Adressgruppen für Firewallrichtlinien erstellen

Damit Sie Adressgruppen verwenden können, müssen Sie zuerst den Bereich der Adressgruppe bestimmen, die für Ihre Anforderung relevant ist. Der Bereich gibt die Ebene an, auf der die Adress gruppe in der Ressourcenhierarchie gilt.

Wenn Sie eine Adressgruppe in einer Firewallrichtlinienregel verwenden möchten, die für ein einzelnes Projekt gilt, verwenden Sie eine projektbezogene Adressgruppe.

Wenn Sie eine Adressgruppe in einer Firewallrichtlinienregel verwenden möchten, die in der gesamten Hierarchie auf alle Ressourcen in einer Organisation oder einem Netzwerk anwendbar ist, verwenden Sie eine organisationsbezogene Adressgruppe.

Projektbezogene Adressgruppen

Dieser Abschnitt enthält detaillierte Informationen zum Erstellen von projektbezogenen Adressgruppen.

Projektbezogene Adressgruppen werden auf Projektebene definiert und gelten nur für das Projekt, in dem sie erstellt werden. Damit Sie eine Adressgruppe verwenden können, müssen Sie sie mit einer Firewallregel in einer globalen Netzwerk-Firewallrichtlinie oder regionalen Netzwerk-Firewallrichtlinie verknüpfen. Der Standort der Adressgruppe muss mit dem Standort der Firewallrichtlinie übereinstimmen, an der sie verwendet wird.

Adressgruppe erstellen

Der Containertyp der projektbezogenen Adressgruppe ist immer auf projects festgelegt.

Wenn Sie eine Adressgruppe erstellen, können Sie den Namen der Adressgruppe als String oder als eindeutige URL-ID angeben. Die eindeutige URL für eine projektbezogene Adressgruppe kann im folgenden Format erstellt werden:

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

Wenn Sie für den Namen der Adressgruppe eine eindeutige URL-ID verwenden, ist der Standort der Adressgruppe bereits in der URL-ID enthalten. Wenn Sie jedoch nur den Namen der Adressgruppe verwenden, müssen Sie den Standort separat angeben. Weitere Informationen zu eindeutigen URL-Kennzeichnungen finden Sie unter Spezifikationen für Adressgruppen.

Eine Adressgruppe kann IPv4- oder IPv6-Elementtypen haben, aber nicht beides. Außerdem müssen Sie die maximale Elementkapazität für eine Adressgruppe angeben. Nachdem die Adressgruppe erstellt wurde, können Sie den Namen, den Elementtyp oder die Elementkapazität der Adressgruppe nicht mehr ändern.

Console

  1. Rufen Sie in der Google Cloud Console die Adressgruppen Seite auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus.

  3. Klicken Sie auf Adressgruppe erstellen.

  4. Geben Sie im Feld Name einen Namen ein.

  5. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein.

  6. Wählen Sie unter Umfang Global oder Regional aus.

    Wenn Sie Regional auswählen, geben Sie die Region an, in der die Adressgruppe erstellt wurde.

  7. Wählen Sie unter Typ IPv4 oder IPv6 aus.

  8. Wählen Sie unter Zweck die Option Firewall aus.

    Wenn Sie die Adressgruppe sowohl in Cloud Next Generation-Firewallrichtlinien (NGFW) als auch in Google Cloud Armor-Sicherheitsrichtlinien verwenden möchten, wählen Sie Cloud NGFW und Cloud Armor aus.

    Weitere Informationen zu diesem Feld finden Sie unter Spezifikation der Adressgruppe.

  9. Geben Sie im Feld Kapazität die Kapazität der Adressgruppe ein.

  10. Geben Sie im Feld IP-Adressen die IP-Adressen oder -Bereiche ein, die Sie in die Adressgruppe aufnehmen möchten. Beispiel: 1.1.1.0/24,1.2.0.0.

  11. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie zum Erstellen einer Adressgruppe den gcloud network-security address-groups create-Befehl:

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Ersetzen Sie Folgendes:

  • NAME: Name der Adressgruppe; Sie können den Namen als String oder als eindeutige URL-ID angeben

  • TYPE: Typ der Adressgruppe (IPv4 oder IPv6)

  • CAPACITY: Kapazität der Adressgruppe

  • LOCATION: Standort der Adressgruppe

    Dies kann auf global oder einen Regionscode (z. B. europe-west) gesetzt werden. Wenn Sie eine eindeutige URL-ID für den Parameter name verwenden, können Sie den Parameter location weglassen.

  • DESCRIPTION: optionale Beschreibung für die Adressgruppe

Elemente aus einer anderen Adressgruppe klonen

Sie können Elemente von einer Adressgruppe in eine andere klonen.

Console

  1. Rufen Sie in der Google Cloud Console die Adressgruppen Seite auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihr Projekt aus.

  3. Die Adressgruppen werden im Bereich Adressgruppen aufgeführt.

  4. Klicken Sie auf den Namen der Adressgruppe, die Sie klonen möchten.

  5. Klicken Sie auf Klonen.

  6. Geben Sie im Bereich Adressgruppe klonen unter Name einen Namen ein.

  7. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein.

  8. Wählen Sie unter Bereich Global oder Regional aus.

    Wenn Sie Regional auswählen, geben Sie die Region an, in der die Adressgruppe erstellt wurde.

  9. Wählen Sie unter Typ IPv4 oder IPv6 aus.

  10. Wählen Sie unter Zweck die Option Firewall aus.

  11. Geben Sie im Feld Kapazität die Kapazität der Adressgruppe ein.

  12. Aktualisieren Sie im Feld IP-Adressen die IP-Adressen oder -Bereiche, die aus der Adressgruppe geklont wurden.

  13. Klicken Sie auf Klonen.

gcloud

Beachten Sie die folgenden Richtlinien, um eine Adressgruppe mit der Google Cloud CLI zu klonen:

  • Beide Adressgruppen müssen vom gleichen Typ sein.
  • Beide Adressgruppen müssen sich in derselben Region befinden.
  • Achten Sie darauf, dass die neue Adressgruppe genügend Kapazität hat, um den Elementen der Quelladressgruppe zu entsprechen, die geklont werden.

  • Verwenden Sie das folgende eindeutige URL-Kennungsformat, um die Quelladressgruppe anzugeben:

    projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

    Weitere Informationen zu eindeutigen URL-Kennungen für Adressgruppen finden Sie unter Spezifikationen für Adressgruppen.

Verwenden Sie den gcloud network-security address-groups clone-items-Befehl, um Elemente aus einer Adressgruppe zu klonen:

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Ersetzen Sie Folgendes:

  • NAME: Name der Adressgruppe; Sie können den Namen als String oder als eindeutige URL-ID angeben

  • SOURCE_NAMED_LIST: eindeutige URL-ID der Quelladressgruppe, von der die Elemente geklont werden

  • LOCATION: Standort der Zieladressgruppe

    Dies kann auf global oder einen Regionscode (z. B. europe-west) gesetzt werden. Wenn Sie eine eindeutige URL-ID für den Parameter name verwenden, können Sie den Parameter location weglassen.

Adressgruppen auf Organisationsebene

Dieser Abschnitt enthält detaillierte Informationen zum Erstellen von Adressgruppen auf Organisationsebene.

Adressgruppen auf Organisationsebene werden auf Organisationsebene definiert und gelten für alle Ressourcen in der Organisation, wie in der Ressourcenhierarchieangegeben. Damit Sie eine Adressgruppe verwenden können, müssen Sie sie mit einer Firewall-Regel in einer hierarchischen Firewallrichtlinie, einer globalen Netzwerk-Firewallrichtlinie oder einer regionalen Netzwerk-Firewallrichtlinie verknüpfen.

Adressgruppe erstellen

Der Containertyp der organisationsbezogenen Adressgruppe ist immer auf organization gesetzt.

Wenn Sie eine Adressgruppe erstellen, können Sie den Namen der Adressgruppe als String oder als eindeutige URL-ID angeben. Die eindeutige URL für eine organisationsbezogene Adressgruppe kann im folgenden Format erstellt werden:

organizations/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Wenn Sie für den Namen der Adressgruppe eine eindeutige URL-ID verwenden, ist die ID oder der Standort der Organisation bereits in der URL-ID enthalten. Wenn Sie jedoch nur den Namen der Adressgruppe verwenden, müssen Sie die ID der Organisation und den Standort angeben, an dem Sie die Adressgruppe definieren. Weitere Informationen zu eindeutigen URL-Kennzeichnungen finden Sie unter Spezifikationen für Adressgruppen.

Eine Adressgruppe kann IPv4- oder IPv6-Elementtypen haben, aber nicht beides. Außerdem müssen Sie die maximale Elementkapazität für eine Adressgruppe angeben. Nachdem die Adressgruppe erstellt wurde, können Sie den Namen, den Elementtyp oder die Elementkapazität der Adressgruppe nicht mehr ändern.

Console

  1. Rufen Sie in der Google Cloud Console die Adressgruppen Seite auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Klicken Sie auf Adressgruppe erstellen.

  4. Geben Sie im Feld Name einen Namen ein.

  5. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein.

  6. Wählen Sie unter Bereich Global oder Regional aus.

    Wenn Sie Regional auswählen, geben Sie die Region an, in der die Adressgruppe erstellt wurde.

  7. Wählen Sie unter Typ IPv4 oder IPv6 aus.

  8. Wählen Sie unter Zweck die Option Firewall aus.

  9. Geben Sie im Feld Kapazität die Kapazität der Adressgruppe ein.

  10. Geben Sie im Feld IP-Adressen die IP-Adressen oder -Bereiche ein, die Sie in die Adressgruppe aufnehmen möchten. Beispiel: 1.1.1.0/24,1.2.0.0.

  11. Klicken Sie auf Erstellen.

gcloud

Verwenden Sie den gcloud network-security org-address-groups create-Befehl, um eine Adressgruppe auf Organisationsebene zu erstellen:

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Ersetzen Sie Folgendes:

  • NAME: Name der Adressgruppe; Sie können den Namen als String oder als eindeutige URL-ID angeben

  • ORGANIZATION: Organisations-ID, in der die Adressgruppe erstellt wird

    Wenn Sie eine eindeutige URL-ID für den Parameter name verwenden, können Sie den Parameter organization weglassen.

  • TYPE: Typ der Adressgruppe (IPv4 oder IPv6)

  • CAPACITY: Kapazität der Adressgruppe

  • LOCATION: Standort der Adressgruppe

    Dies kann auf global oder einen Regionscode (z. B. europe-west) gesetzt werden. Wenn Sie eine eindeutige URL-ID für den Parameter name verwenden, können Sie den Parameter location weglassen.

  • DESCRIPTION: optionale Beschreibung für die Adressgruppe

Elemente aus einer anderen Adressgruppe klonen

Sie können Elemente von einer Adressgruppe in eine andere klonen.

Console

  1. Rufen Sie in der Google Cloud Console die Adressgruppen Seite auf.

    Zu „Adressgruppen“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Die Adressgruppen werden im Bereich Adressgruppen aufgeführt.

  4. Klicken Sie auf den Namen der Adressgruppe, die Sie klonen möchten.

  5. Klicken Sie auf Klonen.

  6. Geben Sie im Bereich Adressgruppe klonen unter Name einen Namen ein.

  7. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein.

  8. Wählen Sie unter Bereich Global oder Regional aus.

    Wenn Sie Regional auswählen, geben Sie die Region an, in der die Adressgruppe erstellt wurde.

  9. Wählen Sie unter Typ IPv4 oder IPv6 aus.

  10. Wählen Sie unter Zweck die Option Firewall aus.

  11. Geben Sie im Feld Kapazität die Kapazität der Adressgruppe ein.

  12. Aktualisieren Sie im Feld IP-Adressen die IP-Adressen oder -Bereiche, die aus der Adressgruppe geklont wurden.

  13. Klicken Sie auf Klonen.

gcloud

Beachten Sie die folgenden Richtlinien, um eine Adressgruppe mit der gcloud CLI zu klonen:

  • Beide Adressgruppen müssen vom gleichen Typ sein.
  • Beide Adressgruppen müssen sich am selben Standort befinden.
  • Achten Sie darauf, dass die neue Adressgruppe genügend Kapazität hat, um den Elementen der Quelladressgruppe zu entsprechen, die geklont werden.

  • Um die Quelladressgruppe anzugeben, müssen Sie die folgende eindeutige URL-ID verwenden:

    organizations/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Weitere Informationen zu eindeutigen URL-Kennungen für Adressgruppen finden Sie unter Spezifikationen für Adressgruppen.

Verwenden Sie den gcloud network-security org-address-groups clone-items-Befehl, um Elemente aus einer organisationsbezogenen Adressgruppe zu klonen:

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Ersetzen Sie Folgendes:

  • NAME: Name der Adressgruppe; Sie können den Namen als String oder als eindeutige URL-ID angeben

  • ORGANIZATION: Organisations-ID, in der die Adressgruppe erstellt wird

    Wenn Sie eine eindeutige URL-ID für den Parameter name verwenden, können Sie den Parameter organization weglassen.

  • SOURCE_NAMED_LIST: eindeutige URL-ID der Quelladressgruppe, von der die Elemente geklont werden

  • LOCATION: Standort der Zieladressgruppe

    Dies kann auf global oder einen Regionscode (z. B. europe-west) gesetzt werden. Wenn Sie eine eindeutige URL-ID für den Parameter name verwenden, können Sie den Parameter location weglassen.

Nächste Schritte