Ringkasan grup alamat

Grup alamat berisi beberapa alamat IP, rentang alamat IP dalam format CIDR, atau keduanya. Setiap grup alamat dapat digunakan oleh beberapa resource, seperti aturan dalam kebijakan firewall Cloud NGFW atau aturan dalam kebijakan keamanan Cloud Armor.

Perubahan pada grup alamat akan otomatis diterapkan ke resource yang mereferensikan grup alamat tersebut. Misalnya, Anda dapat membuat grup alamat yang berisi sekumpulan alamat IP tepercaya. Untuk mengubah kumpulan alamat IP tepercaya, Anda harus memperbarui grup alamat. Perubahan yang Anda lakukan pada grup alamat akan otomatis tercermin di setiap resource terkait.

Spesifikasi

Resource grup alamat memiliki karakteristik berikut:

• Setiap grup alamat diidentifikasi secara unik oleh URL dengan elemen berikut:
  • Jenis penampung: Menentukan jenis grup alamat—organization atau project.
  • ID Container: ID organisasi atau project.
  • Lokasi: Menentukan apakah grup alamat adalah resource global atau regional (seperti europe-west).
  • Nama: Nama grup alamat dengan format berikut:
    • String sepanjang 1-63 karakter
    • Hanya berisi karakter alfanumerik
    • Tidak boleh diawali dengan angka

• Anda dapat membuat ID URL unik untuk grup alamat dalam format berikut:

  <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
  

  Misalnya, grup alamat global example-address-group dalam project myprojectmemiliki ID 4-tuple unik berikut:

  projects/myproject/locations/global/addressGroups/example-address-group
  

• Setiap grup alamat memiliki jenis terkait yang dapat berupa IPv4 atau IPv6, tetapi tidak keduanya. Jenis grup alamat tidak dapat diubah nanti.

• Setiap alamat IP atau rentang IP dalam grup alamat disebut sebagai item. Jumlah item yang dapat Anda tambahkan ke grup alamat bergantung pada kapasitas grup alamat. Anda dapat menentukan kapasitas item selama pembuatan grup alamat. Kapasitas ini tidak dapat diubah nanti. Kapasitas maksimum yang dapat Anda konfigurasi untuk grup alamat bervariasi bergantung pada produk yang Anda gunakan dengan grup alamat tersebut.

• Anda harus menentukan kapasitas dan jenis saat membuat grup alamat. Selain itu, saat menggunakan Cloud Armor, Anda harus menetapkan kolom purpose ke CLOUD_ARMOR.

• Saat Anda membuat grup alamat dengan tujuan yang bukan CLOUD_ARMOR, grup alamat memiliki kapasitas maksimum 1.000 alamat IP.

Jenis grup alamat

Grup alamat diklasifikasikan berdasarkan cakupannya. Cakupan mengidentifikasi tingkat penerapan grup alamat dalam hierarki resource. Grup alamat dikategorikan ke dalam jenis berikut:

• Grup alamat lingkup project
• Grup alamat lingkup organisasi

Grup alamat dapat berlaku lingkup project atau lingkup organisasi, tetapi tidak keduanya.

Grup alamat lingkup project

Gunakan grup alamat lingkup project jika Anda ingin menentukan daftar alamat IP Anda sendiri yang akan digunakan dalam project atau jaringan untuk memblokir atau mengizinkan daftar alamat IP yang berubah. Misalnya, jika Anda ingin menentukan daftar kecerdasan ancaman sendiri dan menambahkannya ke aturan, buat grup alamat dengan alamat IP yang diperlukan.

Jenis container untuk grup alamat lingkup project selalu ditetapkan ke project. Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengubah grup alamat lingkup project, lihat Menggunakan grup alamat lingkup project.

Grup alamat lingkup organisasi

Gunakan grup alamat lingkup organisasi jika Anda ingin menentukan daftar pusat alamat IP yang dapat digunakan dalam aturan tingkat tinggi untuk memberikan kontrol yang konsisten bagi seluruh organisasi dan mengurangi overhead bagi pemilik jaringan dan project perorangan untuk mengelola daftar umum, seperti layanan tepercaya dan alamat IP internal.

Jenis container untuk grup alamat lingkup organisasi selalu ditetapkan ke organization. Untuk mengetahui informasi selengkapnya tentang cara membuat dan mengubah grup alamat lingkup organisasi, lihat Menggunakan grup alamat lingkup organisasi.

Cara kerja grup alamat dengan kebijakan keamanan

Grup alamat menyederhanakan konfigurasi dan pemeliharaan kebijakan keamanan karena Anda dapat membagikan setiap daftar alamat IP di berbagai kebijakan keamanan. Pertimbangkan spesifikasi tambahan berikut saat Anda menggunakan grup alamat dengan kebijakan keamanan:

• Grup alamat hanya tersedia untuk kebijakan keamanan backend dengan lingkup global.
• Grup alamat lingkup organisasi tersedia untuk kebijakan keamanan tingkat layanan dan kebijakan keamanan hierarkis.
• Kapasitas grup alamat ditambahkan ke jumlah total atribut kebijakan keamanan tempat grup alamat digunakan. Pastikan Anda menyetel kapasitas ke nilai yang sesuai berdasarkan kasus penggunaan Anda.
• Untuk menggunakan grup alamat, project Anda harus terdaftar di Cloud Armor Enterprise. Jika Anda mendowngrade ke penagihan standar, Anda tidak dapat membuat grup alamat baru atau mengubah grup alamat yang ada. Anda juga tidak dapat membuat aturan yang mereferensikan grup alamat yang ada, dan kebijakan keamanan yang mereferensikan grup alamat dibekukan. Artinya, aturan tersebut masih aktif, tetapi Anda tidak dapat mengubahnya hingga Anda menghapus semua aturan yang mereferensikan grup alamat.

Sebaiknya lihat kuota dan batas untuk grup alamat.

Selain mengonfigurasi grup alamat lingkup organisasi untuk kebijakan keamanan backend, Anda dapat mengonfigurasi grup alamat lingkup organisasi untuk kebijakan keamanan hierarkis. Anda tidak dapat menggunakan grup alamat lingkup project dalam kebijakan keamanan di luar project tempat grup alamat tersebut berada, tetapi Anda dapat membagikan grup alamat lingkup organisasi dengan kebijakan keamanan di seluruh organisasi Anda. Hal ini membuat grup alamat lingkup organisasi dengan kebijakan keamanan sangat berguna saat Anda menggunakannya dengan kebijakan keamanan hierarkis. Untuk mengetahui informasi selengkapnya tentang kebijakan keamanan hierarkis, lihat Ringkasan kebijakan keamanan hierarkis.

Contoh

Contoh berikut menunjukkan cara Anda dapat menggunakan grup alamat untuk membantu mengonfigurasi kebijakan keamanan:

• Bayangkan Anda memiliki konfigurasi jaringan dengan tiga layanan backend, yang masing-masing memiliki satu kebijakan keamanan. Selain itu, Anda memiliki daftar alamat IP yang Anda ketahui berbahaya. Saat membuat aturan deny di setiap kebijakan keamanan, Anda dapat membuat satu grup alamat dan menggunakannya dengan ketiga kebijakan keamanan, alih-alih menambahkan daftar alamat IP ke setiap kebijakan keamanan. Kemudian, setiap kali Anda membuat kebijakan keamanan baru, Anda dapat menggunakan grup alamat lagi untuk membuat aturan baru.
• Bayangkan Anda memiliki organisasi dengan banyak project yang dikelompokkan ke dalam folder, dan Anda memiliki tiga daftar alamat IP yang masing-masing hanya memerlukan akses ke beberapa folder ini. Anda dapat membuat tiga grup alamat lingkup organisasi, satu untuk setiap daftar alamat IP, lalu membuat tiga kebijakan keamanan hierarkis. Anda dapat memberi setiap kebijakan keamanan hierarkis aturan allow yang cocok dengan salah satu dari tiga grup alamat, lalu mengaitkan kebijakan keamanan hierarkis dengan setiap folder yang perlu diakses oleh grup alamat IP yang diizinkan.

Langkah berikutnya

• Mengonfigurasi grup alamat.