防火墙政策的地址组

地址组包含多个 IP 地址、采用 CIDR 格式的 IP 地址范围,或两者兼而有之。每个地址组都可以供多个资源使用,例如 Cloud NGFW 防火墙政策中的规则或 Google Cloud Armor 安全政策中的规则。

对地址组的更新会自动传播到引用地址组的资源。例如,您可以创建一个包含一组受信任 IP 地址的地址组。如需更改这组受信任的 IP 地址,您可以更新相应地址组。您对地址组进行的更新会自动反映在每个关联资源中。

规格

地址群组资源具有以下特征:

  • 每个地址组均由包含以下元素的网址唯一标识:
    • 容器类型:决定地址组类型 - organizationproject
    • 容器 ID:组织或项目的 ID。
    • 位置:指定地址组是 global 还是区域级资源(例如 europe-west)。
    • 名称:地址组名称,格式如下:
      • 长度为 1-63 个字符的字符串
      • 仅包含字母数字字符
      • 不能以数字开头

  • 您可以按以下格式为地址组构建唯一的网址标识符:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>

    例如,项目 myproject 中的 global 地址组 example-address-group 具有以下唯一的 4 元组标识符:

    projects/myproject/locations/global/addressGroups/example-address-group

  • 每个地址组的关联类型可以是 IPv4 或 IPv6,但不能同时具有这两种类型。地址组类型以后无法更改。

  • 地址组中的每个 IP 地址或 IP 地址范围都称为项。 您可以添加到地址组中的项数取决于地址组的容量。您可以在地址组创建期间定义项容量。此容量以后无法更改。您可以为地址组配置的最大容量因您使用地址组的产品而异。

  • 您必须在创建地址组时指定容量和类型。 此外,使用 Google Cloud Armor 时,您必须将 purpose 字段设置为 CLOUD_ARMOR

  • 如果您创建的地址组的用途不是 CLOUD_ARMOR,则该地址组的容量上限为 1,000 个 IP 地址。

地址组的类型

地址组根据其范围进行分类。范围用于标识地址组在资源层次结构中的适用级别。地址组分为以下几类:

地址组可以是项目级或组织级地址组,但不能同时是这两者。

项目级地址组

如果您想定义要在项目或网络中使用的 IP 地址列表,以屏蔽或允许更改 IP 地址列表,请使用项目级地址组。例如,如果要定义自己的威胁情报列表并将其添加到规则中,请创建具有所需 IP 地址的地址组。

项目级地址组的容器类型始终设置为 project。如需详细了解如何创建和修改项目级地址组,请参阅使用项目级地址组

组织级地址组

如果您想要定义可在高级规则中使用的 IP 地址中央列表,以便为整个组织提供一致的控制并减少个别网络和项目所有者维护公共列表(例如受信任的服务和内部 IP 地址)的开销,请使用组织级地址组。

组织级地址组的容器类型始终设置为 organization。如需详细了解如何创建和修改组织级地址组,请参阅使用组织级地址组

IAM 角色

如需创建和管理地址群组,您需要 Network Administrator 角色 (compute.networkAdmin)。您还可以定义具有一组等效权限的自定义角色。

下表提供了对地址组执行一组任务所需的 Identity and Access Management (IAM) 权限列表。

任务 IAM 角色名称 IAM 权限
创建和管理地址组 compute.networkAdmin networksecurity.addressGroups.*
发现和查看地址组 compute.networkUser networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

如需详细了解哪些角色包含特定 IAM 权限,请参阅 IAM 权限参考文档

地址组如何与防火墙政策搭配使用

地址组简化了防火墙政策的配置和维护。您可以在防火墙政策之间共享 IP 地址,并为您的网络定义更复杂、更一致且更强大的防火墙政策,从而减少维护开销。 将地址组与防火墙政策搭配使用时,请考虑以下其他规范:

后续步骤