat dibuat

    Jika menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter organization.

  • SOURCE_NAMED_LIST: ID URL unik dari grup alamat sumber tempat item di-clone

  • LOCATION: lokasi grup alamat tujuan

    Ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

Langkah selanjutnya