如要使用地址群組,請先找出符合需求的地址群組範圍。範圍會指出地址群組在資源階層中適用的層級。
如要在適用於個別專案的防火牆政策規則中使用位址群組,請使用專案範圍位址群組。
如要在防火牆政策規則中使用位址群組,並將規則套用至機構或網路中整個階層的所有資源,請使用機構範圍位址群組。
專案範圍內的位址群組
本節詳細說明如何管理專案範圍的位址群組。
專案範圍位址群組是在專案層級定義,且僅適用於建立該群組的專案。如要使用位址群組,您必須將其與全域網路防火牆政策或區域網路防火牆政策中的防火牆規則建立關聯。地址群組的位置必須與使用該群組的防火牆政策位置相同。
建立位址群組
專案範圍位址群組的容器類型一律設為 projects。
建立地址群組時,您可以將地址群組名稱指定為字串或專屬網址 ID。專案範圍地址群組的專屬網址可採用下列格式:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME
如果您使用不重複的網址 ID 做為地址群組名稱,網址 ID 中已包含地址群組的位置資訊。不過,如果只使用地址群組名稱,則必須另外指定位置。 如要進一步瞭解專屬網址 ID,請參閱地址群組規格。
位址群組可包含 IPv4 或 IPv6 項目類型,但不得同時包含兩者。您也必須指定地址群組的項目容量上限。地址群組建立完成後,您就無法變更地址群組的名稱、項目類型或項目容量。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中選取專案。
按一下「建立地址群組」。
在「名稱」欄位中輸入名稱。
選用:在「說明」欄位中輸入說明。
在「範圍」部分,選擇「全域」或「區域」。
如果選擇「區域」,請指定要建立位址群組的區域。
在「類型」部分,選取「IPv4」或「IPv6」。
在「用途」部分,選取「防火牆」。
如要在 Cloud Next Generation Firewall 政策和 Google Cloud Armor 安全性政策中使用位址群組,請選擇「Cloud NGFW and Cloud Armor」(Cloud NGFW 和 Cloud Armor)。
如要進一步瞭解這個欄位,請參閱地址群組規格。
在「容量」欄位中,輸入地址群組的容量。
在「IP 位址」欄位中,列出要納入位址群組的 IP 位址或 IP 範圍。例如:
1.1.1.0/24,1.2.0.0。點選「建立」。
gcloud
如要建立位址群組,請使用 gcloud network-security address-groups create 指令:
gcloud network-security address-groups create NAME \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
更改下列內容:
NAME:位址群組的名稱;您可以將名稱指定為字串或專屬網址 IDTYPE:位址群組類型,IPv4 或 IPv6CAPACITY:位址群組的容量LOCATION:地址群組的位置這項參數可以設為
global或區域代碼 (例如europe-west)。如果為name參數使用專屬網址 ID,則可以省略location參數。DESCRIPTION:地址群組的選用說明
描述位址群組
如要查看地址群組的詳細資料,請務必指定地址群組的名稱和位置。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中選取專案。
地址群組會列在「地址群組」部分。
如要查看詳細資料,請按一下地址群組名稱。
gcloud
如要描述位址群組,請使用 gcloud network-security address-groups describe 指令:
gcloud network-security address-groups describe NAME \
--location LOCATION
更新位址群組
您無法更新地址群組的名稱、類型或容量。您只能更新位址群組說明和 IP 位址。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中選取專案。
地址群組會列在「地址群組」部分。
如要編輯地址群組,請按一下地址群組名稱。
按一下「編輯」。
修改必填欄位。
按一下 [儲存]。
gcloud
如要更新位址群組,請使用 gcloud network-security address-groups update 指令:
gcloud network-security address-groups update NAME \
--description DESCRIPTION \
--location LOCATION
列出位址群組
您可以列出地點中的所有地址群組。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中選取專案。
地址群組會列在「地址群組」部分。
gcloud
如要列出位址群組,請使用 gcloud network-security address-groups list 指令:
gcloud network-security address-groups list \
--location LOCATION
刪除地址群組
您可以指定地址群組的名稱和位置,藉此刪除地址群組。不過,如果防火牆政策參照位址群組,就無法刪除該位址群組。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中選取專案。
地址群組會列在「地址群組」部分。
找出要刪除的位址群組,然後勾選旁邊的核取方塊。 確認所選位址群組未遭任何防火牆政策參照。
按一下「刪除」,然後再次點選「刪除」來確認操作。
gcloud
如要刪除專案中的位址群組,請使用 gcloud network-security address-groups delete 指令:
gcloud network-security address-groups delete NAME \ --location LOCATION
尋找位址群組參照
防火牆政策使用位址群組。您可以找出使用特定位址群組的所有防火牆政策清單。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中選取專案。
地址群組會列在「地址群組」部分。
按一下地址群組名稱。
「使用中」欄位會列出使用這個位址群組的防火牆政策,格式如下:
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
如要列出參照專案範圍位址群組的所有資源,請使用 gcloud network-security address-groups list-references 指令:
gcloud network-security address-groups list-references NAME \
--location LOCATION
將項目新增至地址群組
您可以將多個項目 (例如 IP 位址或 IP 範圍) 新增至位址群組。如果要求包含已屬於地址群組的項目,系統會忽略這些項目。如果要求包含無效項目,整個要求就會失敗。
主控台
如要使用 Google Cloud 控制台將項目新增至位址群組,請按照「更新位址群組」一文所述程序操作。
gcloud
如要將項目新增至位址群組,請使用 gcloud network-security address-groups add-items 指令:
gcloud network-security address-groups add-items NAME \
--items ITEMS \
--location LOCATION
更改下列內容:
NAME:位址群組的名稱;您可以將名稱指定為字串或專屬網址 IDITEMS:以逗號分隔的 IP 位址或 CIDR 格式 IP 範圍清單LOCATION:地址群組的位置這項參數可以設為
global或區域代碼 (例如europe-west)。如果為name參數使用專屬網址 ID,則可以省略location參數。
從地址群組中移除項目
您可以從地址群組中移除現有項目。如果要求中的任何項目無效,要求就會失敗。如果要求包含不屬於地址群組的項目,系統會忽略這些項目。
主控台
如要使用 Google Cloud 控制台從位址群組中移除項目,請按照「更新位址群組」一文中的程序操作。
gcloud
如要從位址群組移除項目,請使用 gcloud network-security address-groups remove-items 指令:
gcloud network-security address-groups remove-items NAME \
--items ITEMS \
--location LOCATION
從其他位址群組複製項目
您可以將項目從一個地址群組複製到另一個群組。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中選取專案。
地址群組會列在「地址群組」部分。
按一下要複製的地址群組名稱。
按一下 [Clone] (複製)。
在「複製地址群組」窗格中,輸入「名稱」。
選用:在「說明」欄位中輸入說明。
在「範圍」部分,選取「全域」或「區域」。
如果選擇「區域」,請指定要建立位址群組的區域。
在「類型」部分,選取「IPv4」或「IPv6」。
在「用途」部分,選取「防火牆」。
在「容量」欄位中,輸入地址群組的容量。
在「IP 位址」欄位中,更新從位址群組複製的 IP 位址或 IP 範圍。
按一下「複製」。
gcloud
如要使用 Google Cloud CLI 複製位址群組,請按照下列準則操作:
- 兩個地址群組必須屬於相同類型。
- 兩個位址群組必須位於相同區域。
- 請確認新位址群組有足夠的容量,可容納要複製的來源位址群組項目。
如要指定來源位址群組,請使用下列專屬網址 ID 格式:
projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME如要進一步瞭解地址群組的專屬網址 ID,請參閱地址群組規格。
如要複製位址群組中的項目,請使用 gcloud network-security address-groups clone-items 指令:
gcloud network-security address-groups clone-items NAME \
--source SOURCE_NAMED_LIST \
--location LOCATION
更改下列內容:
NAME:地址群組的名稱,您可以將名稱指定為字串或專屬網址 IDSOURCE_NAMED_LIST:來源地址群組的專屬網址 ID,項目會從該群組複製LOCATION:目的地地址群組的位置這項參數可以設為
global或區域代碼 (例如europe-west)。如果為name參數使用專屬網址 ID,則可以省略location參數。
機構範圍的位址群組
本節詳細說明如何管理機構範圍的地址群組。
機構範圍的位址群組是在機構層級定義,並套用至機構中的所有資源,如資源階層中所指定。如要使用位址群組,必須將其與階層式防火牆政策、全域網路防火牆政策或區域網路防火牆政策中的防火牆規則建立關聯。
建立位址群組
機構範圍地址群組的容器類型一律設為 organization。
建立地址群組時,您可以將地址群組名稱指定為字串或專屬網址 ID。機構範圍地址群組的專屬網址可採用下列格式:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
如果您使用不重複的網址 ID 做為地址群組名稱,網址 ID 中已包含地址群組的機構 ID 或位置。不過,如果只使用地址群組名稱,則必須指定機構的 ID,以及定義地址群組的地點。如要進一步瞭解專屬網址 ID,請參閱地址群組規格。
位址群組可包含 IPv4 或 IPv6 項目類型,但不得同時包含兩者。您也必須指定地址群組的項目容量上限。地址群組建立完成後,您就無法變更地址群組的名稱、項目類型或項目容量。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中,選取您的機構。
按一下「建立地址群組」。
在「名稱」欄位中輸入名稱。
選用:在「說明」欄位中輸入說明。
在「範圍」部分,選取「全域」或「區域」。
如果選擇「區域」,請指定要建立位址群組的區域。
在「類型」部分,選取「IPv4」或「IPv6」。
在「用途」部分,選取「防火牆」。
在「容量」欄位中,輸入地址群組的容量。
在「IP 位址」欄位中,列出要納入位址群組的 IP 位址或 IP 範圍。例如:
1.1.1.0/24,1.2.0.0。點選「建立」。
gcloud
如要建立機構範圍的位址群組,請使用 gcloud network-security org-address-groups create 指令:
gcloud network-security org-address-groups create NAME \ --organization ORGANIZATION \ --type TYPE \ --capacity CAPACITY \ --location LOCATION \ --description DESCRIPTION
更改下列內容:
NAME:位址群組的名稱;您可以將名稱指定為字串或專屬網址 IDORGANIZATION:建立地址群組的機構 ID如果您使用
name參數的專屬網址 ID,可以省略organization參數。TYPE:位址群組類型,IPv4 或 IPv6CAPACITY:位址群組的容量LOCATION:地址群組的位置這項參數可以設為
global或區域代碼 (例如europe-west)。如果為name參數使用專屬網址 ID,則可以省略location參數。DESCRIPTION:地址群組的選用說明
描述位址群組
您可以查看特定地址群組的詳細資料。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中,選取您的機構。
地址群組會列在「地址群組」部分。
如要查看詳細資料,請按一下地址群組名稱。
gcloud
如要描述機構範圍的位址群組,請使用 gcloud network-security org-address-groups describe 指令:
gcloud network-security org-address-groups describe NAME \
--organization ORGANIZATION \
--location LOCATION
更新位址群組
您無法更新地址群組的名稱、類型或容量。您只能更新位址群組說明和 IP 位址。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中,選取您的機構。
地址群組會列在「地址群組」部分。
如要編輯地址群組,請按一下地址群組名稱。
按一下「編輯」。
修改必填欄位。
按一下 [儲存]。
gcloud
如要更新以機構為範圍的地址群組,請使用 gcloud network-security org-address-groups update 指令:
gcloud network-security org-address-groups update NAME \
--organization ORGANIZATION \
--description DESCRIPTION \
--location LOCATION
列出位址群組
您可以列出地點中的所有地址群組。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中,選取您的機構。
地址群組會列在「地址群組」部分。
gcloud
如要列出機構中的地址群組,請使用 gcloud network-security org-address-groups list 指令:
gcloud network-security org-address-groups list \
--organization ORGANIZATION \
--location LOCATION
刪除地址群組
您可以指定地址群組的名稱、機構和位置,藉此刪除地址群組。如果防火牆政策參照位址群組,就無法刪除該位址群組。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中,選取您的機構。
地址群組會列在「地址群組」部分。
找出要刪除的位址群組,然後勾選旁邊的核取方塊。 確認所選位址群組未遭任何防火牆政策參照。
按一下「刪除」,然後再次點選「刪除」來確認操作。
gcloud
如要刪除機構範圍的位址群組,請使用 gcloud network-security org-address-groups delete 指令:
gcloud network-security org-address-groups delete NAME \ --organization ORGANIZATION \ --location LOCATION
尋找位址群組參照
防火牆政策使用位址群組。您可以找出使用特定位址群組的所有防火牆政策清單。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中,選取您的機構。
地址群組會列在「地址群組」部分。
按一下地址群組名稱。
「使用中」欄位會列出使用這個位址群組的防火牆政策,格式如下:
POLICY_NAME(rule priority:PRIORITY_NUMBER)
gcloud
如要列出參照機構範圍位址群組的所有資源,請使用 gcloud network-security org-address-groups list-references 指令:
gcloud network-security org-address-groups list-references NAME \
--organization ORGANIZATION \
--location LOCATION
將項目新增至地址群組
您可以將多個項目 (例如 IP 位址或 IP 範圍) 新增至位址群組。如果要求包含已屬於地址群組的項目,系統會忽略這些項目。如果要求包含無效項目,整個要求就會失敗。
主控台
如要使用Google Cloud 控制台將項目新增至機構範圍的地址群組,請按照「更新地址群組」一文所述程序操作。
gcloud
如要將項目新增至機構範圍的地址群組,請使用 gcloud network-security org-address-groups add-items 指令:
gcloud network-security org-address-groups add-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
更改下列內容:
NAME:位址群組的名稱;您可以將名稱指定為字串或專屬網址 IDORGANIZATION:建立地址群組的機構 ID如果您使用
name參數的專屬網址 ID,可以省略organization參數。ITEMS:以逗號分隔的 IP 位址或 IP 範圍清單 (CIDR 格式)LOCATION:地址群組的位置這項參數可以設為
global或區域代碼 (例如europe-west)。如果為name參數使用專屬網址 ID,則可以省略location參數。
從地址群組中移除項目
您可以從地址群組中移除現有項目。如果要求中的任何項目無效,要求就會失敗。如果要求包含不屬於地址群組的項目,系統會忽略這些項目。
主控台
如要使用Google Cloud 控制台從機構範圍的地址群組中移除項目,請按照「更新地址群組」一文所述程序操作。
gcloud
如要從機構範圍的位址群組中移除項目,請使用 gcloud network-security org-address-groups remove-items 指令:
gcloud network-security org-address-groups remove-items NAME \
--organization ORGANIZATION \
--items ITEMS \
--location LOCATION
從其他位址群組複製項目
您可以將項目從一個地址群組複製到另一個群組。
主控台
前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。
在專案選取器選單中,選取您的機構。
地址群組會列在「地址群組」部分。
按一下要複製的地址群組名稱。
按一下 [Clone] (複製)。
在「複製地址群組」窗格中,輸入「名稱」。
選用:在「說明」欄位中輸入說明。
在「範圍」部分,選取「全域」或「區域」。
如果選擇「區域」,請指定要建立位址群組的區域。
在「類型」部分,選取「IPv4」或「IPv6」。
在「用途」部分,選取「防火牆」。
在「容量」欄位中,輸入地址群組的容量。
在「IP 位址」欄位中,更新從位址群組複製的 IP 位址或 IP 範圍。
按一下「複製」。
gcloud
如要使用 gcloud CLI 複製位址群組,請按照下列步驟操作:
- 兩個地址群組必須屬於相同類型。
- 兩個地址群組必須位於相同位置。
- 請確認新位址群組有足夠的容量,可容納要複製的來源位址群組項目。
如要指定來源位址群組,您必須使用下列專屬網址 ID:
organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME
如要進一步瞭解地址群組的專屬網址 ID,請參閱地址群組規格。
如要從機構範圍的地址群組複製項目,請使用 gcloud network-security org-address-groups clone-items 指令:
gcloud network-security org-address-groups clone-items NAME \
--organization ORGANIZATION \
--source SOURCE_NAMED_LIST \
--location LOCATION
更改下列內容:
NAME:位址群組的名稱;您可以將名稱指定為字串或專屬網址 IDORGANIZATION:建立位址群組的機構 ID如果您使用
name參數的專屬網址 ID,可以省略organization參數。SOURCE_NAMED_LIST:項目複製來源位址群組的專屬網址 IDLOCATION:目的地地址群組的位置這項參數可以設為
global或區域代碼 (例如europe-west)。如果name參數使用專屬網址 ID,則可以省略location參數。