Adressgruppen für Firewallrichtlinien

Eine Adressgruppe enthält mehrere IP-Adressen, IP-Adressbereiche im CIDR-Format oder beides. Jede Adressgruppe kann von mehreren Ressourcen verwendet werden, z. B. Regeln in Cloud NGFW-Firewallrichtlinien oder Regeln in Cloud Armor-Sicherheitsrichtlinien.

Aktualisierungen einer Adressgruppe werden automatisch an die Ressourcen weitergegeben, die auf die Adressgruppe verweisen. Sie können beispielsweise eine Adressgruppe erstellen, die eine Reihe vertrauenswürdiger IP-Adressen enthält. Wenn Sie den Satz vertrauenswürdiger IP-Adressen ändern möchten, aktualisieren Sie die Adressgruppe. Die Aktualisierungen der Adressgruppe werden automatisch in jeder zugehörigen Ressource übernommen.

Spezifikationen

Ressourcen für Adressgruppen haben die folgenden Eigenschaften:

• Jede Adressgruppe wird eindeutig durch eine URL mit den folgenden Elementen identifiziert:
  • Containertyp: Bestimmt den Typ der Adressgruppe: organization oder project.
  • Container-ID: ID der Organisation oder des Projekts.
  • Standort: Gibt an, ob die Adressengruppe eine global oder eine regionale Ressource ist (z. B. europe-west).
  • Name:Der Name der Adressgruppe im folgenden Format:
    • Ein String mit 1 bis 63 Zeichen
    • Enthält nur alphanumerische Zeichen
    • Darf nicht mit einer Ziffer beginnen

• Sie können eine eindeutige URL-ID für eine Adressgruppe im folgenden Format erstellen:

  <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
  

  Eine global-Adressgruppe example-address-group im Projekt myproject hat beispielsweise die folgende eindeutige 4‑Tupel-Kennung:

  projects/myproject/locations/global/addressGroups/example-address-group
  

• Jeder Adressgruppe ist ein Typ zugeordnet, der entweder IPv4 oder IPv6 sein kann, aber nicht beides. Der Adressgruppentyp kann später nicht mehr geändert werden.

• Jede IP-Adresse oder jeder IP-Bereich in einer Adressgruppe wird als Element bezeichnet. Die Anzahl der Elemente, die Sie einer Adressgruppe hinzufügen können, hängt von der Kapazität der Adressgruppe ab. Sie können die Elementkapazität beim Erstellen der Adressgruppe definieren. Diese Kapazität kann später nicht mehr geändert werden. Die maximale Kapazität, die Sie für eine Adressgruppe konfigurieren können, hängt vom Produkt ab, mit dem Sie die Adressgruppe verwenden.

• Sie müssen die Kapazität und den Typ angeben, wenn Sie eine Adressgruppe erstellen. Wenn Sie Cloud Armor verwenden, müssen Sie das Feld purpose auf CLOUD_ARMOR setzen.

• Wenn Sie eine Adressgruppe mit einem Zweck erstellen, der nicht CLOUD_ARMOR ist,hat die Adressgruppe eine maximale Kapazität von 1.000 IP-Adressen.

Arten von Adressgruppen

Adressgruppen werden nach ihrem Umfang klassifiziert. Der Bereich gibt die Ebene an, auf der die Adressgruppe in der Ressourcenhierarchie gilt. Adressgruppen werden in die folgenden Typen unterteilt:

• Projektbezogene Adressgruppen
• Adressgruppen auf Organisationsebene

Eine Adressgruppe kann entweder auf Projektebene oder auf Organisationsebene festgelegt werden, aber nicht beides.

Projektbezogene Adressgruppen

Verwenden Sie adressenbezogene Gruppen auf Projektebene, wenn Sie eine eigene Liste von IP-Adressen definieren möchten, die in einem Projekt oder Netzwerk verwendet werden sollen, um eine Liste sich ändernder IP-Adressen zu blockieren oder zuzulassen. Wenn Sie beispielsweise eine eigene Liste mit Informationen zu Bedrohungen definieren und einer Regel hinzufügen möchten, erstellen Sie eine Adressgruppe mit den erforderlichen IP-Adressen.

Adressgruppen auf Organisationsebene

Der Containertyp für organisationsbezogene Adressgruppen ist immer auf organization festgelegt. Weitere Informationen zum Erstellen und Ändern von Adressgruppen auf Organisationsebene finden Sie unter Adressgruppen auf Organisationsebene verwenden.

IAM-Rollen

Zum Erstellen und Verwalten einer Adressgruppe benötigen Sie die Rolle „Compute Network Admin“ (roles/compute.networkAdmin). Sie können auch eine benutzerdefinierte Rolle mit einem entsprechenden Satz von Berechtigungen definieren.

In der folgenden Tabelle finden Sie eine Liste der IAM-Berechtigungen (Identity and Access Management), die zum Ausführen bestimmter Aufgaben für Adressgruppen erforderlich sind.

networksecurity.addressGroups.*

networksecurity.addressGroups.list
networksecurity.addressGroups.get
networksecurity.addressGroups.use

Weitere Informationen dazu, welche Rollen bestimmte IAM-Berechtigungen enthalten, finden Sie im Index für IAM-Rollen und -Berechtigungen.

Funktionsweise von Adressgruppen mit Firewallrichtlinien

Adressgruppen vereinfachen die Konfiguration und Wartung von Firewallrichtlinien. Sie können die IP-Adressen für mehrere Firewallrichtlinien freigeben und so komplexere, konsistentere und robustere Firewallrichtlinien für Ihr Netzwerk definieren. Der Wartungsaufwand wird dadurch reduziert. Beachten Sie die folgenden zusätzlichen Spezifikationen, wenn Sie Adressgruppen mit Firewallrichtlinien verwenden:

• Die Kapazität einer Adressgruppe wird der Gesamtzahl der Attribute der Firewallrichtlinie hinzugefügt, in der die Adressgruppe verwendet wird. Achten Sie darauf, dass Sie die Kapazität entsprechend Ihrem Anwendungsfall auf einen geeigneten Wert festlegen.

• Wenn eine der Firewallrichtlinienregel hinzugefügte Adressgruppe nicht vorhanden ist, wird der Adressgruppenfilter aus der Regel entfernt. Weitere Informationen zum Hinzufügen von Quell- oder Zieladressgruppen zu Firewallrichtlinienregeln finden Sie unter Quellen und Ziele.

• Adressgruppen auf Organisationsebene können in hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien verwendet werden. Adressgruppen auf Projektebene können nur in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien verwendet werden.

• Sowohl bei projektbezogenen als auch bei organisationsbezogenen Adressgruppen muss der Standort der Adressgruppe mit dem Standort der Firewallrichtlinie übereinstimmen.

Nächste Schritte

• Adressgruppen verwenden