ファイアウォール ポリシーのアドレス グループを作成する

アドレス グループを作成するには、まず要件に関連するアドレス グループの範囲を特定する必要があります。その範囲により、リソース階層でアドレス グループが適用されるレベルが決まります。

個々のプロジェクトに適用されるファイアウォール ポリシー ルールでアドレス グループを使用する場合は、プロジェクトを対象にしたアドレス グループを使用します。

組織やネットワーク内のすべてのリソースの階層全体に適用されるファイアウォール ポリシー ルールでアドレス グループを使用する場合は、組織を対象にしたアドレス グループを使用します。

プロジェクト スコープのアドレス グループ

このセクションでは、プロジェクト スコープのアドレス グループを作成する方法について説明します。

プロジェクト スコープのアドレス グループはプロジェクト レベルで定義され、それらが作成されたプロジェクトにのみ適用されます。アドレス グループを使用するには、グローバル ネットワーク ファイアウォール ポリシーまたはリージョン ネットワーク ファイアウォール ポリシーでファイアウォール グループをアドレス グループに関連付ける必要があります。アドレス グループのロケーションは、それを使用するファイアウォール ポリシーのロケーションと同じでなければなりません。

アドレス グループを作成する

プロジェクト スコープのアドレス グループのコンテナタイプは、常に projects に設定されます。

アドレス グループを作成する場合、アドレス グループの名前は、文字列または一意の URL 識別子として指定できます。プロジェクト スコープのアドレス グループの一意の URL は、次の形式で構成できます。

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

アドレス グループ名に一意の URL 識別子を使用している場合、アドレス グループのロケーションは URL 識別子にすでに含まれています。ただし、アドレス グループ名のみを使用する場合は、ロケーションを個別に指定する必要があります。一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。

アドレス グループには、IPv4 または IPv6 の項目タイプを設定できますが、両方を含めることはできません。また、アドレス グループの容量も指定する必要があります。アドレス グループの作成後は、アドレス グループの名前、項目タイプ、容量を変更できません。

コンソール

  1. Google Cloud コンソールで、[アドレス グループ] ページに移動します。

    [アドレス グループ] に移動

  2. プロジェクト選択メニューで、プロジェクトを選択します。

  3. [アドレス グループを作成] をクリックします。

  4. [名前] フィールドに名前を入力します。

  5. 省略可: [説明] フィールドに説明を入力します。

  6. [スコープ] で、[グローバル] または [リージョン] を選択します。

    [リージョン] を選択した場合は、アドレス グループを作成するリージョンを指定します。

  7. [タイプ] で [IPv4] または [IPv6] を選択します。

  8. [目的] で [ファイアウォール] を選択します。

    Cloud Next Generation Firewall ポリシーと Google Cloud Armor セキュリティ ポリシーの両方でアドレス グループを使用する場合は、[Cloud NGFW and Cloud Armor] を選択します。

    このフィールドの詳細については、アドレス グループの仕様をご覧ください。

  9. [容量] フィールドに、アドレス グループの容量を入力します。

  10. [IP アドレス] フィールドに、アドレス グループに含める IP アドレスまたは IP 範囲を入力します。例: 1.1.1.0/24,1.2.0.0

  11. [作成] をクリックします。

gcloud

アドレス グループを作成するには、gcloud network-security address-groups create コマンドを使用します。

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

次のように置き換えます。

  • NAME: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。

  • TYPE: アドレス グループのタイプ(IPv4 または IPv6)

  • CAPACITY: アドレス グループの容量

  • LOCATION: アドレス グループのロケーション

    global またはリージョン コード(europe-west など)に設定できます。name パラメータに一意の URL 識別子を使用する場合は、location パラメータを省略できます。

  • DESCRIPTION: アドレス グループの説明(省略可)

別のアドレス グループから項目のクローンを作成する

あるアドレス グループから別のアドレス グループに項目のクローンを作成できます。

コンソール

  1. Google Cloud コンソールで、[アドレス グループ] ページに移動します。

    [アドレス グループ] に移動

  2. プロジェクト選択メニューで、プロジェクトを選択します。

  3. アドレス グループは [アドレス グループ] セクションに表示されます。

  4. クローンを作成するアドレス グループの名前をクリックします。

  5. [クローンを作成] をクリックします。

  6. [アドレス グループのクローンを作成する] ペインの [名前] に名前を入力します。

  7. 省略可: [説明] フィールドに説明を入力します。

  8. [スコープ] で、[グローバル] または [リージョン] を選択します。

    [リージョン] を選択した場合は、アドレス グループを作成するリージョンを指定します。

  9. [タイプ] で [IPv4] または [IPv6] を選択します。

  10. [目的] で [ファイアウォール] を選択します。

  11. [容量] フィールドに、アドレス グループの容量を入力します。

  12. [IP アドレス] フィールドで、アドレス グループからクローンを作成する IP アドレスまたは IP 範囲を更新します。

  13. [クローンを作成] をクリックします。

gcloud

Google Cloud CLI を使用してアドレス グループのクローンを作成するには、次のガイドラインに従ってください。

  • 両方のアドレス グループは、同じタイプでなければなりません。
  • 両方のアドレス グループは、同じリージョンに存在する必要があります。
  • 新しいアドレス グループには、クローンを作成する送信元アドレス グループの項目数に合う十分な容量があることを確認してください。

  • 送信元アドレス グループを指定するには、次の一意の URL 識別子の形式を使用します。

    projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

    アドレス グループの一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。

アドレス グループから項目のクローンを作成するには、gcloud network-security address-groups clone-items コマンドを使用します。

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

次のように置き換えます。

  • NAME: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。

  • SOURCE_NAMED_LIST: 項目のクローンを作成する送信元アドレス グループの一意の URL 識別子

  • LOCATION: 宛先アドレス グループのロケーション

    global またはリージョン コード(europe-west など)に設定できます。name パラメータに一意の URL 識別子を使用する場合は、location パラメータを省略できます。

組織スコープのアドレス グループ

このセクションでは、組織スコープのアドレス グループを作成する方法について説明します。

組織スコープのアドレス グループは、組織レベルで定義され、リソース階層で指定された組織内のすべてのリソースに適用されます。アドレス グループを使用するには、階層型ファイアウォール ポリシーグローバル ネットワーク ファイアウォール ポリシー、またはリージョン ネットワーク ファイアウォール ポリシーのファイアウォール ルールにアドレス グループを関連付ける必要があります。

アドレス グループを作成する

組織スコープのアドレス グループのコンテナタイプは、常に organization に設定されます。

アドレス グループを作成する場合、アドレス グループの名前は、文字列または一意の URL 識別子として指定できます。組織スコープのアドレス グループの一意の URL は、次の形式で構成できます。

organizations/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

アドレス グループ名に一意の URL 識別子を使用する場合、アドレス グループの組織 ID またはロケーションは URL 識別子にすでに含まれています。ただし、アドレス グループ名のみを使用する場合は、組織の ID と、アドレス グループを定義するロケーションを指定する必要があります。一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。

アドレス グループには、IPv4 または IPv6 の項目タイプを設定できますが、両方を含めることはできません。また、アドレス グループの容量も指定する必要があります。アドレス グループの作成後は、アドレス グループの名前、項目タイプ、容量を変更できません。

コンソール

  1. Google Cloud コンソールで、[アドレス グループ] ページに移動します。

    [アドレス グループ] に移動

  2. プロジェクト セレクタのメニューで、組織を選択します。

  3. [アドレス グループを作成] をクリックします。

  4. [名前] フィールドに名前を入力します。

  5. 省略可: [説明] フィールドに説明を入力します。

  6. [スコープ] で、[グローバル] または [リージョン] を選択します。

    [リージョン] を選択した場合は、アドレス グループを作成するリージョンを指定します。

  7. [タイプ] で [IPv4] または [IPv6] を選択します。

  8. [目的] で [ファイアウォール] を選択します。

  9. [容量] フィールドに、アドレス グループの容量を入力します。

  10. [IP アドレス] フィールドに、アドレス グループに含める IP アドレスまたは IP 範囲を入力します。例: 1.1.1.0/24,1.2.0.0

  11. [作成] をクリックします。

gcloud

組織スコープのアドレス グループを作成するには、gcloud network-security org-address-groups create コマンドを使用します。

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

次のように置き換えます。

  • NAME: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。

  • ORGANIZATION: アドレス グループが作成される組織 ID

    name パラメータに一意の URL 識別子を使用する場合、organization パラメータは省略できます。

  • TYPE: アドレス グループのタイプ(IPv4 または IPv6)

  • CAPACITY: アドレス グループの容量

  • LOCATION: アドレス グループのロケーション

    global またはリージョン コード(europe-west など)に設定できます。name パラメータに一意の URL 識別子を使用する場合は、location パラメータを省略できます。

  • DESCRIPTION: アドレス グループの説明(省略可)

別のアドレス グループから項目のクローンを作成する

あるアドレス グループから別のアドレス グループに項目のクローンを作成できます。

コンソール

  1. Google Cloud コンソールで、[アドレス グループ] ページに移動します。

    [アドレス グループ] に移動

  2. プロジェクト セレクタのメニューで、組織を選択します。

  3. アドレス グループは [アドレス グループ] セクションに表示されます。

  4. クローンを作成するアドレス グループの名前をクリックします。

  5. [クローンを作成] をクリックします。

  6. [アドレス グループのクローンを作成する] ペインの [名前] に名前を入力します。

  7. 省略可: [説明] フィールドに説明を入力します。

  8. [スコープ] で、[グローバル] または [リージョン] を選択します。

    [リージョン] を選択した場合は、アドレス グループを作成するリージョンを指定します。

  9. [タイプ] で [IPv4] または [IPv6] を選択します。

  10. [目的] で [ファイアウォール] を選択します。

  11. [容量] フィールドに、アドレス グループの容量を入力します。

  12. [IP アドレス] フィールドで、アドレス グループからクローンを作成する IP アドレスまたは IP 範囲を更新します。

  13. [クローンを作成] をクリックします。

gcloud

gcloud CLI を使用してアドレス グループのクローンを作成するには、次のガイドラインに従ってください。

  • 両方のアドレス グループは、同じタイプでなければなりません。
  • 両方のアドレス グループは、同じロケーションに存在する必要があります。
  • 新しいアドレス グループには、クローンを作成する送信元アドレス グループの項目数に合う十分な容量があることを確認してください。

  • 送信元アドレス グループを指定するには、次の一意の URL 識別子を使用する必要があります。

    organizations/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

アドレス グループの一意の URL 識別子の詳細については、アドレス グループの仕様をご覧ください。

組織スコープのアドレス グループから項目のクローンを作成するには、gcloud network-security org-address-groups clone-items コマンドを使用します。

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

次のように置き換えます。

  • NAME: アドレス グループの名前。名前は文字列または一意の URL 識別子として指定できます。

  • ORGANIZATION: アドレス グループが作成される組織 ID

    name パラメータに一意の URL 識別子を使用する場合、organization パラメータは省略できます。

  • SOURCE_NAMED_LIST: 項目のクローンを作成する送信元アドレス グループの一意の URL 識別子

  • LOCATION: 宛先アドレス グループのロケーション

    global またはリージョン コード(europe-west など)に設定できます。name パラメータに一意の URL 識別子を使用する場合は、location パラメータを省略できます。

次のステップ