ファイアウォール ポリシーでアドレス グループを使用する
アドレス グループを使用するには、まず要件に関連するアドレス グループの範囲を特定する必要があります。その範囲により、リソース階層でアドレス グループが適用されるレベルが決まります。
個々のプロジェクトに適用されるファイアウォール ポリシー ルールでアドレス グループを使用する場合は、プロジェクトを対象にしたアドレス グループを使用します。
組織やネットワーク内のすべてのリソースの階層全体に適用されるファイアウォール ポリシー ルールでアドレス グループを使用する場合は、組織を対象にしたアドレス グループを使用します。
プロジェクト スコープのアドレス グループ
このセクションでは、プロジェクト スコープのアドレス グループを管理する方法について説明します。
プロジェクト スコープのアドレス グループはプロジェクト レベルで定義され、それらが作成されたプロジェクトにのみ適用されます。アドレス グループを使用するには、グローバル ネットワーク ファイアウォール ポリシーまたはリージョン ネットワーク ファイアウォール ポリシーでファイアウォール グループをアドレス グループに関連付ける必要があります。アドレス グループのロケーションは、それを使用するファイアウォール ポリシーのロケーションと同じでなければなりません。
アドレス グループを作成する
プロジェクト スコープのアドレス グループのコンテナタイプは、常に projects に設定されます。
アドレス グループを作成する場合、アドレス グループの名前は、文字列または一意の URL 識別子として指定できます。プロジェクト スコープのアドレス グループの一意の URL は、次の形式で構成できます。
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
アドレス グループ名に一意の URL 識別子を使用している場合、アドレス グループのロケーションは URL 識別子にすでに含まれています。ただし、アドレス グループ名のみを使用する場合は、ロケーションを個別に指定する必要があります。一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
アドレス グループには、IPv4 または IPv6 の項目タイプを設定できますが、両方を含めることはできません。また、アドレス グループの容量も指定する必要があります。アドレス グループの作成後は、アドレス グループの名前、項目タイプ、容量を変更できません。
gcloud
gcloud beta network-security address-groups create NAME \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ [--description DESCRIPTION ]
次のように置き換えます。
NAME: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。TYPE: アドレス グループのタイプ(IPv4 または IPv6)CAPACITY: アドレス グループの容量LOCATION: アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。DESCRIPTION: アドレス グループの説明
アドレス グループの詳細を取得する
アドレス グループの詳細を取得するには、アドレス グループの名前とロケーションを指定する必要があります。
gcloud
gcloud beta network-security address-groups describe NAME \
--location LOCATION
アドレス グループの説明を更新する
アドレス グループの名前、タイプ、容量は更新できません。更新できるのはアドレス グループの説明のみです。
gcloud
gcloud beta network-security address-groups update NAME \
--description DESCRIPTION \
--location LOCATION
アドレス グループを一覧表示する
1 つのロケーション内のアドレス グループすべてを一覧表示できます。
gcloud
gcloud beta network-security address-groups list \
--location LOCATION
アドレス グループを削除する
アドレス グループは、アドレス グループの名前と場所を指定して削除できます。ただし、ファイアウォール ポリシーがアドレス グループを参照している場合、そのアドレス グループは削除できません。
gcloud
gcloud beta network-security address-groups delete NAME \ --location LOCATION
アドレス グループの参照を確認する
アドレス グループは、ファイアウォール ポリシーで使用されます。特定のアドレス グループを使用するすべてのファイアウォール ポリシーの一覧を確認できます。
gcloud
gcloud beta network-security address-groups list-references NAME \
--location LOCATION
アドレス グループに項目を追加する
アドレス グループには、複数の項目(IP アドレスや IP 範囲など)を追加できます。すでにアドレス グループの一部である項目がリクエストに含まれている場合、その項目は無視されます。リクエストに無効な項目が含まれている場合は、リクエスト全体が失敗します。
gcloud
gcloud beta network-security address-groups add-items NAME \
--items ITEMS \
--location LOCATION
次のように置き換えます。
NAME: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。ITEMS: IP アドレスまたは IP 範囲のカンマ区切りリスト(CIDR 形式)LOCATION: アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。
アドレス グループから項目を削除する
アドレス グループから既存の項目を削除できます。リクエスト内の項目のいずれか無効な場合、リクエストは失敗します。アドレス グループに含まれない項目がリクエスト内にある場合、その項目は無視されます。
gcloud
gcloud beta network-security address-groups remove-items NAME \
--items ITEMS \
--location LOCATION
別のアドレス グループから項目のクローンを作成する
あるアドレス グループから別のアドレス グループに項目のクローンを作成できます。アドレス グループのクローンを作成するには、以下のガイドラインに従ってください。
- 両方のアドレス グループは、同じタイプでなければなりません。
- 両方のアドレス グループは、同じリージョンに存在する必要があります。
- 新しいアドレス グループには、クローンを作成する送信元アドレス グループの項目数に合う十分な容量があることを確認してください。
送信元アドレス グループを指定するには、次の一意の URL 識別子の形式を使用します。
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAMEアドレス グループの一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
gcloud
gcloud beta network-security address-groups clone-items NAME \
--source SOURCE_NAMED_LIST \
--location LOCATION
次のように置き換えます。
NAME: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。SOURCE_NAMED_LIST: 項目のクローンを作成する送信元アドレス グループの一意の URL 識別子LOCATION: 宛先アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。
組織スコープのアドレス グループ
このセクションでは、組織スコープのアドレス グループを管理する方法について説明します。
組織スコープのアドレス グループは、組織レベルで定義され、リソース階層で指定された組織内のすべてのリソースに適用されます。アドレス グループを使用するには、階層型ファイアウォール ポリシー、グローバル ネットワーク ファイアウォール ポリシー、またはリージョン ネットワーク ファイアウォール ポリシーのファイアウォール ルールにアドレス グループを関連付ける必要があります。
アドレス グループを作成する
組織スコープのアドレス グループのコンテナタイプは、常に organization に設定されます。
アドレス グループを作成する場合、アドレス グループの名前は、文字列または一意の URL 識別子として指定できます。組織スコープのアドレス グループの一意の URL は、次の形式で構成できます。
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
アドレス グループ名に一意の URL 識別子を使用する場合、アドレス グループの組織 ID またはロケーションは URL 識別子にすでに含まれています。ただし、アドレス グループ名のみを使用する場合は、組織の ID と、アドレス グループを定義するロケーションを指定する必要があります。一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
アドレス グループには、IPv4 または IPv6 の項目タイプを設定できますが、両方を含めることはできません。また、アドレス グループの容量も指定する必要があります。アドレス グループの作成後は、アドレス グループの名前、項目タイプ、容量を変更できません。
gcloud
gcloud beta network-security org-address-groups create NAME \ --organization ORGANIZATION \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ [--description DESCRIPTION ]
次のように置き換えます。
NAME: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION: アドレス グループが作成される組織 IDnameパラメータに一意の URL 識別子を使用する場合、organizationパラメータは省略できます。TYPE: アドレス グループのタイプ(IPv4 または IPv6)CAPACITY: アドレス グループの容量LOCATION: アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。DESCRIPTION: アドレス グループの説明
アドレス グループの詳細を取得する
特定のアドレス グループの詳細を表示できます。
gcloud
gcloud beta network-security org-address-groups describe NAME \
--organization ORGANIZATION \
--location LOCATION
アドレス グループの説明を更新する
アドレス グループの名前、タイプ、容量は更新できません。更新できるのはアドレス グループの説明のみです。
gcloud
gcloud beta network-security org-address-groups update NAME \
--organization ORGANIZATION \
--description DESCRIPTION \
--location LOCATION
アドレス グループを一覧表示する
1 つのロケーション内のアドレス グループすべてを一覧表示できます。
gcloud
gcloud beta network-security org-address-groups list \
--organization ORGANIZATION \
--location LOCATION
アドレス グループを削除する
アドレス グループは、名前、組織、ロケーションを指定して削除できます。ファイアウォール ポリシーがアドレス グループを参照している場合、そのアドレス グループは削除できません。
gcloud
gcloud beta network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
アドレス グループの参照を確認する
アドレス グループは、ファイアウォール ポリシーで使用されます。特定のアドレス グループを使用するすべてのファイアウォール ポリシーの一覧を確認できます。
gcloud
gcloud beta network-security org-address-groups list-references NAME \
--organization ORGANIZATION \
--location LOCATION
アドレス グループに項目を追加する
アドレス グループには、複数の項目(IP アドレスや IP 範囲など)を追加できます。すでにアドレス グループの一部である項目をリクエストに含めると、その項目は無視されます。リクエストに無効な項目が含まれている場合は、リクエスト全体が失敗します。
gcloud
gcloud beta network-security org-address-groups add-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
次のように置き換えます。
NAME: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION: アドレス グループが作成される組織 IDnameパラメータに一意の URL 識別子を使用する場合、organizationパラメータは省略できます。ITEMS: IP アドレスまたは IP 範囲のカンマ区切りリスト(CIDR 形式)LOCATION: アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。
アドレス グループから項目を削除する
アドレス グループから既存の項目を削除できます。リクエスト内の項目のいずれか無効な場合、リクエストは失敗します。アドレス グループに含まれない項目がリクエスト内にある場合、その項目は無視されます。
gcloud
gcloud beta network-security org-address-groups remove-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
別のアドレス グループから項目のクローンを作成する
あるアドレス グループから別のアドレス グループに項目のクローンを作成できます。アドレス グループのクローンを作成するには、以下のガイドラインに従ってください。
- 両方のアドレス グループは、同じタイプでなければなりません。
- 両方のアドレス グループは、同じロケーションに存在する必要があります。
- 新しいアドレス グループには、クローンを作成する送信元アドレス グループの項目数に合う十分な容量があることを確認してください。
送信元アドレス グループを指定するには、次の一意の URL 識別子を使用する必要があります。
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAMEアドレス グループの一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。
gcloud
gcloud beta network-security org-address-groups clone-items NAME \
--organization ORGANIZATION \
--source SOURCE_NAMED_LIST \
--location LOCATION
次のように置き換えます。
NAME: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。ORGANIZATION: アドレス グループが作成される組織 IDnameパラメータに一意の URL 識別子を使用する場合、organizationパラメータは省略できます。SOURCE_NAMED_LIST: 項目のクローンを作成する送信元アドレス グループの一意の URL 識別子LOCATION: 宛先アドレス グループのロケーションglobalまたはリージョン コード(europe-westなど)に設定できます。nameパラメータに一意の URL 識別子を使用する場合は、locationパラメータを省略できます。