방화벽 정책의 주소 그룹

주소 그룹을 사용하여 여러 IP 주소와 IP 범위를 이름이 지정된 단일 논리 단위로 결합합니다. 그런 다음 동일하거나 다른 방화벽 정책의 여러 규칙에서 이 단위를 사용할 수 있습니다.

주소 그룹을 사용하면 여러 방화벽 규칙에서 사용되는 IP 주소 집합을 수동으로 유지관리하고 동기화할 필요가 없습니다. 모든 필수 IP 주소 또는 IP 범위로 공통 주소 그룹을 만들 수 있습니다. 그런 다음 소스 및 대상 필터링을 위해 여러 방화벽 규칙에서 이 주소 그룹을 재사용할 수 있습니다. IP 주소 집합에 변경사항이 있는 경우 연결된 모든 규칙을 업데이트할 필요 없이 주소 그룹을 업데이트할 수 있습니다.

주소 그룹을 사용하면 방화벽 정책의 구성 및 유지관리가 간소화됩니다. 방화벽 정책 간에 IP 주소를 공유하고 유지관리 오버헤드를 줄여서 더 복잡하고 일관되며 강력한 네트워크 방화벽 정책을 정의할 수 있습니다.

사양

주소 그룹 리소스는 다음과 같은 특징을 갖습니다.

각 주소 그룹은 다음 요소가 있는 URL로 고유하게 식별됩니다.
- 컨테이너 유형: 주소 그룹 유형(organization 또는 project)을 결정합니다.
- 컨테이너 ID: 조직 또는 프로젝트의 ID입니다.
- 위치: 주소 그룹이 global인지 또는 리전별 리소스(예: europe-west)인지 지정합니다.
- 이름: 다음 형식의 주소 그룹 이름입니다.
  - 1~63자(영문 기준)의 문자열
  - 영숫자 문자만 포함
  - 숫자로 시작하지 않아야 함
다음 형식으로 주소 그룹에 고유한 URL 식별자를 구성할 수 있습니다.
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
예를 들어, myproject 프로젝트의 global 주소 그룹 example-address-group에는 다음과 같은 고유한 4-튜플 식별자가 있습니다.
```
projects/myproject/locations/global/addressGroups/example-address-group
```
각 주소 그룹에는 IPv4 또는 IPv6인 1개의 연결된 유형이 있을 수 있지만 둘 다 있을 수는 없습니다. 주소 그룹 유형은 나중에 변경할 수 없습니다.
주소 그룹의 각 IP 주소 또는 IP 범위를 항목이라고 합니다. 주소 그룹에 추가할 수 있는 항목 수는 주소 그룹의 용량에 따라 다릅니다. 주소 그룹을 만드는 동안 항목 용량을 정의할 수 있습니다. 이 용량은 나중에 변경할 수 없습니다. 주소 그룹에 구성할 수 있는 최대 용량은 1,000개 항목입니다.
주소 그룹의 용량이 주소 그룹이 사용되는 방화벽 정책의 총 속성 수에 추가됩니다. 사용 사례에 따라 용량을 적절한 값으로 설정해야 합니다.
주소 그룹을 만들 때 용량과 유형을 지정해야 합니다.
방화벽 정책 규칙에 추가된 주소 그룹이 없으면 주소 그룹 필터가 규칙에서 삭제됩니다. 소스 또는 대상 주소 그룹을 방화벽 정책 규칙에 추가하는 방법에 대한 자세한 내용은 소스 및 대상을 참조하세요.

주소 그룹 유형

주소 그룹은 범위에 따라 분류됩니다. 범위는 리소스 계층 구조에서 주소 그룹을 적용할 수 있는 수준을 식별합니다. 주소 그룹은 다음 유형으로 분류됩니다.

프로젝트 범위 주소 그룹
조직 범위 주소 그룹

주소 그룹은 프로젝트 범위 또는 조직 범위일 수 있지만 둘 다일 수는 없습니다.

조직 범위 주소 그룹은 계층식 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책에 사용할 수 있습니다. 프로젝트 범위 주소 그룹은 전역 네트워크 방화벽 정책 및 리전 네트워크 방화벽 정책에만 사용할 수 있습니다.

두 주소 그룹 유형 모두에서 주소 그룹의 위치는 방화벽 정책의 위치와 일치해야 합니다.

프로젝트 범위 주소 그룹

변경되는 IP 주소 목록을 차단하거나 허용하기 위해 프로젝트 또는 네트워크 내에서 사용할 IP 주소 목록을 정의하려는 경우 프로젝트 범위 주소 그룹을 사용합니다. 예를 들어 자체 위협 인텔리전스 목록을 정의하여 방화벽 정책 규칙에 추가하려면 필요한 IP 주소로 주소 그룹을 만듭니다.

방화벽 규칙에서 프로젝트 범위 주소 그룹을 네트워크 방화벽 정책에 사용할 수 있습니다. 프로젝트 범위 주소 그룹의 컨테이너 유형은 항상 project로 설정됩니다. 프로젝트 범위 주소 그룹을 만들고 수정하는 방법에 대한 자세한 내용은 프로젝트 범위 주소 그룹 사용을 참조하세요.

조직 범위 주소 그룹

개별 네트워크 및 프로젝트 소유자가 신뢰할 수 있는 서비스 및 내부 IP 주소와 같은 공통 목록을 유지관리하도록 전체 조직에 대한 일관된 제어하고 오버헤드를 줄이기 위해 대략적인 방화벽 규칙에 사용할 수 있는 중앙 IP 주소 목록을 정의하려면 조직 범위 주소 그룹을 사용합니다.

방화벽 규칙에서 조직 범위 주소 그룹을 계층식 방화벽 정책 및 네트워크 방화벽 정책에 사용할 수 있습니다. 조직 범위 주소 그룹의 컨테이너 유형은 항상 organization으로 설정됩니다. 조직 범위 주소 그룹을 만들고 수정하는 방법에 대한 자세한 내용은 조직 범위 주소 그룹 사용을 참조하세요.

IAM 역할

주소 그룹을 만들고 관리하려면 네트워크 관리자 역할(compute.networkAdmin) 또는 보안 관리자 역할(compute.securityAdmin)이 필요합니다. 동일한 권한 집합을 사용하여 커스텀 역할을 정의할 수도 있습니다.

다음 표에서는 주소 그룹에서 태스크 집합을 수행하는 데 필요한 Identity and Access Management(IAM) 권한 목록을 제공합니다.

태스크 IAM 역할 이름 IAM 권한

주소 그룹 만들기 및 관리

태스크	IAM 역할 이름	IAM 권한
주소 그룹 만들기 및 관리	`compute.networkAdmin` `compute.securityAdmin`	`networksecurity.addressGroups.*`
주소 그룹 탐색 및 보기	`compute.networkUser`	`networksecurity.addressGroups.list` `networksecurity.addressGroups.get` `networksecurity.addressGroups.use`

compute.networkAdmin

compute.securityAdmin

networksecurity.addressGroups.*

주소 그룹 탐색 및 보기

compute.networkUser

networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

특정 IAM 권한이 포함된 역할에 대한 자세한 내용은 IAM 권한 참조를 확인하세요.

다음 단계

주소 그룹 사용