为防火墙政策创建地址组

如需创建地址组,您必须先确定与您的要求相关的地址组的范围。范围用于标识地址 组在 资源层次结构中的适用级别。

如果您要在应用于单个项目的防火墙政策规则中使用地址组,请使用项目级地址组

如果您要在适用于组织或网络中整个层次结构的所有资源的防火墙政策规则中使用地址组,请使用组织级地址组

项目级地址组

本部分详细介绍了如何创建项目级地址组。

项目级地址组在项目级层定义,并且仅适用于在其中创建它们的项目。如需使用地址组,您必须 将其与 全球网络防火墙政策区域级网络防火墙政策中的防火墙规则相关联。 地址组的位置必须与其使用的防火墙政策的位置相同。

创建地址组

项目级地址组的容器类型始终设置为 projects

创建地址组时,您可以将地址组的名称指定为字符串或唯一网址标识符。项目级地址组的唯一网址可以按以下格式构建:

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

如果您为地址组名称使用唯一网址标识符,则地址组的位置已包含在该网址标识符中。但是,如果您仅使用地址组名称,则必须单独指定位置。 如需详细了解唯一网址标识符,请参阅地址组规范

地址组可以包含 IPv4 或 IPv6 内容类型,但不能同时包含这两种类型。您还必须指定地址组的内容容量上限。地址组创建后,您将无法更改地址组的名称、内容类型或内容容量。

控制台

  1. 在 Google Cloud 控制台中,前往地址组页面。

    前往“地址组”

  2. 在项目选择器菜单中,选择您的项目。

  3. 点击 创建地址组

  4. 名称字段中,输入一个名称。

  5. 可选:在说明字段中,输入说明。

  6. 对于范围,选择全球区域级

    如果选择区域级,请指定在其中创建地址组的区域。

  7. 对于类型,选择 IPv4IPv6

  8. 对于用途,选择防火墙

    如果您想在 Cloud Next Generation Firewall 政策和 Google Cloud Armor 安全政策中都使用地址组,请选择 Cloud NGFW 和 Cloud Armor

    如需详细了解此字段,请参阅地址组规范

  9. 容量字段中,输入地址组的容量。

  10. IP 地址字段中,列出要包含在地址组中的 IP 地址或 IP 范围。例如 1.1.1.0/24,1.2.0.0

  11. 点击创建

gcloud

如需创建地址组,请使用 gcloud network-security address-groups create 命令

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

替换以下内容:

  • NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符

  • TYPE:地址组的类型,即 IPv4 或 IPv6

  • CAPACITY:地址组的容量

  • LOCATION:地址组的位置

    此位置可以设置为 global 或区域代码(例如 europe-west)。如果您为 name 参数使用唯一网址标识符,则可以省略 location 参数。

  • DESCRIPTION:地址组的可选说明

从其他地址组中克隆内容

您可以将内容从一个地址组克隆到另一个地址组。

控制台

  1. 在 Google Cloud 控制台中,前往地址组页面。

    前往“地址组”

  2. 在项目选择器菜单中,选择您的项目。

  3. 地址组会在地址组部分中列出。

  4. 点击要克隆的地址组的名称。

  5. 点击克隆

  6. 克隆地址组窗格中,为名称输入名称。

  7. 可选:在说明字段中,输入说明。

  8. 对于范围,选择全球区域级

    如果选择区域级,请指定在其中创建地址组的区域。

  9. 对于类型,选择 IPv4IPv6

  10. 对于用途,选择防火墙

  11. 容量 字段中,输入地址组的容量。

  12. IP 地址字段中,更新从地址组克隆的 IP 地址或 IP 范围。

  13. 点击克隆

gcloud

如需使用 Google Cloud CLI 克隆地址组,请遵循以下准则:

  • 两个地址组的类型必须相同。
  • 两个地址组必须位于同一区域。
  • 确保新地址组有足够的容量来容纳要克隆的来源地址组的内容。

  • 如需指定来源地址组,请使用以下唯一网址标识符格式:

    projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

    如需详细了解地址组的唯一网址标识符,请参阅地址组规范

如需从地址组中克隆内容,请使用 gcloud network-security address-groups clone-items 命令

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

替换以下内容:

  • NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符

  • SOURCE_NAMED_LIST:从其中克隆内容的来源地址组的唯一网址标识符

  • LOCATION:目标地址组的位置

    此位置可以设置为 global 或区域代码(例如 europe-west)。如果您为 name 参数使用唯一网址标识符,则可以省略 location 参数。

组织级地址组

本部分详细介绍了如何创建组织级地址组。

组织级地址组在组织级层定义,并 应用于组织中资源层次结构所指定的 所有资源。 如需使用地址组,您必须将其与分层防火墙政策全球网络防火墙政策区域级网络防火墙政策中的防火墙规则相关联。

创建地址组

组织级地址组的容器类型始终设置为 organization

创建地址组时,您可以将地址组的名称指定为字符串或唯一网址标识符。组织级地址组的唯一网址可以按以下格式构建:

organizations/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

如果您为地址组名称使用唯一网址标识符,则地址组的组织 ID 或位置已包含在该网址标识符中。但是,如果您仅使用地址组名称,则必须指定组织的 ID 以及在其中定义地址组的位置。如需详细了解 唯一网址标识符,请参阅 地址组规范

地址组可以包含 IPv4 或 IPv6 内容类型,但不能同时包含这两种类型。您还必须指定地址组的内容容量上限。地址组创建后,您将无法更改地址组的名称、内容类型或内容容量。

控制台

  1. 在 Google Cloud 控制台中,前往地址组页面。

    前往“地址组”

  2. 在项目选择器菜单中,选择您的组织。

  3. 点击 创建地址组

  4. 名称字段中,输入一个名称。

  5. 可选:在说明字段中,输入说明。

  6. 对于范围,选择全球区域级

    如果选择区域级,请指定在其中创建地址组的区域。

  7. 对于类型,选择 IPv4IPv6

  8. 对于用途,选择防火墙

  9. 容量 字段中,输入地址组的容量。

  10. IP 地址字段中,列出要包含在地址组中的 IP 地址或 IP 范围。例如 1.1.1.0/24,1.2.0.0

  11. 点击创建

gcloud

如需创建组织级地址组,请使用 gcloud network-security org-address-groups create 命令

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

替换以下内容:

  • NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符

  • ORGANIZATION:在其中创建地址组的组织的 ID

    如果您为 name 参数使用唯一网址标识符,则可以省略 organization 参数。

  • TYPE:地址组的类型,即 IPv4 或 IPv6

  • CAPACITY:地址组的容量

  • LOCATION:地址组的位置

    此位置可以设置为 global 或区域代码(例如 europe-west)。如果您为 name 参数使用唯一网址标识符,则可以省略 location 参数。

  • DESCRIPTION:地址组的可选说明

从其他地址组中克隆内容

您可以将内容从一个地址组克隆到另一个地址组。

控制台

  1. 在 Google Cloud 控制台中,前往地址组页面。

    前往“地址组”

  2. 在项目选择器菜单中,选择您的组织。

  3. 地址组会在地址组部分中列出。

  4. 点击要克隆的地址组的名称。

  5. 点击克隆

  6. 克隆地址组窗格中,为名称输入名称。

  7. 可选:在说明字段中,输入说明。

  8. 对于范围,选择全球区域级

    如果选择区域级,请指定在其中创建地址组的区域。

  9. 对于类型,选择 IPv4IPv6

  10. 对于用途,选择防火墙

  11. 容量 字段中,输入地址组的容量。

  12. IP 地址字段中,更新从地址组克隆的 IP 地址或 IP 范围。

  13. 点击克隆

gcloud

如需使用 gcloud CLI 克隆地址组,请遵循以下准则:

  • 两个地址组的类型必须相同。
  • 两个地址组必须位于同一位置。
  • 确保新地址组有足够的容量来容纳要克隆的来源地址组的内容。

  • 如需指定来源地址组,您必须使用以下唯一网址标识符:

    organizations/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

如需详细了解地址组的唯一网址标识符,请参阅地址组规范

如需从组织级地址组中克隆内容,请使用 gcloud network-security org-address-groups clone-items 命令

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

替换以下内容:

  • NAME:地址组的名称;您可以将该名称指定为字符串或唯一网址标识符

  • ORGANIZATION:在其中创建地址组的组织的 ID

    如果您为 name 参数使用唯一网址标识符,则可以省略 organization 参数。

  • SOURCE_NAMED_LIST:从其中克隆内容的来源地址组的唯一网址标识符

  • LOCATION:目标地址组的位置

    此位置可以设置为 global 或区域代码(例如 europe-west)。如果您为 name 参数使用唯一网址标识符,则可以省略 location 参数。

后续步骤