Crea gruppi di indirizzi per le policy firewall

Per creare gruppi di indirizzi, devi prima identificare l'ambito del gruppo di indirizzi pertinente al tuo requisito. L'ambito identifica il livello a cui si applica il gruppo di indirizzi nella gerarchia delle risorse.

Se vuoi utilizzare un gruppo di indirizzi in una regola di policy del firewall che si applica a un singolo progetto, utilizza un gruppo di indirizzi con ambito a livello di progetto.

Se vuoi utilizzare un gruppo di indirizzi in una regola dei criteri firewall applicabile in tutta la gerarchia a tutte le risorse di un'organizzazione o di una rete, utilizza un gruppo di indirizzi con ambito a livello di organizzazione.

Gruppi di indirizzi con ambito a livello di progetto

Questa sezione fornisce informazioni dettagliate su come creare gruppi di indirizzi con ambito a livello di progetto.

I gruppi di indirizzi con ambito a livello di progetto sono definiti a livello di progetto e si applicano solo al progetto in cui vengono creati. Per utilizzare un gruppo di indirizzi, devi associarlo a una regola firewall in un criterio del firewall di rete globale o in un criterio del firewall di rete regionale. La posizione del gruppo di indirizzi deve corrispondere a quella della policy del firewall in cui viene utilizzato.

Creare un gruppo di indirizzi

Il tipo di container del gruppo di indirizzi con ambito a livello di progetto è sempre impostato su projects.

Quando crei un gruppo di indirizzi, puoi specificare il nome del gruppo di indirizzi come stringa o come identificatore URL univoco. L'URL univoco per un gruppo di indirizzi con ambito progetto può essere creato nel seguente formato:

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

Se utilizzi un identificatore URL univoco per il nome del gruppo di indirizzi, la posizione del gruppo di indirizzi è già inclusa nell'identificatore URL. Tuttavia, se utilizzi solo il nome del gruppo di indirizzi, devi specificare la posizione separatamente. Per saperne di più sugli identificatori URL unici, consulta le specifiche dei gruppi di indirizzi.

Un gruppo di indirizzi può avere tipi di elementi IPv4 o IPv6, ma non entrambi. Devi anche specificare la capacità massima degli elementi per un gruppo di indirizzi. Una volta creato il gruppo di indirizzi, non puoi modificarne il nome, il tipo di articolo o la capacità dell'elemento.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di indirizzi.

    Vai a Gruppi di indirizzi

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto.

  3. Fai clic su Crea gruppo di indirizzi.

  4. Nel campo Nome, inserisci un nome.

  5. (Facoltativo) Nel campo Descrizione, inserisci una descrizione.

  6. Per Ambito, scegli Globale o A livello di regione.

    Se scegli Regionale, specifica la regione in cui viene creato il gruppo di indirizzi.

  7. In Tipo, seleziona IPv4 o IPv6.

  8. In Scopo, seleziona Firewall.

    Se vuoi utilizzare il gruppo di indirizzi sia nelle policy Cloud Next Generation Firewall sia nelle policy di sicurezza di Google Cloud Armor, scegli Cloud NGFW e Cloud Armor.

    Per saperne di più su questo campo , consulta le specifiche dei gruppi di indirizzi.

  9. Nel campo Capacità, inserisci la capacità del gruppo di indirizzi.

  10. Nel campo Indirizzi IP, elenca gli indirizzi IP o gli intervalli IP che vuoi includere nel gruppo di indirizzi. Ad esempio, 1.1.1.0/24,1.2.0.0.

  11. Fai clic su Crea.

gcloud

Per creare un gruppo di indirizzi, utilizza il comando gcloud network-security address-groups create:

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Sostituisci quanto segue:

  • NAME: il nome del gruppo di indirizzi; puoi specificare il nome come stringa o come identificatore URL univoco

  • TYPE: il tipo di gruppo di indirizzi: IPv4 o IPv6

  • CAPACITY: la capacità del gruppo di indirizzi

  • LOCATION: la posizione del gruppo di indirizzi

    Può essere impostato su global o su un codice regione (ad es. europe-west). Se utilizzi un identificatore URL univoco per il parametro name, puoi omettere il parametro location.

  • DESCRIPTION: una descrizione facoltativa del gruppo di indirizzi

Clonare elementi da un altro gruppo di indirizzi

Puoi clonare elementi da un gruppo di indirizzi a un altro.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di indirizzi.

    Vai a Gruppi di indirizzi

  2. Nel menu del selettore dei progetti, seleziona il tuo progetto.

  3. I gruppi di indirizzi sono elencati nella sezione Gruppi di indirizzi.

  4. Fai clic sul nome del gruppo di indirizzi che vuoi clonare.

  5. Fai clic su Clona.

  6. Nel riquadro Clona gruppo di indirizzi, inserisci un nome per Nome.

  7. (Facoltativo) Nel campo Descrizione, inserisci una descrizione.

  8. Per Ambito, seleziona Globale o A livello di regione.

    Se scegli Regionale, specifica la regione in cui viene creato il gruppo di indirizzi.

  9. In Tipo, seleziona IPv4 o IPv6.

  10. In Scopo, seleziona Firewall.

  11. Nel campo Capacità, inserisci la capacità del gruppo di indirizzi.

  12. Nel campo Indirizzi IP, aggiorna gli indirizzi IP o gli intervalli IP clonati dal gruppo di indirizzi.

  13. Fai clic su Clona.

gcloud

Per clonare un gruppo di indirizzi utilizzando Google Cloud CLI, segui queste linee guida:

  • Entrambi i gruppi di indirizzi devono essere dello stesso tipo.
  • Entrambi i gruppi di indirizzi devono trovarsi nella stessa regione.
  • Assicurati che il nuovo gruppo di indirizzi abbia una capacità sufficiente per contenere gli elementi del gruppo di indirizzi di origine che vengono clonati.

  • Per specificare il gruppo di indirizzi di origine, utilizza il seguente formato di identificatore URL univoco:

    projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

    Per saperne di più sugli identificatori URL univoci per i gruppi di indirizzi, consulta le specifiche dei gruppi di indirizzi.

Per clonare elementi da un gruppo di indirizzi, utilizza il comando gcloud network-security address-groups clone-items:

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Sostituisci quanto segue:

  • NAME: il nome del gruppo di indirizzi; puoi specificare il nome come stringa o come identificatore URL univoco

  • SOURCE_NAMED_LIST: un identificatore URL univoco del gruppo di indirizzi di origine da cui vengono clonati gli elementi

  • LOCATION: la posizione del gruppo di indirizzi di destinazione

    Può essere impostato su global o su un codice regione (ad es. europe-west). Se utilizzi un identificatore URL univoco per il parametro name, puoi omettere il parametro location.

Gruppi di indirizzi con ambito a livello di organizzazione

Questa sezione fornisce informazioni dettagliate su come creare gruppi di indirizzi con ambito a livello di organizzazione.

I gruppi di indirizzi con ambito a livello di organizzazione sono definiti a livello di organizzazione e si applicano a tutte le risorse dell'organizzazione, come specificato nella gerarchia delle risorse. Per utilizzare un gruppo di indirizzi, devi associarlo a una regola firewall in un criterio firewall gerarchico, in un criterio firewall di rete globale o in un criterio firewall di rete regionale.

Creare un gruppo di indirizzi

Il tipo di container del gruppo di indirizzi con ambito a livello di organizzazione è sempre impostato su organization.

Quando crei un gruppo di indirizzi, puoi specificare il nome del gruppo di indirizzi come stringa o come identificatore URL univoco. L'URL univoco per un gruppo di indirizzi ambito all'organizzazione può essere creato nel seguente formato:

organizations/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Se utilizzi un identificatore URL univoco per il nome del gruppo di indirizzi, l'ID organizzazione o la località del gruppo di indirizzi è già incluso nell'identificatore URL. Tuttavia, se utilizzi solo il nome del gruppo di indirizzi, devi specificare l'ID dell'organizzazione e la località in cui stai definendo il gruppo di indirizzi. Per saperne di più sugli identificatori URL unici, consulta le specifiche dei gruppi di indirizzi.

Un gruppo di indirizzi può avere tipi di elementi IPv4 o IPv6, ma non entrambi. Devi anche specificare la capacità massima degli elementi per un gruppo di indirizzi. Dopo la creazione del gruppo di indirizzi, non puoi modificare il nome, il tipo di articolo o la capacità dell'elemento del gruppo di indirizzi.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di indirizzi.

    Vai a Gruppi di indirizzi

  2. Nel menu del selettore dei progetti, seleziona la tua organizzazione.

  3. Fai clic su Crea gruppo di indirizzi.

  4. Nel campo Nome, inserisci un nome.

  5. (Facoltativo) Nel campo Descrizione, inserisci una descrizione.

  6. Per Ambito, seleziona Globale o A livello di regione.

    Se scegli Regionale, specifica la regione in cui viene creato il gruppo di indirizzi.

  7. In Tipo, seleziona IPv4 o IPv6.

  8. In Scopo, seleziona Firewall.

  9. Nel campo Capacità, inserisci la capacità del gruppo di indirizzi.

  10. Nel campo Indirizzi IP, elenca gli indirizzi IP o gli intervalli IP che vuoi includere nel gruppo di indirizzi. Ad esempio, 1.1.1.0/24,1.2.0.0.

  11. Fai clic su Crea.

gcloud

Per creare un gruppo di indirizzi con ambito a livello di organizzazione, utilizza il comando gcloud network-security org-address-groups create:

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Sostituisci quanto segue:

  • NAME: il nome del gruppo di indirizzi; puoi specificare il nome come stringa o come identificatore URL univoco

  • ORGANIZATION: l'ID dell'organizzazione in cui viene creato il gruppo di indirizzi

    Se utilizzi un identificatore URL univoco per il parametro name, puoi omettere il parametro organization.

  • TYPE: il tipo di gruppo di indirizzi: IPv4 o IPv6

  • CAPACITY: la capacità del gruppo di indirizzi

  • LOCATION: la posizione del gruppo di indirizzi

    Può essere impostato su global o su un codice regione (ad es. europe-west). Se utilizzi un identificatore URL univoco per il parametro name, puoi omettere il parametro location.

  • DESCRIPTION: una descrizione facoltativa del gruppo di indirizzi

Clonare elementi da un altro gruppo di indirizzi

Puoi clonare elementi da un gruppo di indirizzi a un altro.

Console

  1. Nella console Google Cloud , vai alla pagina Gruppi di indirizzi.

    Vai a Gruppi di indirizzi

  2. Nel menu del selettore dei progetti, seleziona la tua organizzazione.

  3. I gruppi di indirizzi sono elencati nella sezione Gruppi di indirizzi.

  4. Fai clic sul nome del gruppo di indirizzi che vuoi clonare.

  5. Fai clic su Clona.

  6. Nel riquadro Clona gruppo di indirizzi, inserisci un nome per Nome.

  7. (Facoltativo) Nel campo Descrizione, inserisci una descrizione.

  8. Per Ambito, seleziona Globale o A livello di regione.

    Se scegli Regionale, specifica la regione in cui viene creato il gruppo di indirizzi.

  9. In Tipo, seleziona IPv4 o IPv6.

  10. In Scopo, seleziona Firewall.

  11. Nel campo Capacità, inserisci la capacità del gruppo di indirizzi.

  12. Nel campo Indirizzi IP, aggiorna gli indirizzi IP o gli intervalli IP clonati dal gruppo di indirizzi.

  13. Fai clic su Clona.

gcloud

Per clonare un gruppo di indirizzi utilizzando gcloud CLI, segui queste linee guida:

  • Entrambi i gruppi di indirizzi devono essere dello stesso tipo.
  • Entrambi i gruppi di indirizzi devono trovarsi nella stessa località.
  • Assicurati che il nuovo gruppo di indirizzi abbia una capacità sufficiente per contenere gli elementi del gruppo di indirizzi di origine che vengono clonati.

  • Per specificare il gruppo di indirizzi di origine, devi utilizzare il seguente identificatore URL univoco:

    organizations/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Per saperne di più sugli identificatori URL univoci per i gruppi di indirizzi, consulta le specifiche dei gruppi di indirizzi.

Per clonare elementi da un gruppo di indirizzi con ambito a livello di organizzazione, utilizza il comando gcloud network-security org-address-groups clone-items:

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Sostituisci quanto segue:

  • NAME: il nome del gruppo di indirizzi; puoi specificare il nome come stringa o come identificatore URL univoco

  • ORGANIZATION: l'ID organizzazione in cui viene creato il gruppo di indirizzi

    Se utilizzi un identificatore URL univoco per il parametro name, puoi omettere il parametro organization.

  • SOURCE_NAMED_LIST: un identificatore URL univoco del gruppo di indirizzi di origine da cui vengono clonati gli elementi

  • LOCATION: la posizione del gruppo di indirizzi di destinazione

    Può essere impostato su global o su un codice regione (ad esempio europe-west). Se utilizzi un identificatore URL univoco per il parametro name, puoi omettere il parametro location.

Passaggi successivi