Verwenden Sie Adressgruppen, um mehrere IP-Adressen und IP-Bereiche in einer einzigen benannten logischen Einheit zu kombinieren. Sie können diese Einheit dann für mehrere Regeln in derselben oder verschiedenen Firewallrichtlinien verwenden.
Mit Gruppen ist es nicht mehr erforderlich, IP-Adresssätze manuell zu verwalten und zu synchronisieren, die über mehrere Firewallregeln hinweg verwendet werden. Sie können eine gemeinsame Adressgruppe mit allen erforderlichen IP-Adressen oder IP-Bereichen erstellen. Sie können diese Adressgruppe dann in mehreren Firewallregeln für die Quell- und Zielfilterung wiederverwenden. Wenn sich der IP-Adresssatz ändert, können Sie die Adressgruppe aktualisieren, ohne jede zugehörige Regel aktualisieren zu müssen.
Adressgruppen vereinfachen die Konfiguration und Verwaltung von Firewallrichtlinien. Sie können die IP-Adressen für mehrere Firewallrichtlinien freigeben und komplexere, konsistente und robuste Firewallrichtlinien für Ihr Netzwerk bei geringerem Wartungsaufwand definieren.
Spezifikationen
Ressourcen von Adressgruppen haben folgende Eigenschaften:
- Jede Adressgruppe wird durch eine URL mit den folgenden Elementen eindeutig identifiziert:
- Containertyp: Bestimmt den Typ der Adressgruppe –
organization
oderproject
. - Container-ID: ID der Organisation oder des Projekts.
- Standort: Gibt an, ob die Adressengruppe eine
global
oder eine regionale Ressource ist (z. B.europe-west
). - Name: Der Name der Adressgruppe im folgenden Format:
- Ein String mit 1 bis 63 Zeichen
- Enthält nur alphanumerische Zeichen
- Darf nicht mit einer Ziffer beginnen
- Containertyp: Bestimmt den Typ der Adressgruppe –
Sie können eine eindeutige URL-ID für eine Adressgruppe im folgenden Format erstellen:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
Beispiel: Eine
global
-Adressgruppeexample-address-group
im Projektmyproject
hat die folgende eindeutige 4-Tupel-ID:projects/myproject/locations/global/addressGroups/example-address-group
Jede Adressgruppe ist einem Typ zugeordnet, der entweder IPv4 oder IPv6 sein kann, aber nicht beides. Der Typ der Adressgruppe kann später nicht mehr geändert werden.
Jede IP-Adresse oder jeder IP-Bereich in einer Adressgruppe wird als Element bezeichnet. Die Anzahl der Elemente, die Sie einer Adressgruppe hinzufügen können, hängt von der Kapazität der Adressgruppe ab. Sie können die Kapazität des Elements während der Erstellung der Adressgruppe definieren. Diese Kapazität kann später nicht mehr geändert werden. Sie können für eine Adressgruppe maximal 1.000 Elemente konfigurieren.
Die Kapazität einer Adressgruppe wird zur Gesamtzahl der Attribute der Firewallrichtlinie addiert, in der die Adressgruppe verwendet wird. Achten Sie darauf, dass Sie die Kapazität anhand Ihres Anwendungsfalls auf einen geeigneten Wert festlegen.
Sie müssen die Kapazität und den Typ angeben, wenn Sie eine Adressgruppe erstellen.
Ist keine Adressgruppe zu der Firewallrichtlinienregel vorhanden, wird der Adressgruppenfilter aus der Regel entfernt. Weitere Informationen zum Hinzufügen von Quell- oder Zieladressgruppen zu Firewallrichtlinienregeln finden Sie unter Quellen und Ziele.
Arten von Adressgruppen
Adressgruppen werden nach ihrem Bereich klassifiziert. Der Bereich gibt die Ebene an, auf der die Adressgruppe in der Ressourcenhierarchie gilt. Adressgruppen werden in folgende Typen unterteilt:
Eine Adressgruppe kann entweder projektbezogen oder organisationsbezogen sein, aber nicht beides.
Adressgruppen auf Organisationsebene können in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien verwendet werden. Projektbezogene Adressgruppen können nur in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien verwendet werden.
Bei beiden Adressgruppen muss der Standort der Adressgruppe mit dem Standort der Firewallrichtlinie übereinstimmen.
Projektbezogene Adressgruppen
Verwenden Sie projektbezogene Adressgruppen, wenn Sie eine eigene Liste von IP-Adressen definieren möchten, die in einem Projekt oder einem Netzwerk verwendet werden sollen, um eine Liste von sich ändernden IP-Adressen zu blockieren oder zuzulassen. Wenn Sie beispielsweise eine eigene Bedrohungsinformationsliste definieren und sie der Firewallrichtlinienregel hinzufügen möchten, erstellen Sie eine Adressgruppe mit den erforderlichen IP-Adressen.
Sie können projektbezogene Adressgruppen in den Firewallregeln für Netzwerk-Firewallrichtlinien verwenden. Der Containertyp für projektbezogene Adressgruppen ist immer auf project
festgelegt. Weitere Informationen zum Erstellen und Ändern projektbezogener Adressgruppen finden Sie unter Projektbezogene Adressgruppen verwenden.
Adressgruppen auf Organisationsebene
Verwenden Sie organisationsbezogene Adressgruppen, wenn Sie eine zentrale Liste von IP-Adressen definieren möchten, die in übergeordneten Firewallregeln verwendet werden können. Damit erhalten Sie eine konsistente Kontrolle für die gesamte Organisation und können den Aufwand für einzelne Netzwerk- und Projektinhaber reduzieren, allgemeine Listen wie vertrauenswürdige Dienste und interne IP-Adressen zu verwalten.
Sie können organisationsbezogene Adressgruppen in den Firewallregeln für hierarchische Firewallrichtlinien und Netzwerk-Firewallrichtlinien verwenden. Der Containertyp für organisationsbezogene Adressgruppen ist immer auf organization
gesetzt. Weitere Informationen zum Erstellen und Ändern von organisationsbezogenen Adressgruppen finden Sie unter Organisationsbezogene Adressgruppen verwenden.
IAM-Rollen
Zum Erstellen und Verwalten einer Adressgruppe benötigen Sie die Rolle „Netzwerkadministrator“ (compute.networkAdmin
) oder „Sicherheitsadministrator“ (compute.securityAdmin
). Sie können auch eine benutzerdefinierte Rolle mit entsprechenden Berechtigungen definieren.
Die folgende Tabelle enthält eine Liste der IAM-Berechtigungen (Identity and Access Management), die zum Ausführen einer Reihe von Aufgaben für Adressgruppen erforderlich sind.
Aufgabe | Name der IAM-Rolle | IAM-Berechtigungen |
---|---|---|
Adressgruppen erstellen und verwalten | compute.networkAdmin
|
networksecurity.addressGroups.* |
Adressengruppen ermitteln und ansehen | compute.networkUser |
networksecurity.addressGroups.list
|
Weitere Informationen dazu, welche Rollen bestimmte IAM-Berechtigungen enthalten, finden Sie in der Referenz für IAM-Berechtigungen.