Utilizza i gruppi di indirizzi nei criteri firewall

Per utilizzare i gruppi di indirizzi, devi prima identificare l'ambito del gruppo di indirizzi pertinente al tuo requisito. L'ambito identifica il livello a cui il gruppo di indirizzi è applicabile nella gerarchia delle risorse.

Se vuoi utilizzare un gruppo di indirizzi in una regola del criterio firewall applicabile a un singolo progetto, utilizza un gruppo di indirizzi con ambito a livello di progetto.

Se vuoi utilizzare un gruppo di indirizzi in una regola del criterio firewall applicabile in tutta la gerarchia a tutte le risorse di un'organizzazione o di una rete, utilizza un gruppo di indirizzi con ambito organizzazione.

Gruppi di indirizzi con ambito a livello di progetto

Questa sezione fornisce informazioni dettagliate su come gestire i gruppi di indirizzi con ambito a livello di progetto.

I gruppi di indirizzi con ambito a livello di progetto vengono definiti a livello di progetto e si applicano solo al progetto in cui vengono creati. Per utilizzare un gruppo di indirizzi, devi associarlo a una regola firewall in un criterio del firewall di rete globale o in un criterio del firewall di rete a livello di regione. La località del gruppo di indirizzi deve corrispondere a quella del criterio firewall in cui viene utilizzato.

Crea un gruppo di indirizzi

Il tipo di contenitore del gruppo di indirizzi con ambito a livello di progetto è sempre impostato su projects.

Quando crei un gruppo di indirizzi, puoi specificare il nome del gruppo come stringa o come identificatore URL univoco. L'URL univoco per un gruppo di indirizzi con ambito a livello di progetto può essere creato nel seguente formato:

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

Se utilizzi un identificatore di URL univoco per il nome del gruppo di indirizzi, la relativa posizione è già inclusa nell'identificatore di URL. Tuttavia, se utilizzi solo il nome del gruppo di indirizzi, devi specificare la posizione separatamente. Per maggiori informazioni sugli identificatori di URL univoci, consulta le specifiche del gruppo di indirizzi.

Un gruppo di indirizzi può avere tipi di elementi IPv4 o IPv6, ma non entrambi. Devi anche specificare la capacità massima per gli articoli di un gruppo di indirizzi. Dopo aver creato il gruppo di indirizzi, non puoi modificare il nome, il tipo di elemento o la capacità dell'elemento del gruppo.

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Descrivi un gruppo di indirizzi

Per visualizzare i dettagli di un gruppo di indirizzi, devi specificare il nome e la località del gruppo.

gcloud network-security address-groups describe NAME \
    --location LOCATION

Aggiorna una descrizione del gruppo di indirizzi

Non puoi aggiornare il nome, il tipo o la capacità del gruppo di indirizzi. Puoi aggiornare solo la descrizione del gruppo di indirizzi.

gcloud network-security address-groups update NAME \
    --description DESCRIPTION \
    --location LOCATION

Elenca gruppi di indirizzi

Puoi elencare tutti i gruppi di indirizzi di una località.

gcloud network-security address-groups list \
    --location LOCATION 

Eliminare un gruppo di indirizzi

Puoi eliminare un gruppo di indirizzi specificandone il nome e la località. Tuttavia, se il gruppo di indirizzi fa riferimento a un criterio firewall, non è possibile eliminarlo.

gcloud network-security address-groups delete NAME \
  --location LOCATION

Trovare i riferimenti ai gruppi di indirizzi

Un gruppo di indirizzi viene utilizzato dai criteri firewall. Puoi trovare l'elenco di tutti i criteri firewall che utilizzano un gruppo di indirizzi specifico.

gcloud network-security address-groups list-references NAME \
    --location LOCATION

Aggiungere elementi a un gruppo di indirizzi

Puoi aggiungere più elementi, ad esempio indirizzi IP o intervalli di indirizzi IP, a un gruppo di indirizzi. Se la richiesta contiene elementi che fanno già parte dei gruppi di indirizzi, tali elementi vengono ignorati. Se la richiesta contiene elementi non validi, l'intera richiesta non riesce.

gcloud network-security address-groups add-items NAME \
    --items ITEMS \
    --location LOCATION

Rimuovere un elemento da un gruppo di indirizzi

Puoi rimuovere elementi esistenti da un gruppo di indirizzi. Se uno degli elementi nella richiesta non è valido, la richiesta non riesce. Se la richiesta contiene elementi che non fanno parte del gruppo di indirizzi, questi vengono ignorati.

gcloud network-security address-groups remove-items NAME \
    --items ITEMS \
    --location LOCATION

Clona elementi da un altro gruppo di indirizzi

Puoi clonare gli elementi da un gruppo di indirizzi a un altro. Per clonare un gruppo di indirizzi, segui queste linee guida:

• Entrambi i gruppi di indirizzi devono essere dello stesso tipo.
• Entrambi i gruppi di indirizzi devono trovarsi nella stessa regione.
• Assicurati che il nuovo gruppo di indirizzi abbia una capacità sufficiente per adattarsi agli elementi del gruppo di indirizzi di origine che vengono clonati.

• Per specificare il gruppo di indirizzi di origine, utilizza il seguente formato di identificatore di URL univoco:

  projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
  

  Per maggiori informazioni sugli identificatori di URL univoci per i gruppi di indirizzi, consulta Specifiche dei gruppi di indirizzi.

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Gruppi di indirizzi con ambito organizzazione

Questa sezione fornisce informazioni dettagliate su come gestire i gruppi di indirizzi con ambito a livello di organizzazione.

I gruppi di indirizzi con ambito a livello di organizzazione sono definiti a livello di organizzazione e si applicano a tutte le risorse dell'organizzazione come specificato nella gerarchia delle risorse. Per utilizzare un gruppo di indirizzi, devi associarlo a una regola firewall in un criterio firewall gerarchico, in un criterio firewall di rete globale o in un criterio firewall di rete a livello di regione.

Crea un gruppo di indirizzi

Il tipo di contenitore del gruppo di indirizzi con ambito a livello di organizzazione è sempre impostato su organization.

Quando crei un gruppo di indirizzi, puoi specificare il nome del gruppo come stringa o come identificatore URL univoco. L'URL univoco per un gruppo di indirizzi con ambito organizzazione può essere creato nel seguente formato:

organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Se utilizzi un identificatore URL univoco per il nome del gruppo di indirizzi, l'ID organizzazione o la località del gruppo di indirizzi è già incluso nell'identificatore URL. Tuttavia, se utilizzi solo il nome del gruppo di indirizzi, devi specificare l'ID dell'organizzazione e la località in cui intendi definire il gruppo di indirizzi. Per ulteriori informazioni sugli identificatori URL univoci, consulta le specifiche del gruppo di indirizzi.

Un gruppo di indirizzi può avere tipi di elementi IPv4 o IPv6, ma non entrambi. Devi anche specificare la capacità massima di articoli per un gruppo di indirizzi. Dopo la creazione del gruppo di indirizzi, non puoi modificare il nome, il tipo di articolo o la capacità dell'elemento del gruppo.

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Descrivi un gruppo di indirizzi

Puoi visualizzare i dettagli di un gruppo di indirizzi specifico.

gcloud network-security org-address-groups describe NAME \
    --organization ORGANIZATION \
    --location LOCATION

Aggiorna una descrizione del gruppo di indirizzi

Non puoi aggiornare il nome, il tipo o la capacità del gruppo di indirizzi. Puoi aggiornare solo la descrizione del gruppo di indirizzi.

gcloud network-security org-address-groups update NAME \
    --organization ORGANIZATION \
    --description DESCRIPTION \
    --location LOCATION

Elenca gruppi di indirizzi

Puoi elencare tutti i gruppi di indirizzi di una località.

gcloud network-security org-address-groups list \
    --organization ORGANIZATION \
    --location LOCATION 

Eliminare un gruppo di indirizzi

Puoi eliminare un gruppo di indirizzi specificando il nome, l'organizzazione e la località. Se il gruppo di indirizzi fa riferimento a un criterio firewall, il gruppo di indirizzi non può essere eliminato.

gcloud network-security org-address-groups delete NAME \
  --organization ORGANIZATION \
  --location LOCATION

Trovare i riferimenti ai gruppi di indirizzi

I gruppi di firewall utilizzano un gruppo di indirizzi. Puoi trovare l'elenco di tutti i criteri firewall che utilizzano un gruppo di indirizzi specifico.

gcloud network-security org-address-groups list-references NAME \
    --organization ORGANIZATION \
    --location LOCATION

Aggiungere elementi a un gruppo di indirizzi

Puoi aggiungere più elementi, ad esempio indirizzi IP o intervalli di indirizzi IP, a un gruppo di indirizzi. Se la richiesta contiene elementi che fanno già parte del gruppo di indirizzi, tali elementi vengono ignorati. Se la richiesta contiene elementi non validi, l'intera richiesta non riesce.

gcloud network-security org-address-groups add-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Rimuovere un elemento da un gruppo di indirizzi

Puoi rimuovere elementi esistenti da un gruppo di indirizzi. Se uno degli elementi nella richiesta non è valido, la richiesta non riesce. Se la richiesta contiene elementi che non fanno parte del gruppo di indirizzi, questi vengono ignorati.

gcloud network-security org-address-groups remove-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Clona elementi da un altro gruppo di indirizzi

Puoi clonare gli elementi da un gruppo di indirizzi a un altro. Per clonare un gruppo di indirizzi, segui queste linee guida:

• Entrambi i gruppi di indirizzi devono essere dello stesso tipo.
• Entrambi i gruppi di indirizzi devono trovarsi nella stessa località.
• Assicurati che il nuovo gruppo di indirizzi abbia una capacità sufficiente per adattarsi agli elementi del gruppo di indirizzi di origine che vengono clonati.

• Per specificare il gruppo di indirizzi di origine, devi utilizzare il seguente identificatore di URL univoco:

  organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
  

  Per ulteriori informazioni sugli identificatori di URL univoci per i gruppi di indirizzi, consulta le specifiche dei gruppi di indirizzi.

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Passaggi successivi

• Utilizzare i criteri firewall gerarchici
• Utilizza i criteri firewall di rete globali
• Utilizza i criteri firewall di rete a livello di regione