防火牆政策的位址群組

位址群組包含多個 IP 位址、CIDR 格式的 IP 位址範圍,或兩者皆有。每個位址群組可供多項資源使用,例如 Cloud NGFW 防火牆政策中的規則,或是 Google Cloud Armor 安全性政策中的規則。

位址群組的更新會自動傳播至參照該位址群組的資源。舉例來說,您可以建立包含一組信任 IP 位址的位址群組。如要變更信任的 IP 位址集,請更新位址群組。您對地址群組的更新會自動反映在每個相關聯的資源中。

規格

位址群組資源具有下列特性:

  • 每個地址群組都會以含有下列元素的網址做為專屬 ID:
    • 容器類型:決定地址群組類型,即 organizationproject
    • 容器 ID:機構或專案的 ID。
    • 位置:指定地址群組是 global 還是區域資源 (例如 europe-west)。
    • 名稱:地址群組名稱,格式如下:
      • 長度介於 1 至 63 個字元的字串
      • 僅包含英數字元
      • 開頭不得為數字

  • 您可以採用下列格式,為地址群組建構專屬網址 ID:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>

    舉例來說,專案 myproject 中的 global 位址群組 example-address-group 具有下列專屬 4 元組 ID:

    projects/myproject/locations/global/addressGroups/example-address-group

  • 每個位址群組都有相關聯的類型,可以是 IPv4 或 IPv6,但不能同時是兩者。地址群組類型一經設定即無法變更。

  • 位址群組中的每個 IP 位址或 IP 範圍都稱為「項目」。 地址群組可新增的項目數量取決於地址群組的容量。建立地址群組時,可以定義項目容量。設定後即無法變更。您可以為地址群組設定的最大容量,取決於您使用地址群組的產品。

  • 建立位址群組時,必須指定容量和類型。此外,使用 Google Cloud Armor 時,您必須將 purpose 欄位設為 CLOUD_ARMOR

  • 建立 CLOUD_ARMOR 用途的位址群組時,位址群組最多可容納 1,000 個 IP 位址。

位址群組類型

地址群組會依範圍分類。範圍會指出位址群組在資源階層中適用的層級。 位址群組分為下列類型:

地址群組可以是專案範圍或機構範圍,但不能同時是兩者。

專案範圍內的位址群組

如要定義自己的 IP 位址清單,在專案或網路中使用,以封鎖或允許 IP 位址清單的變更,請使用專案範圍的位址群組。舉例來說,如要定義自己的威脅情資清單並新增至規則,請使用必要的 IP 位址建立位址群組。

專案範圍地址群組的容器類型一律設為 project。如要進一步瞭解如何建立及修改專案範圍的位址群組,請參閱「使用專案範圍的位址群組」。

機構範圍的位址群組

如要定義 IP 位址的中央清單,以便在高階規則中使用,為整個機構提供一致的控制,並減少個別網路和專案擁有者維護通用清單 (例如信任的服務和內部 IP 位址) 的負擔,請使用機構範圍的位址群組。

機構範圍地址群組的容器類型一律設為 organization。如要進一步瞭解如何建立及修改機構範圍的地址群組,請參閱「使用機構範圍的地址群組」。

IAM 角色

如要建立及管理位址群組,您需要具備 Compute 網路管理員角色 (roles/compute.networkAdmin)。您也可以定義具備同等權限的自訂角色。

下表列出在位址群組上執行一組工作所需的 Identity and Access Management (IAM) 權限。

工作 IAM 角色名稱 IAM 權限
建立及管理地址群組 Compute 網路管理員 (roles/compute.networkAdmin) networksecurity.addressGroups.*
探索及查看地址群組 Compute 網路使用者 (roles/compute.networkUser) networksecurity.addressGroups.list

networksecurity.addressGroups.get

networksecurity.addressGroups.use

如要進一步瞭解哪些角色包含特定 IAM 權限,請參閱「IAM 角色和權限索引」。

位址群組如何搭配防火牆政策運作

位址群組可簡化防火牆政策的設定和維護作業。您可以在防火牆政策之間共用 IP 位址,並為網路定義更複雜、一致且穩固的防火牆政策,同時減少維護負擔。使用防火牆政策搭配位址群組時,請注意下列額外規格:

  • 地址群組的容量會加到使用該地址群組的防火牆政策總屬性計數中。請務必根據用途,將容量設為適當的值。

  • 如果新增至防火牆政策規則的位址群組不存在,系統會從規則中移除位址群組篩選器。如要進一步瞭解如何將來源或目的地地址群組新增至防火牆政策規則,請參閱「來源」和「目的地」。

  • 機構範圍的位址群組可用於階層式防火牆政策全域網路防火牆政策區域網路防火牆政策。專案範圍的位址群組只能用於全域網路防火牆政策區域網路防火牆政策

  • 無論是專案範圍或機構範圍的位址群組,位址群組的位置都必須與防火牆政策的位置相符。

後續步驟