位址群組總覽

位址群組包含多個 IP 位址、CIDR 格式的 IP 位址範圍，或兩者皆有。每個位址群組可供多項資源使用，例如 Cloud NGFW 防火牆政策中的規則，或 Cloud Armor 安全性政策中的規則。

位址群組的更新會自動傳播至參照該位址群組的資源。舉例來說，您可以建立包含一組信任 IP 位址的位址群組。如要變更信任的 IP 位址集，請更新位址群組。您對地址群組的更新會自動反映在每個相關聯的資源中。

規格

位址群組資源具有下列特性：

• 每個地址群組都有專屬網址，包含下列元素：
  • 容器類型：決定地址群組類型，即 organization 或 project。
  • 容器 ID：機構或專案的 ID。
  • 位置：指定位址群組是global或區域資源 (例如 europe-west)。
  • 名稱：地址群組名稱，格式如下：
    • 長度介於 1 至 63 個字元的字串
    • 僅包含英數字元
    • 開頭不得為數字

• 您可以採用下列格式，為地址群組建構專屬網址 ID：

  <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
  

  舉例來說，專案 myproject 中的 global 位址群組 example-address-group 具有下列專屬 4 元組 ID：

  projects/myproject/locations/global/addressGroups/example-address-group
  

• 每個位址群組都有相關聯的類型，可以是 IPv4 或 IPv6，但不能同時是兩者。地址群組類型一經設定即無法變更。

• 位址群組中的每個 IP 位址或 IP 範圍都稱為「項目」。 地址群組可新增的項目數量取決於地址群組的容量。建立地址群組時，可以定義項目容量。設定後即無法變更。您可以為地址群組設定的最大容量，取決於您使用地址群組的產品。

• 建立位址群組時，必須指定容量和類型。此外，使用 Cloud Armor 時，您必須將 purpose 欄位設為 CLOUD_ARMOR。

• 建立非 CLOUD_ARMOR用途的位址群組時，位址群組最多可容納 1,000 個 IP 位址。

位址群組類型

地址群組會依範圍分類。範圍會指出位址群組在資源階層中適用的層級。 位址群組分為下列類型：

• 專案範圍位址群組
• 機構範圍的地址群組

地址群組可以是專案範圍或機構範圍，但不能同時是兩者。

專案範圍內的位址群組

如要定義自己的 IP 位址清單，在專案或網路中使用，以封鎖或允許 IP 位址清單的變更，請使用專案範圍的位址群組。舉例來說，如要定義自己的威脅情報清單並新增至規則，請使用必要的 IP 位址建立位址群組。

專案範圍地址群組的容器類型一律設為 project。如要進一步瞭解如何建立及修改專案範圍的位址群組，請參閱「使用專案範圍的位址群組」。

機構範圍的位址群組

如要定義 IP 位址的中央清單，並在頂層規則中使用，為整個機構提供一致的控制，以及減少個別網路和專案擁有者維護通用清單 (例如信任的服務和內部 IP 位址) 的負擔，請使用機構範圍的位址群組。

機構範圍地址群組的容器類型一律設為 organization。如要進一步瞭解如何建立及修改機構範圍的地址群組，請參閱「使用機構範圍的地址群組」。

地址群組如何搭配安全性政策運作

位址群組可簡化安全性政策的設定和維護作業，因為您可以在多項安全性政策中共用每個 IP 位址清單。將位址群組用於安全性政策時，請注意下列額外規格：

• 位址群組僅適用於全域範圍的後端安全政策。
• 機構範圍的地址群組適用於服務層級安全性政策和階層式安全性政策。
• 地址群組的容量會加到使用該地址群組的安全性政策總屬性計數中。請務必根據用途將容量設為適當值。
• 如要使用位址群組，專案必須註冊 Cloud Armor Enterprise。如果改用標準帳單，您就無法建立新的地址群組或修改現有地址群組。您也無法建立參照現有地址群組的規則，且參照地址群組的安全政策會遭到凍結。也就是說，這些規則仍處於有效狀態，但您必須先刪除參照地址群組的所有規則，才能修改這些規則。

建議您查看地址群組的配額和限制。

除了為後端安全政策設定機構範圍的地址群組，您也可以為階層式安全政策設定機構範圍的地址群組。您無法在專案以外的任何安全性政策中使用專案範圍的位址群組，但可以與整個機構的安全性政策共用機構範圍的位址群組；因此，當您搭配使用機構範圍的位址群組和安全性政策與階層式安全性政策時，這類位址群組和政策特別實用。如要進一步瞭解階層式安全性政策，請參閱階層式安全性政策總覽。

範例

以下範例說明如何使用位址群組設定安全性政策：

• 假設您有網路設定，其中包含三項後端服務，每項服務都有一項安全性政策。此外，您也有一份已知的惡意 IP 位址清單。在每個安全性政策中建立 deny 規則時，您可以建立一個地址群組，並將其用於所有三項安全性政策，不必在每個安全性政策中新增 IP 位址清單。這樣一來，每當您建立新的安全性政策時，就能再次使用地址群組來制定新規則。
• 假設您所屬的機構有許多專案，這些專案會分組到資料夾中，而您有三份 IP 位址清單，每份清單都只需要存取部分資料夾。您可以建立三個機構範圍的地址群組 (每個 IP 位址清單各一個)，然後建立三個階層式安全政策。您可以為每個階層式安全性政策指派allow規則，比對三組地址群組中的一組，然後將階層式安全性政策與允許的 IP 位址群組需要存取的每個資料夾建立關聯。

後續步驟

• 設定位址群組。