ファイアウォール ポリシーでアドレス グループを使用する
アドレス グループを使用するには、まず要件に関連するアドレス グループの範囲を特定する必要があります。その範囲により、リソース階層でアドレス グループが適用されるレベルが特定されます。
個々のプロジェクトに適用されるファイアウォール ポリシールールでアドレス グループを使用する場合は、プロジェクトを対象にしたアドレス グループを使用します。
組織やネットワーク内のすべてのリソースの階層全体に適用されるファイアウォール ポリシールールでアドレス グループを使用する場合は、組織を対象にしたアドレス グループを使用します。
プロジェクトを対象にしたアドレス グループ
このセクションでは、プロジェクトを対象にしたアドレス グループを管理する方法について説明します。
プロジェクトを対象にしたアドレス グループは、プロジェクト レベルで定義され、そのプロジェクトが作成されたプロジェクトにのみ適用されます。アドレス グループを使用するには、グローバル ネットワーク ファイアウォール ポリシーまたはリージョン ネットワーク ファイアウォール ポリシーでファイアウォール ルールに関連付ける必要があります。アドレス グループのロケーションは、それを使用するファイアウォール ポリシーのロケーションと同じでなければなりません。
アドレス グループを作成する
プロジェクトを対象にしたアドレス グループのコンテナタイプは、常に projects に設定されます。
アドレス グループを作成する場合は、アドレス グループの名前を文字列または一意の URL 識別子として指定できます。プロジェクトを対象にしたアドレス グループの一意の URL は、次の形式で構成できます。
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
アドレス グループ名に一意の URL 識別子を使用している場合、アドレス グループのロケーションは URL 識別子にすでに含まれています。ただし、アドレス グループ名のみを使用する場合は、ロケーションを個別に指定する必要があります。一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
アドレス グループには、IPv4 または IPv6 の項目タイプを設定できますが、両方を含めることはできません。また、アドレス グループの最大項目収容数も指定する必要があります。アドレス グループの作成後は、アドレス グループの名前、項目タイプ、項目収容数を変更できません。
gcloud
gcloud beta network-security address-groups create NAME \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ [--description DESCRIPTION ]
以下を置き換えます。
NAME: アドレス グループの名前。名前は、文字列または一意の URL 識別子として指定できます。TYPE: アドレス グループのタイプ(IPv4 または IPv6)CAPACITY: アドレス グループの容量LOCATION: アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。DESCRIPTION: アドレス グループの説明
アドレス グループの詳細を表示する
アドレス グループの詳細を表示するには、アドレス グループの名前とロケーションを指定する必要があります。
gcloud
gcloud beta network-security address-groups describe NAME \
--location LOCATION
アドレス グループの説明を更新する
アドレス グループの名前、タイプ、容量は更新できません。アドレス グループの説明のみ更新できます。
gcloud
gcloud beta network-security address-groups update NAME \
--description DESCRIPTION \
--location LOCATION
アドレス グループを一覧表示する
1 つのロケーション内のアドレス グループすべてを一覧表示できます。
gcloud
gcloud beta network-security address-groups list \
--location LOCATION
アドレス グループを削除する
アドレス グループは、アドレス グループの名前と場所を指定して削除できます。ただし、ファイアウォール ポリシーがアドレス グループを参照している場合、そのアドレス グループは削除できません。
gcloud
gcloud beta network-security address-groups delete NAME \ --location LOCATION
アドレス グループの参照を確認する
アドレス グループは、ファイアウォール ポリシーで使用されます。特定のアドレス グループを使用するすべてのファイアウォール ポリシーの一覧を確認できます。
gcloud
gcloud beta network-security address-groups list-references NAME \
--location LOCATION
アドレス グループに項目を追加する
アドレス グループには、複数の項目(IP アドレスや IP 範囲など)を追加できます。すでにアドレス グループの一部である項目がリクエストに含まれている場合、そうした項目は無視されます。リクエストに無効な項目が含まれている場合は、リクエスト全体が失敗します。
gcloud
gcloud beta network-security address-groups add-items NAME \
--items ITEMS \
--location LOCATION
以下を置き換えます。
NAME: アドレス グループの名前。名前は、文字列または一意の URL 識別子として指定できます。ITEMS: CIDR 形式の IP アドレスまたは IP 範囲のカンマ区切りのリストLOCATION: アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。
アドレス グループから項目を削除する
アドレス グループから既存の項目を削除できます。リクエスト内の項目のいずれかが不正な場合、リクエストは失敗します。アドレス グループに含まれない項目がリクエスト内にある場合、そうした項目は無視されます。
gcloud
gcloud beta network-security address-groups remove-items NAME \
--items ITEMS \
--location LOCATION
別のアドレス グループから項目のクローンを作成する
項目は、あるアドレス グループから別のアドレス グループにクローン作成できます。アドレス グループのクローンを作成するには、以下のガイドラインに従ってください。
- 両方のアドレス グループは、同じタイプでなければなりません。
- 両方のアドレス グループは、同じリージョンに存在する必要があります。
- 新しいアドレス グループには、クローンを作成するソース アドレス グループの項目に合う十分な容量があることを確認してください。
送信元アドレス グループを指定するには、次の一意の URL 識別子形式を使用します。
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAMEアドレス グループの一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
gcloud
gcloud beta network-security address-groups clone-items NAME \
--source SOURCE_NAMED_LIST \
--location LOCATION
以下を置き換えます。
NAME: アドレス グループの名前。名前は、文字列または一意の URL 識別子として指定できます。SOURCE_NAMED_LIST: 項目のクローンを作成するソースアドレス グループの一意の URL 識別子LOCATION: 宛先アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。
組織を対象にしたアドレス グループ
このセクションでは、組織を対象とするアドレス グループを管理する方法について説明します。
組織を対象にしたアドレス グループは、組織レベルで定義され、リソース階層で指定された組織内のすべてのリソースに適用されます。アドレス グループを使用するには、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、またはリージョン ネットワーク ファイアウォール ポリシーのファイアウォール ルールにアドレス グループを関連付ける必要があります。
アドレス グループを作成する
組織を対象にしたアドレス グループのコンテナタイプは、常に organization に設定されます。
アドレス グループを作成する場合は、アドレス グループの名前を文字列または一意の URL 識別子として指定できます。組織を対象にしたアドレス グループの一意の URL は、次の形式で構成できます。
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
アドレス グループ名に一意の URL 識別子を使用している場合、アドレス グループの組織 ID またはロケーションは、URL 識別子にすでに含まれています。ただし、アドレス グループ名のみを使用する場合は、組織の ID とアドレス グループを定義するロケーションを指定する必要があります。一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
アドレス グループには、IPv4 または IPv6 の項目タイプを設定できますが、両方を含めることはできません。また、アドレス グループの最大項目収容数も指定する必要があります。アドレス グループの作成後は、アドレス グループの名前、項目タイプ、項目収容数を変更できません。
gcloud
gcloud beta network-security org-address-groups create NAME \ --organization ORGANIZATION \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ [--description DESCRIPTION ]
以下を置き換えます。
NAME: アドレス グループの名前。名前は、文字列または一意の URL 識別子として指定できます。ORGANIZATION: アドレス グループが作成される組織 IDnameパラメータに一意の URL 識別子を使用する場合、organizationパラメータは省略できます。TYPE: アドレス グループのタイプ(IPv4 または IPv6)CAPACITY: アドレス グループの容量LOCATION: アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。DESCRIPTION: アドレス グループの説明
アドレス グループの詳細を表示する
特定のアドレス グループの詳細を表示できます。
gcloud
gcloud beta network-security org-address-groups describe NAME \
--organization ORGANIZATION \
--location LOCATION
アドレス グループの説明を更新する
アドレス グループの名前、タイプ、容量は更新できません。アドレス グループの説明のみ更新できます。
gcloud
gcloud beta network-security org-address-groups update NAME \
--organization ORGANIZATION \
--description DESCRIPTION \
--location LOCATION
アドレス グループを一覧表示する
1 つのロケーション内のアドレス グループすべてを一覧表示できます。
gcloud
gcloud beta network-security org-address-groups list \
--organization ORGANIZATION \
--location LOCATION
アドレス グループを削除する
アドレス グループは、名前、組織、ロケーションを指定して削除できます。ファイアウォール ポリシーがアドレス グループを参照している場合、そのアドレス グループは削除できません。
gcloud
gcloud beta network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
アドレス グループの参照を確認する
アドレス グループは、ファイアウォール ポリシーで使用されます。特定のアドレス グループを使用するすべてのファイアウォール ポリシーの一覧を確認できます。
gcloud
gcloud beta network-security org-address-groups list-references NAME \
--organization ORGANIZATION \
--location LOCATION
アドレス グループに項目を追加する
アドレス グループには、複数の項目(IP アドレスや IP 範囲など)を追加できます。すでにアドレス グループの一部である項目がリクエストに含まれている場合、その項目は無視されます。リクエストに無効な項目が含まれている場合は、リクエスト全体が失敗します。
gcloud
gcloud beta network-security org-address-groups add-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
以下を置き換えます。
NAME: アドレス グループの名前。名前は、文字列または一意の URL 識別子として指定できます。ORGANIZATION: アドレス グループが作成される組織 IDnameパラメータに一意の URL 識別子を使用する場合、organizationパラメータは省略できます。ITEMS: CIDR 形式の IP アドレスまたは IP 範囲のカンマ区切りのリストLOCATION: アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。
アドレス グループから項目を削除する
アドレス グループから既存の項目を削除できます。リクエスト内の項目のいずれかが不正な場合、リクエストは失敗します。アドレス グループに含まれない項目がリクエスト内にある場合、そうした項目は無視されます。
gcloud
gcloud beta network-security org-address-groups remove-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
別のアドレス グループから項目のクローンを作成する
項目は、あるアドレス グループから別のアドレス グループにクローン作成できます。アドレス グループのクローンを作成するには、以下のガイドラインに従ってください。
- 両方のアドレス グループは、同じタイプでなければなりません。
- 両方のアドレス グループは同じロケーションに存在する必要があります。
- 新しいアドレス グループには、クローンを作成するソース アドレス グループの項目に合う十分な容量があることを確認してください。
送信元アドレス グループを指定するには、次の一意の URL 識別子を使用する必要があります。
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAMEアドレス グループの一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
gcloud
gcloud beta network-security org-address-groups clone-items NAME \
--organization ORGANIZATION \
--source SOURCE_NAMED_LIST \
--location LOCATION
以下を置き換えます。
NAME: アドレス グループの名前。名前は、文字列または一意の URL 識別子として指定できます。ORGANIZATION: アドレス グループが作成される組織 IDnameパラメータに一意の URL 識別子を使用する場合、organizationパラメータは省略できます。SOURCE_NAMED_LIST: 項目のクローンを作成するソースアドレス グループの一意の URL 識別子LOCATION: 宛先アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。