為防火牆政策建立位址群組

如要建立地址群組,請先找出符合需求的地址群組範圍。範圍會指出地址群組適用的資源階層層級。

如要在適用於個別專案的防火牆政策規則中使用位址群組,請使用專案範圍位址群組

如要在防火牆政策規則中使用位址群組,並將規則套用至機構或網路中整個階層的所有資源,請使用機構範圍位址群組

專案範圍內的位址群組

本節詳細說明如何建立專案範圍的位址群組。

專案範圍位址群組是在專案層級定義,且僅適用於建立該群組的專案。如要使用位址群組,您必須將其與全域網路防火牆政策區域網路防火牆政策中的防火牆規則建立關聯。地址群組的位置必須與使用該群組的防火牆政策位置相同。

建立位址群組

專案範圍位址群組的容器類型一律設為 projects

建立地址群組時,您可以將地址群組名稱指定為字串或專屬網址 ID。專案範圍地址群組的專屬網址可採用下列格式:

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

如果您使用不重複的網址 ID 做為地址群組名稱,網址 ID 中已包含地址群組的位置。不過,如果只使用地址群組名稱,則必須另外指定位置。如要進一步瞭解專屬網址 ID,請參閱地址群組規格

位址群組可包含 IPv4 或 IPv6 項目類型,但不得同時包含兩者。您也必須指定地址群組的項目容量上限。地址群組建立完成後,就無法再變更地址群組的名稱、項目類型或項目容量。

控制台

  1. 前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。

    前往地址群組

  2. 在專案選取器選單中選取專案。

  3. 按一下「建立地址群組」

  4. 在「名稱」欄位中輸入名稱。

  5. 選用:在「Description」(說明) 欄位中輸入說明。

  6. 在「範圍」部分,選擇「全域」或「區域」

    如果選擇「區域」,請指定要建立位址群組的區域。

  7. 在「類型」中,選取「IPv4」或「IPv6」

  8. 在「用途」部分,選取「防火牆」

    如要在 Cloud Next Generation Firewall 政策和 Google Cloud Armor 安全性政策中使用位址群組,請選擇「Cloud NGFW and Cloud Armor」(Cloud NGFW 和 Cloud Armor)

    如要進一步瞭解這個欄位,請參閱位址群組規格

  9. 在「容量」欄位中,輸入地址群組的容量。

  10. 在「IP 位址」欄位中,列出要納入位址群組的 IP 位址或 IP 範圍。例如:1.1.1.0/24,1.2.0.0

  11. 點選「建立」

gcloud

如要建立位址群組,請使用 gcloud network-security address-groups create 指令

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

更改下列內容:

  • NAME:位址群組的名稱,您可以將名稱指定為字串或專屬網址 ID

  • TYPE:位址群組類型,IPv4 或 IPv6

  • CAPACITY:位址群組的容量

  • LOCATION:地址群組的位置

    這項參數可以設為 global 或區域代碼 (例如 europe-west)。如果為 name 參數使用專屬網址 ID,則可以省略 location 參數。

  • DESCRIPTION:地址群組的選用說明

從其他位址群組複製項目

您可以將項目從一個地址群組複製到另一個群組。

控制台

  1. 前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。

    前往地址群組

  2. 在專案選取器選單中選取專案。

  3. 地址群組會列在「地址群組」部分。

  4. 按一下要複製的地址群組名稱。

  5. 按一下 [Clone] (複製)。

  6. 在「複製地址群組」窗格中,輸入「名稱」

  7. 選用:在「Description」(說明) 欄位中輸入說明。

  8. 在「範圍」部分,選取「全域」或「區域」

    如果選擇「區域」,請指定要建立位址群組的區域。

  9. 在「類型」中,選取「IPv4」或「IPv6」

  10. 在「用途」部分,選取「防火牆」

  11. 在「容量」欄位中,輸入地址群組的容量。

  12. 在「IP 位址」欄位中,更新從位址群組複製的 IP 位址或 IP 範圍。

  13. 按一下「複製」

gcloud

如要使用 Google Cloud CLI 複製位址群組,請按照下列操作說明執行:

  • 兩個地址群組必須屬於相同類型。
  • 兩個位址群組必須位於相同區域。
  • 請確認新位址群組有足夠的容量,可容納要複製的來源位址群組項目。

  • 如要指定來源位址群組,請使用下列專屬網址 ID 格式:

    projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

    如要進一步瞭解地址群組的專屬網址 ID,請參閱地址群組規格

如要複製位址群組中的項目,請使用 gcloud network-security address-groups clone-items 指令

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

更改下列內容:

  • NAME:位址群組的名稱;您可以將名稱指定為字串或專屬網址 ID

  • SOURCE_NAMED_LIST:來源位址群組的專屬網址 ID,項目會從該群組複製

  • LOCATION:目的地地址群組的位置

    這項參數可以設為 global 或區域代碼 (例如 europe-west)。如果為 name 參數使用專屬網址 ID,則可以省略 location 參數。

機構範圍的位址群組

本節將詳細說明如何建立機構範圍的地址群組。

機構範圍的位址群組是在機構層級定義,並適用於機構中的所有資源,如資源階層中所指定。如要使用位址群組,必須將其與階層式防火牆政策全域網路防火牆政策區域網路防火牆政策中的防火牆規則建立關聯。

建立位址群組

機構範圍地址群組的容器類型一律設為 organization

建立地址群組時,您可以將地址群組名稱指定為字串或專屬網址 ID。機構範圍位址群組的專屬網址可採用下列格式:

organizations/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

如果使用網址 ID 做為地址群組名稱,網址 ID 中已包含地址群組的機構 ID 或位置。不過,如果只使用地址群組名稱,則必須指定機構的 ID,以及定義地址群組的地點。如要進一步瞭解專屬網址 ID,請參閱位址群組規格

位址群組可包含 IPv4 或 IPv6 項目類型,但不得同時包含兩者。您也必須指定地址群組的項目容量上限。地址群組建立完成後,就無法變更地址群組的名稱、項目類型或項目容量。

控制台

  1. 前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。

    前往地址群組

  2. 在專案選取器選單中,選取您的機構。

  3. 按一下「建立地址群組」

  4. 在「名稱」欄位中輸入名稱。

  5. 選用:在「Description」(說明) 欄位中輸入說明。

  6. 在「範圍」部分,選取「全域」或「區域」

    如果選擇「區域」,請指定要建立位址群組的區域。

  7. 在「類型」中,選取「IPv4」或「IPv6」

  8. 在「用途」部分,選取「防火牆」

  9. 在「容量」欄位中,輸入地址群組的容量。

  10. 在「IP 位址」欄位中,列出要納入位址群組的 IP 位址或 IP 範圍。例如:1.1.1.0/24,1.2.0.0

  11. 點選「建立」

gcloud

如要建立機構範圍的位址群組,請使用 gcloud network-security org-address-groups create 指令

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

更改下列內容:

  • NAME:位址群組的名稱,您可以將名稱指定為字串或不重複的網址 ID

  • ORGANIZATION:建立位址群組的機構 ID

    如果您使用 name 參數的專屬網址 ID,可以省略 organization 參數。

  • TYPE:位址群組類型,IPv4 或 IPv6

  • CAPACITY:位址群組的容量

  • LOCATION:地址群組的位置

    這項參數可以設為 global 或區域代碼 (例如 europe-west)。如果為 name 參數使用專屬網址 ID,則可以省略 location 參數。

  • DESCRIPTION:地址群組的選用說明

從其他位址群組複製項目

您可以將項目從一個地址群組複製到另一個群組。

控制台

  1. 前往 Google Cloud 控制台的「Address groups」(位址群組) 頁面。

    前往地址群組

  2. 在專案選取器選單中,選取您的機構。

  3. 地址群組會列在「地址群組」部分。

  4. 按一下要複製的地址群組名稱。

  5. 按一下 [Clone] (複製)。

  6. 在「複製地址群組」窗格中,輸入「名稱」

  7. 選用:在「Description」(說明) 欄位中輸入說明。

  8. 在「範圍」部分,選取「全域」或「區域」

    如果選擇「區域」,請指定要建立位址群組的區域。

  9. 在「類型」中,選取「IPv4」或「IPv6」

  10. 在「用途」部分,選取「防火牆」

  11. 在「容量」欄位中,輸入地址群組的容量。

  12. 在「IP 位址」欄位中,更新從位址群組複製的 IP 位址或 IP 範圍。

  13. 按一下「複製」

gcloud

如要使用 gcloud CLI 複製位址群組,請按照下列步驟操作:

  • 兩個地址群組必須屬於相同類型。
  • 兩個地址群組必須位於同一個位置。
  • 請確認新位址群組有足夠的容量,可容納要複製的來源位址群組項目。

  • 如要指定來源地址群組,請使用下列專屬網址 ID:

    organizations/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

如要進一步瞭解地址群組的專屬網址 ID,請參閱地址群組規格

如要從機構範圍的地址群組複製項目,請使用 gcloud network-security org-address-groups clone-items 指令

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

更改下列內容:

  • NAME:位址群組的名稱,您可以將名稱指定為字串或不重複的網址 ID

  • ORGANIZATION:建立位址群組的機構 ID

    如果您使用 name 參數的專屬網址 ID,可以省略 organization 參數。

  • SOURCE_NAMED_LIST:來源位址群組的專屬網址 ID,項目會從該群組複製

  • LOCATION:目的地地址群組的位置

    這項參數可以設為 global 或區域代碼 (例如 europe-west)。如果為 name 參數使用專屬網址 ID,可以省略 location 參數。

後續步驟