Para usar grupos de direcciones, primero debe identificar el ámbito del grupo de direcciones que se ajuste a sus necesidades. El ámbito identifica el nivel en el que se aplica el grupo de direcciones en la jerarquía de recursos.
Si quiere usar un grupo de direcciones en una regla de política de firewall que se aplique a un proyecto concreto, utilice un grupo de direcciones de ámbito de proyecto.
Si quieres usar un grupo de direcciones en una regla de política de cortafuegos que se aplique en toda la jerarquía de todos los recursos de una organización o una red, usa un grupo de direcciones con ámbito de organización.
Grupos de direcciones para el ámbito de proyectos
En esta sección se proporciona información detallada sobre cómo gestionar grupos de direcciones de ámbito de proyecto.
Los grupos de direcciones de ámbito de proyecto se definen a nivel de proyecto y solo se aplican al proyecto en el que se crean. Para usar un grupo de direcciones, debes asociarlo a una regla de cortafuegos en una política de cortafuegos de red global o en una política de cortafuegos de red regional. La ubicación del grupo de direcciones debe ser la misma que la de la política de firewall en la que se utiliza.
Crear un grupo de direcciones
El tipo de contenedor
del grupo de direcciones de ámbito de proyecto siempre es projects.
Cuando creas un grupo de direcciones, puedes especificar su nombre como una cadena o como un identificador de URL único. La URL única de un grupo de direcciones de ámbito de proyecto se puede crear con el siguiente formato:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
Si usa un identificador de URL único para el nombre del grupo de direcciones, la ubicación del grupo de direcciones ya se incluye en el identificador de URL. Sin embargo, si solo usas el nombre del grupo de direcciones, debes especificar la ubicación por separado. Para obtener más información sobre los identificadores únicos de URL, consulta las especificaciones de los grupos de direcciones.
Un grupo de direcciones puede tener elementos de tipo IPv4 o IPv6, pero no ambos. También debe especificar la capacidad máxima de elementos de un grupo de direcciones. Una vez que se ha creado el grupo de direcciones, no se pueden cambiar el nombre, el tipo de elemento ni la capacidad del elemento.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, elige el tuyo.
Haga clic en Crear grupo de direcciones.
En el campo Nombre, introduce un nombre.
Opcional: En el campo Descripción, escribe una descripción.
En Ámbito, elige Global o Regional.
Si eliges Regional, especifica la región en la que se creará el grupo de direcciones.
En Tipo, selecciona IPv4 o IPv6.
En Propósito, selecciona Cortafuegos.
Si quieres usar el grupo de direcciones tanto en las políticas de cortafuegos de última generación de Cloud como en las políticas de seguridad de Google Cloud Armor, elige NGFW de Cloud y Cloud Armor.
Para obtener más información sobre este campo , consulta la especificación del grupo de direcciones.
En el campo Capacidad, introduce la capacidad del grupo de direcciones.
En el campo Direcciones IP, enumera las direcciones o los intervalos de direcciones IP que quieras incluir en el grupo de direcciones. Por ejemplo,
1.1.1.0/24,1.2.0.0.Haz clic en Crear.
gcloud
Para crear un grupo de direcciones, usa el comando gcloud network-security address-groups create:
gcloud network-security address-groups create NAME \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
Haz los cambios siguientes:
NAME: el nombre del grupo de direcciones. Puede especificar el nombre como una cadena o como un identificador de URL único.TYPE: el tipo de grupo de direcciones (IPv4 o IPv6)CAPACITY: la capacidad del grupo de direccionesLOCATION: la ubicación del grupo de direccionesPuede ser
globalo un código de región (comoeurope-west). Si usa un identificador de URL único para el parámetroname, puede omitir el parámetrolocation.DESCRIPTION: una descripción opcional del grupo de direcciones
Describe un grupo de direcciones
Para ver los detalles de un grupo de direcciones, debes especificar su nombre y su ubicación.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, elige el tuyo.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
Para ver los detalles, haz clic en el nombre del grupo de direcciones.
gcloud
Para describir un grupo de direcciones, usa el comando gcloud network-security address-groups describe:
gcloud network-security address-groups describe NAME \
--location LOCATION
Actualizar un grupo de direcciones
No puedes actualizar el nombre, el tipo ni la capacidad del grupo de direcciones. Solo puedes actualizar la descripción del grupo de direcciones y las direcciones IP.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, elige el tuyo.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
Para editar un grupo de direcciones, haga clic en su nombre.
Haz clic en Editar.
Modifica los campos obligatorios.
Haz clic en Guardar.
gcloud
Para actualizar un grupo de direcciones, usa el comando gcloud network-security address-groups update:
gcloud network-security address-groups update NAME \
--description DESCRIPTION \
--location LOCATION
Mostrar grupos de direcciones
Puedes enumerar todos los grupos de direcciones de una ubicación.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, elige el tuyo.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
gcloud
Para enumerar los grupos de direcciones, usa el comando gcloud network-security address-groups list:
gcloud network-security address-groups list \
--location LOCATION
Eliminar un grupo de direcciones
Puede eliminar un grupo de direcciones especificando su nombre y ubicación. Sin embargo, si una política de firewall hace referencia al grupo de direcciones, este no se puede eliminar.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, elige el tuyo.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
Seleccione la casilla situada junto al grupo de direcciones que quiera eliminar. Asegúrate de que ninguna política de cortafuegos haga referencia al grupo de direcciones seleccionado.
Haz clic en Eliminar y, a continuación, vuelve a hacer clic en Eliminar para confirmar la acción.
gcloud
Para eliminar un grupo de direcciones de un proyecto, usa el comando gcloud network-security address-groups delete:
gcloud network-security address-groups delete NAME \ --location LOCATION
Buscar referencias de grupos de direcciones
Las políticas de cortafuegos usan grupos de direcciones. Puede consultar la lista de todas las políticas de firewall que usan un grupo de direcciones específico.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, elige el tuyo.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
Haz clic en el nombre del grupo de direcciones.
En el campo En uso por, las políticas de firewall que usan este grupo de direcciones se muestran con el siguiente formato:
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
Para obtener una lista de todos los recursos que hacen referencia a un grupo de direcciones de ámbito de proyecto, usa el comando gcloud network-security address-groups list-references:
gcloud network-security address-groups list-references NAME \
--location LOCATION
Añadir elementos a un grupo de direcciones
Puedes añadir varios elementos, como direcciones o intervalos de direcciones IP, a un grupo de direcciones. Si la solicitud contiene elementos que ya forman parte de los grupos de direcciones, se ignorarán. Si la solicitud contiene elementos no válidos, se producirá un error en toda la solicitud.
Consola
Para añadir un elemento a un grupo de direcciones mediante la consola Google Cloud , sigue el procedimiento que se indica en Actualizar un grupo de direcciones.
gcloud
Para añadir elementos a un grupo de direcciones, usa el comando gcloud network-security address-groups add-items:
gcloud network-security address-groups add-items NAME \
--items ITEMS \
--location LOCATION
Haz los cambios siguientes:
NAME: el nombre del grupo de direcciones. Puede especificar el nombre como una cadena o como un identificador de URL único.ITEMS: una lista separada por comas de direcciones IP o intervalos de IP en formato CIDRLOCATION: la ubicación del grupo de direccionesPuede ser
globalo un código de región (comoeurope-west). Si usa un identificador de URL único para el parámetroname, puede omitir el parámetrolocation.
Quitar un elemento de un grupo de direcciones
Puede quitar elementos de un grupo de direcciones. Si alguno de los elementos de la solicitud no es válido, la solicitud fallará. Si la solicitud contiene elementos que no forman parte del grupo de direcciones, se ignorarán.
Consola
Para quitar un elemento de un grupo de direcciones mediante la consola, sigue el procedimiento que se indica en Actualizar un grupo de direcciones. Google Cloud
gcloud
Para quitar elementos de un grupo de direcciones, usa el comando gcloud network-security address-groups remove-items:
gcloud network-security address-groups remove-items NAME \
--items ITEMS \
--location LOCATION
Clonar elementos de otro grupo de direcciones
Puedes clonar elementos de un grupo de direcciones en otro.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, elige el tuyo.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
Haga clic en el nombre del grupo de direcciones que quiera clonar.
Haz clic en Clonar.
En el panel Clonar grupo de direcciones, en Nombre, escribe un nombre.
Opcional: En el campo Descripción, escribe una descripción.
En Ámbito, selecciona Global o Regional.
Si eliges Regional, especifica la región en la que se creará el grupo de direcciones.
En Tipo, selecciona IPv4 o IPv6.
En Propósito, selecciona Cortafuegos.
En el campo Capacidad, introduce la capacidad del grupo de direcciones.
En el campo Direcciones IP, actualice las direcciones o los intervalos de direcciones IP que se hayan clonado del grupo de direcciones.
Haz clic en Clonar.
gcloud
Para clonar un grupo de direcciones con la CLI de Google Cloud, sigue estas directrices:
- Ambos grupos de direcciones deben ser del mismo tipo.
- Ambos grupos de direcciones deben estar en la misma región.
- Asegúrate de que el nuevo grupo de direcciones tenga capacidad suficiente para incluir los elementos del grupo de direcciones de origen que se van a clonar.
Para especificar el grupo de direcciones de origen, usa el siguiente formato de identificador de URL único:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAMEPara obtener más información sobre los identificadores únicos de URL de los grupos de direcciones, consulta las especificaciones de los grupos de direcciones.
Para clonar elementos de un grupo de direcciones, usa el comando gcloud network-security address-groups clone-items:
gcloud network-security address-groups clone-items NAME \
--source SOURCE_NAMED_LIST \
--location LOCATION
Haz los cambios siguientes:
NAME: el nombre del grupo de direcciones. Puede especificar el nombre como una cadena o como un identificador de URL único.SOURCE_NAMED_LIST: identificador de URL único del grupo de direcciones de origen desde el que se clonan los elementos.LOCATION: la ubicación del grupo de direcciones de destinoPuede ser
globalo un código de región (comoeurope-west). Si usa un identificador de URL único para el parámetroname, puede omitir el parámetrolocation.
Grupos de direcciones en el ámbito de organizaciones
En esta sección se proporciona información detallada sobre cómo gestionar grupos de direcciones con ámbito de organización.
Los grupos de direcciones con ámbito de organización se definen a nivel de organización y se aplican a todos los recursos de la organización, tal como se especifica en la jerarquía de recursos. Para usar un grupo de direcciones, debes asociarlo a una regla de cortafuegos de una política de cortafuegos jerárquica, una política de cortafuegos de red global o una política de cortafuegos de red regional.
Crear un grupo de direcciones
El tipo de contenedor
del grupo de direcciones con ámbito de organización siempre es organization.
Cuando creas un grupo de direcciones, puedes especificar su nombre como una cadena o como un identificador de URL único. La URL única de un grupo de direcciones de ámbito de organización se puede crear con el siguiente formato:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
Si usa un identificador de URL único para el nombre del grupo de direcciones, el ID de organización o la ubicación del grupo de direcciones ya se incluyen en el identificador de URL. Sin embargo, si solo usa el nombre del grupo de direcciones, debe especificar el ID de la organización y la ubicación en la que está definiendo el grupo de direcciones. Para obtener más información sobre los identificadores únicos de URL, consulta las especificaciones de los grupos de direcciones.
Un grupo de direcciones puede tener elementos de tipo IPv4 o IPv6, pero no ambos. También debe especificar la capacidad máxima de elementos de un grupo de direcciones. Una vez creado el grupo de direcciones, no se puede cambiar su nombre, tipo de elemento ni capacidad.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, selecciona tu organización.
Haga clic en Crear grupo de direcciones.
En el campo Nombre, introduce un nombre.
Opcional: En el campo Descripción, escribe una descripción.
En Ámbito, selecciona Global o Regional.
Si eliges Regional, especifica la región en la que se creará el grupo de direcciones.
En Tipo, selecciona IPv4 o IPv6.
En Propósito, selecciona Cortafuegos.
En el campo Capacidad, introduce la capacidad del grupo de direcciones.
En el campo Direcciones IP, enumera las direcciones o los intervalos de direcciones IP que quieras incluir en el grupo de direcciones. Por ejemplo,
1.1.1.0/24,1.2.0.0.Haz clic en Crear.
gcloud
Para crear un grupo de direcciones con ámbito de organización, usa el comando gcloud network-security org-address-groups create:
gcloud network-security org-address-groups create NAME \ --organization ORGANIZATION \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
Haz los cambios siguientes:
NAME: el nombre del grupo de direcciones. Puede especificar el nombre como una cadena o como un identificador de URL único.ORGANIZATION: el ID de la organización en la que se crea el grupo de direccionesSi usa un identificador de URL único para el parámetro
name, puede omitir el parámetroorganization.TYPE: el tipo de grupo de direcciones (IPv4 o IPv6)CAPACITY: la capacidad del grupo de direccionesLOCATION: la ubicación del grupo de direccionesPuede ser
globalo un código de región (comoeurope-west). Si usa un identificador de URL único para el parámetroname, puede omitir el parámetrolocation.DESCRIPTION: una descripción opcional del grupo de direcciones
Describe un grupo de direcciones
Puedes ver los detalles de un grupo de direcciones específico.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, selecciona tu organización.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
Para ver los detalles, haz clic en el nombre del grupo de direcciones.
gcloud
Para describir un grupo de direcciones con ámbito de organización, usa el comando gcloud network-security org-address-groups describe:
gcloud network-security org-address-groups describe NAME \
--organization ORGANIZATION \
--location LOCATION
Actualizar un grupo de direcciones
No puedes actualizar el nombre, el tipo ni la capacidad del grupo de direcciones. Solo puedes actualizar la descripción del grupo de direcciones y las direcciones IP.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, selecciona tu organización.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
Para editar un grupo de direcciones, haga clic en su nombre.
Haz clic en Editar.
Modifica los campos obligatorios.
Haz clic en Guardar.
gcloud
Para actualizar un grupo de direcciones de ámbito de organización, usa el comando gcloud network-security org-address-groups update:
gcloud network-security org-address-groups update NAME \
--organization ORGANIZATION \
--description DESCRIPTION \
--location LOCATION
Mostrar grupos de direcciones
Puedes enumerar todos los grupos de direcciones de una ubicación.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, selecciona tu organización.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
gcloud
Para enumerar los grupos de direcciones de una organización, usa el comando gcloud network-security org-address-groups list:
gcloud network-security org-address-groups list \
--organization ORGANIZATION \
--location LOCATION
Eliminar un grupo de direcciones
Puede eliminar un grupo de direcciones especificando su nombre, organización y ubicación. Si una política de firewall hace referencia al grupo de direcciones, no se podrá eliminar.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, selecciona tu organización.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
Seleccione la casilla situada junto al grupo de direcciones que quiera eliminar. Asegúrate de que ninguna política de cortafuegos haga referencia al grupo de direcciones seleccionado.
Haz clic en Eliminar y, a continuación, vuelve a hacer clic en Eliminar para confirmar la acción.
gcloud
Para eliminar un grupo de direcciones de ámbito de organización, usa el comando gcloud network-security org-address-groups delete:
gcloud network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
Buscar referencias de grupos de direcciones
Las políticas de cortafuegos usan un grupo de direcciones. Puede consultar la lista de todas las políticas de firewall que usan un grupo de direcciones específico.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, selecciona tu organización.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
Haz clic en el nombre del grupo de direcciones.
En el campo En uso por, las políticas de firewall que usan este grupo de direcciones se muestran con el siguiente formato:
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
Para enumerar todos los recursos que hacen referencia a un grupo de direcciones con ámbito de organización, usa el comando gcloud network-security org-address-groups list-references:
gcloud network-security org-address-groups list-references NAME \
--organization ORGANIZATION \
--location LOCATION
Añadir elementos a un grupo de direcciones
Puedes añadir varios elementos, como direcciones o intervalos de direcciones IP, a un grupo de direcciones. Si la solicitud contiene elementos que ya forman parte del grupo de direcciones, se ignorarán. Si la solicitud contiene elementos no válidos, se producirá un error en toda la solicitud.
Consola
Para añadir un elemento a un grupo de direcciones con ámbito de organización mediante la consolaGoogle Cloud , sigue el procedimiento que se indica en Actualizar un grupo de direcciones.
gcloud
Para añadir elementos a un grupo de direcciones de ámbito de organización, usa el comando gcloud network-security org-address-groups add-items:
gcloud network-security org-address-groups add-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
Haz los cambios siguientes:
NAME: el nombre del grupo de direcciones. Puede especificar el nombre como una cadena o como un identificador de URL único.ORGANIZATION: el ID de la organización en la que se crea el grupo de direccionesSi usa un identificador de URL único para el parámetro
name, puede omitir el parámetroorganization.ITEMS: lista separada por comas de direcciones IP o intervalos de IP en formato CIDRLOCATION: la ubicación del grupo de direccionesPuede ser
globalo un código de región (comoeurope-west). Si usa un identificador de URL único para el parámetroname, puede omitir el parámetrolocation.
Quitar un elemento de un grupo de direcciones
Puede quitar elementos de un grupo de direcciones. Si alguno de los elementos de la solicitud no es válido, la solicitud fallará. Si la solicitud contiene elementos que no forman parte del grupo de direcciones, se ignorarán.
Consola
Para quitar un elemento de un grupo de direcciones con ámbito de organización mediante la consolaGoogle Cloud , sigue el procedimiento que se indica en Actualizar un grupo de direcciones.
gcloud
Para quitar un elemento de un grupo de direcciones con ámbito de organización, usa el comando gcloud network-security org-address-groups remove-items:
gcloud network-security org-address-groups remove-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
Clonar elementos de otro grupo de direcciones
Puedes clonar elementos de un grupo de direcciones en otro.
Consola
En la Google Cloud consola, ve a la página Grupos de direcciones.
En el menú de selección de proyectos, selecciona tu organización.
Los grupos de direcciones se muestran en la sección Grupos de direcciones.
Haga clic en el nombre del grupo de direcciones que quiera clonar.
Haz clic en Clonar.
En el panel Clonar grupo de direcciones, en Nombre, escribe un nombre.
Opcional: En el campo Descripción, escribe una descripción.
En Ámbito, selecciona Global o Regional.
Si eliges Regional, especifica la región en la que se creará el grupo de direcciones.
En Tipo, selecciona IPv4 o IPv6.
En Propósito, selecciona Cortafuegos.
En el campo Capacidad, introduce la capacidad del grupo de direcciones.
En el campo Direcciones IP, actualice las direcciones o los intervalos de direcciones IP que se hayan clonado del grupo de direcciones.
Haz clic en Clonar.
gcloud
Para clonar un grupo de direcciones con gcloud CLI, sigue estas directrices:
- Ambos grupos de direcciones deben ser del mismo tipo.
- Ambos grupos de direcciones deben estar en la misma ubicación.
- Asegúrate de que el nuevo grupo de direcciones tenga capacidad suficiente para incluir los elementos del grupo de direcciones de origen que se van a clonar.
Para especificar el grupo de direcciones de origen, debes usar el siguiente identificador de URL único:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
Para obtener más información sobre los identificadores únicos de URL de los grupos de direcciones, consulta las especificaciones de los grupos de direcciones.
Para clonar elementos de un grupo de direcciones con ámbito de organización, usa el comando gcloud network-security org-address-groups clone-items:
gcloud network-security org-address-groups clone-items NAME \
--organization ORGANIZATION \
--source SOURCE_NAMED_LIST \
--location LOCATION
Haz los cambios siguientes:
NAME: el nombre del grupo de direcciones. Puede especificar el nombre como una cadena o como un identificador de URL único.ORGANIZATION: el ID de la organización en la que se crea el grupo de direccionesSi usas un identificador de URL único para el parámetro
name, puedes omitir el parámetroorganization.SOURCE_NAMED_LIST: identificador único de la URL del grupo de direcciones de origen desde el que se clonan los elementos.LOCATION: la ubicación del grupo de direcciones de destinoPuede asignarle el valor
globalo un código de región (comoeurope-west). Si usa un identificador de URL único para el parámetroname, puede omitir el parámetrolocation.
Siguientes pasos
- Usar políticas de cortafuegos jerárquicas
- Usar políticas de cortafuegos de red globales
- Usar políticas de cortafuegos de red regionales