Un gruppo di indirizzi contiene più indirizzi IP, intervalli di indirizzi IP in formato CIDR o entrambi. Ogni gruppo di indirizzi può essere utilizzato da più risorse, ad esempio regole nelle policy firewall Cloud NGFW o regole nelle policy di sicurezza di Google Cloud Armor.
Gli aggiornamenti a un gruppo di indirizzi vengono propagati automaticamente alle risorse che fanno riferimento al gruppo di indirizzi. Ad esempio, puoi creare un gruppo di indirizzi contenente un insieme di indirizzi IP attendibili. Per modificare l'insieme di indirizzi IP attendibili, aggiorna il gruppo di indirizzi. Gli aggiornamenti al gruppo di indirizzi vengono riflessi automaticamente in ogni risorsa associata.
Specifiche
Le risorse dei gruppi di indirizzi hanno le seguenti caratteristiche:
- Ogni gruppo di indirizzi è identificato in modo univoco da un URL con i seguenti elementi:
- Tipo di contenitore: determina il tipo di gruppo di indirizzi:
organizationoproject. - ID contenitore:ID dell'organizzazione o del progetto.
- Località:specifica se il gruppo di indirizzi è una risorsa
globalo regionale (ad esempioeurope-west). - Nome:il nome del gruppo di indirizzi nel seguente formato:
- Una stringa di lunghezza compresa tra 1 e 63 caratteri
- Include solo caratteri alfanumerici
- Non può iniziare con un numero
- Tipo di contenitore: determina il tipo di gruppo di indirizzi:
Puoi creare un identificatore URL univoco per un gruppo di indirizzi nel seguente formato:
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>Ad esempio, un
globalgruppo di indirizziexample-address-groupnel progettomyprojectha il seguente identificatore univoco a 4 tuple:projects/myproject/locations/global/addressGroups/example-address-groupOgni gruppo di indirizzi ha un tipo associato che può essere IPv4 o IPv6, ma non entrambi. Il tipo di gruppo di indirizzi non può essere modificato in un secondo momento.
Ogni indirizzo IP o intervallo IP in un gruppo di indirizzi è chiamato elemento. Il numero di elementi che puoi aggiungere a un gruppo di indirizzi dipende dalla capacità del gruppo di indirizzi. Puoi definire la capacità degli articoli durante la creazione del gruppo di indirizzi. Questa capacità non può essere modificata in un secondo momento. La capacità massima che puoi configurare per un gruppo di indirizzi varia a seconda del prodotto con cui utilizzi il gruppo di indirizzi.
Quando crei un gruppo di indirizzi, devi specificare la capacità e il tipo. Inoltre, quando utilizzi Google Cloud Armor, devi impostare il campo
purposesuCLOUD_ARMOR.Quando crei un gruppo di indirizzi con uno scopo diverso da
CLOUD_ARMOR, il gruppo di indirizzi ha una capacità massima di 1000 indirizzi IP.
Tipi di gruppi di indirizzi
I gruppi di indirizzi vengono classificati in base all'ambito. L'ambito identifica il livello a cui si applica il gruppo di indirizzi nella gerarchia delle risorse. I gruppi di indirizzi sono suddivisi nei seguenti tipi:
Un gruppo di indirizzi può essere limitato a un progetto o a un'organizzazione, ma non a entrambi.
Gruppi di indirizzi con ambito progetto
Utilizza i gruppi di indirizzi con ambito progetto quando vuoi definire un tuo elenco di indirizzi IP da utilizzare all'interno di un progetto o di una rete per bloccare o consentire un elenco di indirizzi IP in continua evoluzione. Ad esempio, se vuoi definire un tuo elenco di intelligence sulle minacce e aggiungerlo a una regola, crea un gruppo di indirizzi con gli indirizzi IP richiesti.
Il tipo di contenitore per i gruppi di indirizzi con ambito progetto è sempre impostato suproject. Per ulteriori informazioni su come creare e modificare
gruppi di indirizzi con ambito progetto, consulta Utilizzare gruppi di indirizzi con ambito progetto.
Gruppi di indirizzi con ambito organizzazione
Utilizza i gruppi di indirizzi con ambito organizzativo quando vuoi definire un elenco centrale di indirizzi IP che possono essere utilizzati in regole di alto livello per fornire un controllo coerente per l'intera organizzazione e ridurre il sovraccarico per i singoli proprietari di progetti e reti per mantenere elenchi comuni, come servizi attendibili e indirizzi IP interni.Il tipo di contenitore per i gruppi di indirizzi con ambito organizzazione è sempre impostato su
organization. Per ulteriori informazioni su come creare e modificare
gruppi di indirizzi con ambito organizzazione, vedi
Utilizzare gruppi di indirizzi con ambito organizzazione.
Ruoli IAM
Per creare e gestire un gruppo di indirizzi, devi disporre del ruolo
Amministratore rete Compute (roles/compute.networkAdmin). Puoi anche definire
un ruolo personalizzato con un insieme equivalente di autorizzazioni.
La seguente tabella fornisce un elenco delle autorizzazioni Identity and Access Management (IAM) necessarie per eseguire un insieme di attività sui gruppi di indirizzi.
| Attività | Nome del ruolo IAM | Autorizzazioni IAM |
|---|---|---|
| Creare e gestire gruppi di indirizzi | Compute Network Admin (roles/compute.networkAdmin)
|
networksecurity.addressGroups.* |
| Scoprire e visualizzare i gruppi di indirizzi | Utente di rete Compute (roles/compute.networkUser) |
networksecurity.addressGroups.list
|
Per ulteriori informazioni sui ruoli che includono autorizzazioni IAM specifiche, consulta l'indice di ruoli e autorizzazioni IAM.
Come funzionano i gruppi di indirizzi con i criteri firewall
I gruppi di indirizzi semplificano la configurazione e la manutenzione dei criteri firewall. Puoi condividere gli indirizzi IP tra i criteri firewall e definire criteri firewall più complessi, coerenti e solidi per la tua rete con un overhead di manutenzione ridotto. Tieni presente le seguenti specifiche aggiuntive quando utilizzi i gruppi di indirizzi con le policy firewall:
La capacità di un gruppo di indirizzi viene aggiunta al conteggio totale degli attributi della policy del firewall in cui viene utilizzato il gruppo di indirizzi. Assicurati di impostare la capacità su un valore appropriato in base al tuo caso d'uso.
Se un gruppo di indirizzi aggiunto alla regola del criterio firewall non esiste, il filtro del gruppo di indirizzi viene rimosso dalla regola. Per ulteriori informazioni su come aggiungere gruppi di indirizzi di origine o di destinazione alle regole delle policy firewall, vedi Origini e Destinazioni.
I gruppi di indirizzi con ambito organizzazione possono essere utilizzati nei criteri firewall gerarchici, nei criteri firewall di rete globali e nei criteri firewall di rete regionali. I gruppi di indirizzi con ambito progetto possono essere utilizzati solo nei criteri firewall di rete globali e nei criteri firewall di rete regionali.
Per i gruppi di indirizzi con ambito a livello di progetto e di organizzazione, la località del gruppo di indirizzi deve corrispondere a quella della policy firewall.