Menggunakan grup alamat dalam kebijakan firewall

Untuk menggunakan grup alamat, Anda harus mengidentifikasi cakupan grup alamat yang relevan dengan kebutuhan Anda terlebih dahulu. Cakupan mengidentifikasi tingkat penerapan grup alamat dalam hierarki resource.

Jika Anda ingin menggunakan grup alamat dalam aturan kebijakan firewall yang berlaku untuk project individual, gunakan grup alamat lingkup project.

Jika Anda ingin menggunakan grup alamat dalam aturan kebijakan firewall yang berlaku di seluruh hierarki pada semua resource dalam organisasi atau jaringan, gunakan grup alamat cakupan organisasi.

Grup alamat lingkup project

Bagian ini memberikan informasi mendetail tentang cara mengelola grup alamat cakupan project.

Grup alamat lingkup project ditentukan di level project, dan hanya berlaku untuk project tempat grup alamat tersebut dibuat. Untuk menggunakan grup alamat, Anda harus mengaitkannya dengan aturan firewall dalam kebijakan firewall jaringan global atau kebijakan firewall jaringan regional. Lokasi grup alamat harus sama dengan lokasi kebijakan firewall tempat grup alamat digunakan.

Membuat grup alamat

Jenis penampung grup alamat lingkup project selalu ditetapkan ke projects.

Saat membuat grup alamat, Anda dapat menentukan nama grup alamat sebagai string atau sebagai ID URL unik. URL unik untuk grup alamat cakupan project dapat dibuat dalam format berikut:

projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

Jika Anda menggunakan ID URL unik untuk nama grup alamat, lokasi grup alamat sudah disertakan dalam ID URL. Namun, jika hanya menggunakan nama grup alamat, Anda harus menentukan lokasi secara terpisah. Untuk mengetahui informasi selengkapnya tentang kode unik URL, lihat Spesifikasi grup alamat.

Grup alamat dapat memiliki jenis item IPv4 atau IPv6, tetapi tidak keduanya. Anda juga harus menentukan kapasitas item maksimum untuk grup alamat. Setelah grup alamat dibuat, Anda tidak dapat mengubah nama, jenis item, atau kapasitas item grup alamat.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih project Anda.

  3. Klik Buat Grup Alamat.

  4. Di kolom Name, masukkan nama.

  5. Opsional: Di kolom Description, masukkan deskripsi.

  6. Untuk Cakupan, pilih Global atau Regional.

    Jika Anda memilih Regional, tentukan region tempat grup alamat dibuat.

  7. Untuk Type, pilih IPv4 atau IPv6.

  8. Untuk Tujuan, pilih Firewall.

    Jika Anda ingin menggunakan grup alamat di kebijakan Cloud Next Generation Firewall dan kebijakan keamanan Google Cloud Armor, pilih Cloud NGFW and Cloud Armor.

    Untuk mengetahui informasi selengkapnya tentang kolom ini , lihat spesifikasi grup alamat.

  9. Di kolom Capacity, masukkan kapasitas grup alamat.

  10. Di kolom Alamat IP, cantumkan alamat IP atau rentang IP yang ingin Anda sertakan dalam grup alamat. Contoh, 1.1.1.0/24,1.2.0.0.

  11. Klik Create.

gcloud

Untuk membuat grup alamat, gunakan perintah gcloud network-security address-groups create:

gcloud network-security address-groups create NAME \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • TYPE: jenis grup alamat—IPv4 atau IPv6

  • CAPACITY: kapasitas grup alamat

  • LOCATION: lokasi grup alamat

    Nilai ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika Anda menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

  • DESCRIPTION: deskripsi opsional untuk grup alamat

Mendeskripsikan grup alamat

Untuk melihat detail grup alamat, Anda harus menentukan nama dan lokasi grup alamat.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Untuk melihat detailnya, klik nama grup alamat Anda.

gcloud

Untuk mendeskripsikan grup alamat, gunakan perintah gcloud network-security address-groups describe:

gcloud network-security address-groups describe NAME \
    --location LOCATION

Memperbarui grup alamat

Anda tidak dapat memperbarui nama, jenis, atau kapasitas grup alamat. Anda hanya dapat memperbarui deskripsi grup alamat dan alamat IP.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Untuk mengedit grup alamat, klik nama grup alamat Anda.

  5. Klik Edit.

  6. Ubah kolom yang wajib diisi.

  7. Klik Simpan.

gcloud

Untuk memperbarui grup alamat, gunakan perintah gcloud network-security address-groups update:

gcloud network-security address-groups update NAME \
    --description DESCRIPTION \
    --location LOCATION

Mencantumkan grup alamat

Anda dapat mencantumkan semua grup alamat di suatu lokasi.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

gcloud

Untuk mencantumkan grup alamat, gunakan perintah gcloud network-security address-groups list:

gcloud network-security address-groups list \
    --location LOCATION

Menghapus grup alamat

Anda dapat menghapus grup alamat dengan menentukan nama dan lokasinya. Namun, jika grup alamat direferensikan oleh kebijakan firewall, grup alamat tersebut tidak dapat dihapus.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan grup alamat yang dipilih tidak direferensikan oleh kebijakan firewall apa pun.

  5. Klik Hapus, lalu klik Hapus lagi untuk mengonfirmasi.

gcloud

Untuk menghapus grup alamat dalam project, gunakan perintah gcloud network-security address-groups delete:

gcloud network-security address-groups delete NAME \
  --location LOCATION

Menemukan referensi grup alamat

Grup alamat digunakan oleh kebijakan firewall. Anda dapat menemukan daftar semua kebijakan firewall yang menggunakan grup alamat tertentu.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Klik nama grup alamat Anda.

  5. Di kolom Digunakan oleh, kebijakan firewall yang menggunakan grup alamat ini dicantumkan dalam format berikut:

    POLICY_NAME(rule priority:PRIORITY_NUMBER)

gcloud

Untuk mencantumkan semua resource yang mereferensikan grup alamat cakupan project, gunakan perintah gcloud network-security address-groups list-references:

gcloud network-security address-groups list-references NAME \
    --location LOCATION

Menambahkan item ke grup alamat

Anda dapat menambahkan beberapa item seperti alamat IP atau rentang IP ke grup alamat. Jika permintaan berisi item yang sudah menjadi bagian dari grup alamat, item tersebut akan diabaikan. Jika permintaan berisi item yang tidak valid, seluruh permintaan akan gagal.

Konsol

Untuk menambahkan item ke grup alamat menggunakan konsol Google Cloud , ikuti prosedur yang disebutkan dalam Memperbarui grup alamat.

gcloud

Untuk menambahkan item ke grup alamat, gunakan perintah gcloud network-security address-groups add-items:

gcloud network-security address-groups add-items NAME \
    --items ITEMS \
    --location LOCATION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • ITEMS: daftar alamat IP atau rentang IP yang dipisahkan koma dalam format CIDR

  • LOCATION: lokasi grup alamat

    Nilai ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika Anda menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

Menghapus item dari grup alamat

Anda dapat menghapus item yang ada dari grup alamat. Jika salah satu item dalam permintaan tidak valid, permintaan akan gagal. Jika permintaan berisi item yang bukan bagian dari grup alamat, item tersebut akan diabaikan.

Konsol

Untuk menghapus item dari grup alamat menggunakan konsol Google Cloud , ikuti prosedur yang disebutkan dalam Memperbarui grup alamat.

gcloud

Untuk menghapus item dari grup alamat, gunakan perintah gcloud network-security address-groups remove-items:

gcloud network-security address-groups remove-items NAME \
    --items ITEMS \
    --location LOCATION

Meng-clone item dari grup alamat lain

Anda dapat meng-clone item dari satu grup alamat ke grup alamat lainnya.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih project Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Klik nama grup alamat yang ingin Anda clone.

  5. Klik Clone.

  6. Di panel Clone grup alamat, untuk Nama, masukkan nama.

  7. Opsional: Di kolom Description, masukkan deskripsi.

  8. Untuk Cakupan, pilih Global atau Regional.

    Jika Anda memilih Regional, tentukan region tempat grup alamat dibuat.

  9. Untuk Type, pilih IPv4 atau IPv6.

  10. Untuk Tujuan, pilih Firewall.

  11. Di kolom Capacity, masukkan kapasitas grup alamat.

  12. Di kolom Alamat IP, perbarui alamat IP atau rentang IP yang dikloning dari grup alamat.

  13. Klik Clone.

gcloud

Untuk meng-clone grup alamat menggunakan Google Cloud CLI, ikuti panduan berikut:

  • Kedua grup alamat harus memiliki jenis yang sama.
  • Kedua grup alamat harus berada di region yang sama.
  • Pastikan grup alamat baru memiliki kapasitas yang cukup untuk memuat item grup alamat sumber yang sedang di-clone.

  • Untuk menentukan grup alamat sumber, gunakan format ID URL unik berikut:

    projects/PROJECT_ID/locations/location/addressGroups/ADDRESS_GROUP_NAME

    Untuk mengetahui informasi selengkapnya tentang ID URL unik untuk grup alamat, lihat Spesifikasi grup alamat.

Untuk meng-clone item dari grup alamat, gunakan perintah gcloud network-security address-groups clone-items:

gcloud network-security address-groups clone-items NAME \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • SOURCE_NAMED_LIST: ID URL unik dari grup alamat sumber tempat item di-clone

  • LOCATION: lokasi grup alamat tujuan

    Nilai ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika Anda menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

Grup alamat lingkup organisasi

Bagian ini memberikan informasi mendetail tentang cara mengelola grup alamat yang tercakup dalam organisasi.

Grup alamat cakupan organisasi ditentukan di tingkat organisasi dan berlaku untuk semua resource dalam organisasi seperti yang ditentukan dalam hierarki resource. Untuk menggunakan grup alamat, Anda harus mengaitkannya dengan aturan firewall dalam kebijakan firewall hierarkis, kebijakan firewall jaringan global, atau kebijakan firewall jaringan regional.

Membuat grup alamat

Jenis penampung grup alamat lingkup organisasi selalu ditetapkan ke organization.

Saat membuat grup alamat, Anda dapat menentukan nama grup alamat sebagai string atau sebagai ID URL unik. URL unik untuk grup alamat yang tercakup dalam organisasi dapat dibuat dalam format berikut:

organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Jika Anda menggunakan ID URL unik untuk nama grup alamat, ID organisasi atau lokasi untuk grup alamat sudah disertakan dalam ID URL. Namun, jika hanya menggunakan nama kelompok alamat, Anda harus menentukan ID organisasi dan lokasi tempat Anda menentukan kelompok alamat. Untuk mengetahui informasi selengkapnya tentang ID URL unik, lihat Spesifikasi grup alamat.

Grup alamat dapat memiliki jenis item IPv4 atau IPv6, tetapi tidak keduanya. Anda juga harus menentukan kapasitas item maksimum untuk grup alamat. Setelah grup alamat dibuat, Anda tidak dapat mengubah nama, jenis item, atau kapasitas item grup alamat.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Klik Buat Grup Alamat.

  4. Di kolom Name, masukkan nama.

  5. Opsional: Di kolom Description, masukkan deskripsi.

  6. Untuk Cakupan, pilih Global atau Regional.

    Jika Anda memilih Regional, tentukan region tempat grup alamat dibuat.

  7. Untuk Type, pilih IPv4 atau IPv6.

  8. Untuk Tujuan, pilih Firewall.

  9. Di kolom Capacity, masukkan kapasitas grup alamat.

  10. Di kolom Alamat IP, cantumkan alamat IP atau rentang IP yang ingin Anda sertakan dalam grup alamat. Contoh, 1.1.1.0/24,1.2.0.0.

  11. Klik Create.

gcloud

Untuk membuat grup alamat lingkup organisasi, gunakan perintah gcloud network-security org-address-groups create:

gcloud network-security org-address-groups create NAME \
   --organization ORGANIZATION \
   --type TYPE \
   --capacity CAPACITY \
   --location LOCATION \
   --description DESCRIPTION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • ORGANIZATION: ID organisasi tempat grup alamat dibuat

    Jika Anda menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter organization.

  • TYPE: jenis grup alamat—IPv4 atau IPv6

  • CAPACITY: kapasitas grup alamat

  • LOCATION: lokasi grup alamat

    Nilai ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika Anda menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

  • DESCRIPTION: deskripsi opsional untuk grup alamat

Mendeskripsikan grup alamat

Anda dapat melihat detail grup alamat tertentu.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Untuk melihat detailnya, klik nama grup alamat Anda.

gcloud

Untuk mendeskripsikan grup alamat lingkup organisasi, gunakan perintah gcloud network-security org-address-groups describe:

gcloud network-security org-address-groups describe NAME \
    --organization ORGANIZATION \
    --location LOCATION

Memperbarui grup alamat

Anda tidak dapat memperbarui nama, jenis, atau kapasitas grup alamat. Anda hanya dapat memperbarui deskripsi grup alamat dan alamat IP.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Untuk mengedit grup alamat, klik nama grup alamat Anda.

  5. Klik Edit.

  6. Ubah kolom yang wajib diisi.

  7. Klik Simpan.

gcloud

Untuk memperbarui grup alamat cakupan organisasi, gunakan perintah gcloud network-security org-address-groups update:

gcloud network-security org-address-groups update NAME \
    --organization ORGANIZATION \
    --description DESCRIPTION \
    --location LOCATION

Mencantumkan grup alamat

Anda dapat mencantumkan semua grup alamat di suatu lokasi.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

gcloud

Untuk mencantumkan grup alamat dalam organisasi, gunakan perintah gcloud network-security org-address-groups list:

gcloud network-security org-address-groups list \
    --organization ORGANIZATION \
    --location LOCATION

Menghapus grup alamat

Anda dapat menghapus grup alamat dengan menentukan nama, organisasi, dan lokasinya. Jika grup alamat direferensikan oleh kebijakan firewall, grup alamat tersebut tidak dapat dihapus.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Centang kotak di samping grup alamat yang ingin Anda hapus. Pastikan grup alamat yang dipilih tidak direferensikan oleh kebijakan firewall apa pun.

  5. Klik Hapus, lalu klik Hapus lagi untuk mengonfirmasi.

gcloud

Untuk menghapus grup alamat lingkup organisasi, gunakan perintah gcloud network-security org-address-groups delete:

gcloud network-security org-address-groups delete NAME \
  --organization ORGANIZATION \
  --location LOCATION

Menemukan referensi grup alamat

Grup alamat digunakan oleh kebijakan firewall. Anda dapat menemukan daftar semua kebijakan firewall yang menggunakan grup alamat tertentu.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Klik nama grup alamat Anda.

  5. Di kolom Digunakan oleh, kebijakan firewall yang menggunakan grup alamat ini dicantumkan dalam format berikut:

    POLICY_NAME(rule priority:PRIORITY_NUMBER)

gcloud

Untuk mencantumkan semua resource yang mereferensikan grup alamat cakupan organisasi, gunakan perintah gcloud network-security org-address-groups list-references:

gcloud network-security org-address-groups list-references NAME \
    --organization ORGANIZATION \
    --location LOCATION

Menambahkan item ke grup alamat

Anda dapat menambahkan beberapa item seperti alamat IP atau rentang IP ke grup alamat. Jika permintaan berisi item yang sudah menjadi bagian dari grup alamat, item tersebut akan diabaikan. Jika permintaan berisi item yang tidak valid, seluruh permintaan akan gagal.

Konsol

Untuk menambahkan item ke grup alamat cakupan organisasi menggunakan konsolGoogle Cloud , ikuti prosedur yang disebutkan dalam Memperbarui grup alamat.

gcloud

Untuk menambahkan item ke grup alamat lingkup organisasi, gunakan perintah gcloud network-security org-address-groups add-items:

gcloud network-security org-address-groups add-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • ORGANIZATION: ID organisasi tempat grup alamat dibuat

    Jika Anda menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter organization.

  • ITEMS: daftar alamat IP atau rentang IP yang dipisahkan koma dalam format CIDR

  • LOCATION: lokasi grup alamat

    Nilai ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika Anda menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

Menghapus item dari grup alamat

Anda dapat menghapus item yang ada dari grup alamat. Jika salah satu item dalam permintaan tidak valid, permintaan akan gagal. Jika permintaan berisi item yang bukan bagian dari grup alamat, item tersebut akan diabaikan.

Konsol

Untuk menghapus item dari grup alamat lingkup organisasi menggunakan konsolGoogle Cloud , ikuti prosedur yang disebutkan dalam Memperbarui grup alamat.

gcloud

Untuk menghapus item dari grup alamat lingkup organisasi, gunakan perintah gcloud network-security org-address-groups remove-items:

gcloud network-security org-address-groups remove-items NAME \
    --organization ORGANIZATION \
    --items ITEMS \
    --location LOCATION

Meng-clone item dari grup alamat lain

Anda dapat meng-clone item dari satu grup alamat ke grup alamat lainnya.

Konsol

  1. Di konsol Google Cloud , buka halaman Address groups.

    Buka Address groups

  2. Di menu pemilih project, pilih organisasi Anda.

  3. Grup alamat tercantum di bagian Grup alamat.

  4. Klik nama grup alamat yang ingin Anda clone.

  5. Klik Clone.

  6. Di panel Clone grup alamat, untuk Nama, masukkan nama.

  7. Opsional: Di kolom Description, masukkan deskripsi.

  8. Untuk Cakupan, pilih Global atau Regional.

    Jika Anda memilih Regional, tentukan region tempat grup alamat dibuat.

  9. Untuk Type, pilih IPv4 atau IPv6.

  10. Untuk Tujuan, pilih Firewall.

  11. Di kolom Capacity, masukkan kapasitas grup alamat.

  12. Di kolom Alamat IP, perbarui alamat IP atau rentang IP yang dikloning dari grup alamat.

  13. Klik Clone.

gcloud

Untuk meng-clone grup alamat menggunakan gcloud CLI, ikuti panduan berikut:

  • Kedua grup alamat harus memiliki jenis yang sama.
  • Kedua grup alamat harus berada di lokasi yang sama.
  • Pastikan grup alamat baru memiliki kapasitas yang cukup untuk memuat item grup alamat sumber yang sedang di-clone.

  • Untuk menentukan grup alamat sumber, Anda harus menggunakan ID URL unik berikut:

    organization/ORGANIZATION_ID/locations/LOCATION/addressGroups/ADDRESS_GROUP_NAME

Untuk mengetahui informasi selengkapnya tentang kode unik URL untuk grup alamat, lihat Spesifikasi grup alamat.

Untuk meng-clone item dari grup alamat lingkup organisasi, gunakan perintah gcloud network-security org-address-groups clone-items:

gcloud network-security org-address-groups clone-items NAME \
    --organization ORGANIZATION \
    --source SOURCE_NAMED_LIST \
    --location LOCATION

Ganti kode berikut:

  • NAME: nama grup alamat; Anda dapat menentukan nama sebagai string atau sebagai ID URL unik

  • ORGANIZATION: ID organisasi tempat grup alamat dibuat

    Jika Anda menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter organization.

  • SOURCE_NAMED_LIST: ID URL unik dari grup alamat sumber tempat item di-clone

  • LOCATION: lokasi grup alamat tujuan

    Nilai ini dapat ditetapkan ke global atau kode wilayah (seperti europe-west). Jika Anda menggunakan ID URL unik untuk parameter name, Anda dapat menghilangkan parameter location.

Langkah berikutnya