Adressgruppen für Firewallrichtlinien

Verwenden Sie Adressgruppen, um mehrere IP-Adressen und IP-Bereiche in einer einzigen benannten logischen Einheit zu kombinieren. Sie können diese Einheit dann für mehrere Regeln in derselben oder verschiedenen Firewallrichtlinien verwenden.

Mit Gruppen ist es nicht mehr erforderlich, IP-Adresssätze manuell zu verwalten und zu synchronisieren, die über mehrere Firewallregeln hinweg verwendet werden. Sie können eine gemeinsame Adressgruppe mit allen erforderlichen IP-Adressen oder IP-Bereichen erstellen. Sie können diese Adressgruppe dann in mehreren Firewallregeln für die Quell- und Zielfilterung wiederverwenden. Wenn sich der IP-Adresssatz ändert, können Sie die Adressgruppe aktualisieren, ohne jede zugehörige Regel aktualisieren zu müssen.

Adressgruppen vereinfachen die Konfiguration und Verwaltung von Firewallrichtlinien. Sie können die IP-Adressen für mehrere Firewallrichtlinien freigeben und komplexere, konsistente und robuste Firewallrichtlinien für Ihr Netzwerk bei geringerem Wartungsaufwand definieren.

Spezifikationen

Ressourcen von Adressgruppen haben folgende Eigenschaften:

Jede Adressgruppe wird durch eine URL mit den folgenden Elementen eindeutig identifiziert:
- Containertyp: Bestimmt den Typ der Adressgruppe – organization oder project.
- Container-ID: ID der Organisation oder des Projekts.
- Standort: Gibt an, ob die Adressengruppe eine global oder eine regionale Ressource ist (z. B. europe-west).
- Name: Der Name der Adressgruppe im folgenden Format:
  - Ein String mit 1 bis 63 Zeichen
  - Enthält nur alphanumerische Zeichen
  - Darf nicht mit einer Ziffer beginnen
Sie können eine eindeutige URL-ID für eine Adressgruppe im folgenden Format erstellen:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
Beispiel: Eine global-Adressgruppe example-address-group im Projekt myproject hat die folgende eindeutige 4-Tupel-ID:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
Jede Adressgruppe ist einem Typ zugeordnet, der entweder IPv4 oder IPv6 sein kann, aber nicht beides. Der Typ der Adressgruppe kann später nicht mehr geändert werden.
Jede IP-Adresse oder jeder IP-Bereich in einer Adressgruppe wird als Element bezeichnet. Die Anzahl der Elemente, die Sie einer Adressgruppe hinzufügen können, hängt von der Kapazität der Adressgruppe ab. Sie können die Kapazität des Elements während der Erstellung der Adressgruppe definieren. Diese Kapazität kann später nicht mehr geändert werden. Sie können für eine Adressgruppe maximal 1.000 Elemente konfigurieren.
Die Kapazität einer Adressgruppe wird zur Gesamtzahl der Attribute der Firewallrichtlinie addiert, in der die Adressgruppe verwendet wird. Achten Sie darauf, dass Sie die Kapazität anhand Ihres Anwendungsfalls auf einen geeigneten Wert festlegen.
Sie müssen die Kapazität und den Typ angeben, wenn Sie eine Adressgruppe erstellen.
Ist keine Adressgruppe zu der Firewallrichtlinienregel vorhanden, wird der Adressgruppenfilter aus der Regel entfernt. Weitere Informationen zum Hinzufügen von Quell- oder Zieladressgruppen zu Firewallrichtlinienregeln finden Sie unter Quellen und Ziele.

Arten von Adressgruppen

Adressgruppen werden nach ihrem Bereich klassifiziert. Der Bereich gibt die Ebene an, auf der die Adressgruppe in der Ressourcenhierarchie gilt. Adressgruppen werden in folgende Typen unterteilt:

Projektbezogene Adressgruppen
Adressgruppen auf Organisationsebene

Eine Adressgruppe kann entweder projektbezogen oder organisationsbezogen sein, aber nicht beides.

Adressgruppen auf Organisationsebene können in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien verwendet werden. Projektbezogene Adressgruppen können nur in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien verwendet werden.

Bei beiden Adressgruppen muss der Standort der Adressgruppe mit dem Standort der Firewallrichtlinie übereinstimmen.

Projektbezogene Adressgruppen

Verwenden Sie projektbezogene Adressgruppen, wenn Sie eine eigene Liste von IP-Adressen definieren möchten, die in einem Projekt oder einem Netzwerk verwendet werden sollen, um eine Liste von sich ändernden IP-Adressen zu blockieren oder zuzulassen. Wenn Sie beispielsweise eine eigene Bedrohungsinformationsliste definieren und sie der Firewallrichtlinienregel hinzufügen möchten, erstellen Sie eine Adressgruppe mit den erforderlichen IP-Adressen.

Sie können projektbezogene Adressgruppen in den Firewallregeln für Netzwerk-Firewallrichtlinien verwenden. Der Containertyp für projektbezogene Adressgruppen ist immer auf project festgelegt. Weitere Informationen zum Erstellen und Ändern projektbezogener Adressgruppen finden Sie unter Projektbezogene Adressgruppen verwenden.

Adressgruppen auf Organisationsebene

Verwenden Sie organisationsbezogene Adressgruppen, wenn Sie eine zentrale Liste von IP-Adressen definieren möchten, die in übergeordneten Firewallregeln verwendet werden können. Damit erhalten Sie eine konsistente Kontrolle für die gesamte Organisation und können den Aufwand für einzelne Netzwerk- und Projektinhaber reduzieren, allgemeine Listen wie vertrauenswürdige Dienste und interne IP-Adressen zu verwalten.

Sie können organisationsbezogene Adressgruppen in den Firewallregeln für hierarchische Firewallrichtlinien und Netzwerk-Firewallrichtlinien verwenden. Der Containertyp für organisationsbezogene Adressgruppen ist immer auf organization gesetzt. Weitere Informationen zum Erstellen und Ändern von organisationsbezogenen Adressgruppen finden Sie unter Organisationsbezogene Adressgruppen verwenden.

IAM-Rollen

Zum Erstellen und Verwalten einer Adressgruppe benötigen Sie die Rolle „Netzwerkadministrator“ (compute.networkAdmin) oder „Sicherheitsadministrator“ (compute.securityAdmin). Sie können auch eine benutzerdefinierte Rolle mit entsprechenden Berechtigungen definieren.

Die folgende Tabelle enthält eine Liste der IAM-Berechtigungen (Identity and Access Management), die zum Ausführen einer Reihe von Aufgaben für Adressgruppen erforderlich sind.

Aufgabe Name der IAM-Rolle IAM-Berechtigungen

Adressgruppen erstellen und verwalten

Aufgabe	Name der IAM-Rolle	IAM-Berechtigungen
Adressgruppen erstellen und verwalten	`compute.networkAdmin` `compute.securityAdmin`	`networksecurity.addressGroups.*`
Adressengruppen ermitteln und ansehen	`compute.networkUser`	`networksecurity.addressGroups.list` `networksecurity.addressGroups.get` `networksecurity.addressGroups.use`

compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*

Adressengruppen ermitteln und ansehen

compute.networkUser

networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

Weitere Informationen dazu, welche Rollen bestimmte IAM-Berechtigungen enthalten, finden Sie in der Referenz für IAM-Berechtigungen.

Nächste Schritte

Adressgruppen verwenden