Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

קבוצות כתובות לכללי מדיניות של חומת אש

קבוצת כתובות מכילה כמה כתובות IP, טווחי כתובות IP בפורמט CIDR או שילוב של שניהם. כל קבוצת כתובות יכולה לשמש משאבים רבים, כמו כללים במדיניות חומת האש של Cloud NGFW או כללים במדיניות האבטחה של Cloud Armor.

עדכונים בקבוצת כתובות מועברים אוטומטית למשאבים שמפנים לקבוצת הכתובות. לדוגמה, אפשר ליצור קבוצת כתובות שמכילה קבוצה של כתובות IP מהימנות. כדי לשנות את קבוצת כתובות ה-IP המהימנות, צריך לעדכן את קבוצת הכתובות. העדכונים שאתם מבצעים בקבוצת הכתובות משתקפים אוטומטית בכל משאב משויך.

מפרטים

למשאבי קבוצות כתובות יש את המאפיינים הבאים:

כל קבוצת כתובות מזוהה באופן ייחודי על ידי כתובת URL עם הרכיבים הבאים:
- סוג המאגר: קובע את סוג קבוצת הכתובות – organization או project.
- מזהה מאגר: מזהה הארגון או הפרויקט.
- מיקום: מציין אם קבוצת הכתובות היא משאב global או משאב אזורי (כמו europe-west).
- ‫Name: שם קבוצת הכתובות בפורמט הבא:
  - מחרוזת באורך 1-63 תווים
  - כולל רק תווים אלפאנומריים
  - אסור להתחיל במספר
אפשר ליצור מזהה ייחודי של כתובת URL לקבוצת כתובות בפורמט הבא:
```
<containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>
```
לדוגמה, לglobal קבוצת כתובות example-address-group בפרויקט myproject יש את המזהה הייחודי הבא של 4 טאפלים:
```
projects/myproject/locations/global/addressGroups/example-address-group
```
לכל קבוצת כתובות יש סוג משויך שיכול להיות IPv4 או IPv6, אבל לא שניהם. אי אפשר לשנות את סוג קבוצת הכתובות בשלב מאוחר יותר.
כל כתובת IP או טווח כתובות IP בקבוצת כתובות נקרא פריט. מספר הפריטים שאפשר להוסיף לקבוצת כתובות תלוי בקיבולת של קבוצת הכתובות. אפשר להגדיר את קיבולת הפריטים במהלך יצירת קבוצת הכתובות. אי אפשר לשנות את הקיבולת הזו בהמשך. הקיבולת המקסימלית שאפשר להגדיר לקבוצת כתובות משתנה בהתאם למוצר שבו משתמשים בקבוצת הכתובות.
כשיוצרים קבוצת כתובות, צריך לציין את הקיבולת והסוג שלה. בנוסף, כשמשתמשים ב-Cloud Armor, צריך להגדיר את השדה purpose לערך CLOUD_ARMOR.
כשיוצרים קבוצת כתובות עם מטרה שהיא לא CLOUD_ARMOR, הקיבולת המקסימלית של קבוצת הכתובות היא 1,000 כתובות IP.

סוגים של קבוצות כתובות

קבוצות של כתובות מסווגות לפי ההיקף שלהן. ההיקף מציין את הרמה שבה קבוצת הכתובות רלוונטית בהיררכיית המשאבים. קבוצות כתובות מחולקות לסוגים הבאים:

קבוצות כתובות בהיקף הפרויקט
קבוצות כתובות בהיקף הארגון

קבוצת כתובות יכולה להיות בהיקף פרויקט או בהיקף ארגון, אבל לא בשניהם.

קבוצות של כתובות בהיקף הפרויקט

משתמשים בקבוצות של כתובות ברמת הפרויקט כשרוצים להגדיר רשימה משלכם של כתובות IP לשימוש בפרויקט או ברשת, כדי לחסום או לאפשר רשימה של כתובות IP משתנות. לדוגמה, אם רוצים להגדיר רשימת מודיעין איומים משלכם ולהוסיף אותה לכלל, צריך ליצור קבוצת כתובות עם כתובות ה-IP הנדרשות.

סוג מאגר התגים של קבוצות כתובות בהיקף הפרויקט תמיד מוגדר לproject. מידע נוסף על יצירה ושינוי של קבוצות כתובות בהיקף הפרויקט זמין במאמר שימוש בקבוצות כתובות בהיקף הפרויקט.

קבוצות כתובות בהיקף הארגון

משתמשים בקבוצות של כתובות עם היקף ארגוני כשרוצים להגדיר רשימה מרכזית של כתובות IP שאפשר להשתמש בהן בכללים ברמה גבוהה, כדי לספק בקרה עקבית לכל הארגון ולצמצם את התקורה של בעלי רשתות ופרויקטים פרטיים לצורך תחזוקה של רשימות משותפות, כמו שירותים מהימנים וכתובות IP פנימיות.

סוג מאגר התגים של קבוצות כתובות בהיקף הארגון תמיד מוגדר לorganization. מידע נוסף על יצירה ושינוי של קבוצות כתובות בהיקף הארגון זמין במאמר בנושא שימוש בקבוצות כתובות בהיקף הארגון.

תפקידי IAM

כדי ליצור ולנהל קבוצת כתובות, צריך את התפקיד Compute Network Admin ‏ (roles/compute.networkAdmin). אפשר גם להגדיר תפקיד בהתאמה אישית עם קבוצה שוות ערך של הרשאות.

בטבלה הבאה מפורטות ההרשאות של ניהול זהויות והרשאות גישה (IAM) שנדרשות לביצוע משימות שונות בקבוצות כתובות.

משימה	שם תפקיד IAM	הרשאות IAM
יצירה וניהול של קבוצות כתובות	אדמין של רשת מחשוב (`roles/compute.networkAdmin`)	networksecurity.addressGroups.*
חיפוש והצגה של קבוצות כתובות	משתמש ברשת Compute (`roles/compute.networkUser`)	networksecurity.addressGroups.list networksecurity.addressGroups.get networksecurity.addressGroups.use

במאמר אינדקס של תפקידים והרשאות ב-IAM מוסבר אילו תפקידים כוללים הרשאות ספציפיות ב-IAM.

איך קבוצות של כתובות פועלות עם מדיניות חומת אש

קבוצות של כתובות מפשטות את ההגדרה והתחזוקה של כללי מדיניות של חומת אש. אתם יכולים לשתף את כתובות ה-IP בין מדיניות חומת האש ולהגדיר מדיניות חומת אש מורכבת, עקבית ואמינה יותר לרשת שלכם, עם תקורה מופחתת של תחזוקה. כשמשתמשים בקבוצות כתובות עם כללי מדיניות של חומת אש, כדאי לקחת בחשבון את המפרטים הנוספים הבאים:

הקיבולת של קבוצת כתובות מתווספת לספירה הכוללת של מאפיינים במדיניות חומת האש שבה נעשה שימוש בקבוצת הכתובות. חשוב להגדיר את הקיבולת לערך מתאים בהתאם לתרחיש לדוגמה.
אם קבוצת כתובות שנוספה לכלל מדיניות חומת האש לא קיימת, המסנן של קבוצת הכתובות מוסר מהכלל. מידע על אופן הפעולה של קבוצות כתובות מקור עם מסנני מקור אחרים בכללי התעבורה הנכנסת מופיע במאמרים מקורות לכללי תעבורה נכנסת במדיניות היררכית של חומת אש ומקורות לכללי תעבורה נכנסת במדיניות של חומת אש ברשת. מידע על אופן הפעולה של קבוצות כתובות יעד עם מסנני יעד אחרים בכללי היציאה מפורט במאמר יעדים בכללי יציאה.
אפשר להשתמש בקבוצות כתובות בהיקף הארגון במדיניות חומת אש היררכית, במדיניות חומת אש בין רשתות גלובליות ובמדיניות חומת אש בין רשתות אזוריות. אפשר להשתמש בקבוצות כתובות בהיקף פרויקט רק במדיניות גלובלית של חומת אש ברשת ובמדיניות אזורית של חומת אש ברשת.
גם בקבוצות כתובות בהיקף פרויקט וגם בקבוצות כתובות בהיקף ארגון, המיקום של קבוצת הכתובות צריך להיות זהה למיקום של מדיניות חומת האש.

קבוצות כתובות לכללי מדיניות של חומת אש קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.