位址群組總覽

位址群組包含多個 IP 位址、CIDR 格式的 IP 位址範圍,或兩者皆有。每個位址群組可供多項資源使用,例如 Cloud NGFW 防火牆政策中的規則,或 Cloud Armor 安全性政策中的規則。

系統會自動將位址群組的更新項目傳播至參照該位址群組的資源。舉例來說,您可以建立包含一組信任 IP 位址的位址群組。如要變更信任的 IP 位址集,請更新位址群組。您對地址群組所做的更新,會自動反映在每個相關聯的資源中。

規格

位址群組資源具有下列特性:

  • 每個地址群組都有專屬網址,包含下列元素:
    • 容器類型:決定地址群組類型,即 organizationproject
    • 容器 ID:機構或專案的 ID。
    • 位置:指定位址群組是global或區域性資源 (例如 europe-west)。
    • 名稱:位址群組名稱,格式如下:
      • 長度介於 1 至 63 個字元的字串
      • 僅包含英數字元
      • 開頭不得為數字

  • 您可以採用下列格式,為地址群組建構專屬網址 ID:

    <containerType>/<containerId>/locations/<location>/addressGroups/<address-group-name>

    舉例來說,專案 myproject 中的 global 位址群組 example-address-group 具有下列專屬 4 元組 ID:

    projects/myproject/locations/global/addressGroups/example-address-group

  • 每個位址群組都有相關聯的類型,可以是 IPv4 或 IPv6,但不能同時是兩者。地址群組類型一經設定即無法變更。

  • 位址群組中的每個 IP 位址或 IP 範圍都稱為「項目」。可新增至位址群組的項目數量取決於位址群組的容量。您可以在建立位址群組時定義項目容量,但之後無法變更。可為位址群組設定的最大容量,取決於您使用位址群組的產品。

  • 建立位址群組時,您必須指定容量和類型。此外,使用 Cloud Armor 時,您必須將 purpose 欄位設為 CLOUD_ARMOR

  • 建立位址群組時,如果目的不是 CLOUD_ARMOR,則位址群組的容量上限為 1,000 個 IP 位址。

位址群組類型

地址群組會依範圍分類。範圍會指出位址群組在資源階層中適用的層級。位址群組分為下列類型:

地址群組可以是專案範圍或機構範圍,但不能同時是兩者。

專案範圍位址群組

如要定義自己的 IP 位址清單,在專案或網路中使用,以封鎖或允許一連串變更的 IP 位址,請使用專案範圍的位址群組。舉例來說,如要定義自己的威脅情報清單並新增至規則,請建立含有必要 IP 位址的位址群組。

專案範圍地址群組的容器類型一律設為 project。如要進一步瞭解如何建立及修改專案範圍的位址群組,請參閱「使用專案範圍的位址群組」。

機構範圍的位址群組

如要定義 IP 位址的中央清單,以便在高階規則中使用,為整個機構提供一致的控管機制,並減少個別網路和專案擁有者維護通用清單 (例如信任的服務和內部 IP 位址) 的負擔,請使用機構範圍的位址群組。

機構範圍地址群組的容器類型一律設為 organization。如要進一步瞭解如何建立及修改機構範圍的地址群組,請參閱「使用機構範圍的地址群組」。

地址群組如何搭配安全性政策運作

位址群組可讓您在多項安全性政策中共用 IP 位址清單,因此能簡化安全性政策的設定和維護作業。將位址群組用於安全性政策時,請注意下列額外規格:

  • 位址群組僅適用於全域範圍的後端安全政策
  • 機構範圍的地址群組適用於服務層級安全性政策和階層式安全性政策。
  • 地址群組的容量會加到使用該地址群組的安全性政策總屬性計數中。請務必根據用途,將容量設為適當值。
  • 如要使用位址群組,專案必須註冊 Google Cloud Armor Enterprise。如果降級為標準帳單,您就無法建立新的位址群組或修改現有位址群組,也無法建立參照現有位址群組的規則,且參照位址群組的安全政策會遭到凍結。這表示政策仍處於啟用狀態,但您必須先刪除所有參照位址群組的規則,才能修改政策。

建議您查看地址群組的配額限制

除了為後端安全政策設定機構範圍的位址群組,您也可以為階層式安全政策設定機構範圍的位址群組。您無法在專案以外的安全政策中使用專案範圍的位址群組,但可以與整個機構的安全政策共用機構範圍的位址群組;因此,當您搭配階層式安全政策使用機構範圍的位址群組時,機構範圍的位址群組和安全政策特別實用。如要進一步瞭解階層式安全政策,請參閱「階層式安全政策總覽」。

範例

以下範例說明如何使用位址群組設定安全性政策:

  • 假設您有網路設定,其中包含三個後端服務,每個服務都有一項安全性政策。此外,您有一份已知惡意 IP 位址的清單。在每個安全性政策中建立 deny 規則時,您可以建立一個位址群組,並將其用於所有三個安全性政策,不必在每個安全性政策中新增 IP 位址清單。這樣一來,每當您建立新的安全性政策時,都可以再次使用位址群組來建立新規則。
  • 假設您有一個組織,其中包含許多分組到資料夾的專案,而且您有三份 IP 位址清單,每份清單只需要存取部分資料夾。您可以建立三個組織範圍的位址群組 (每份 IP 位址清單各一個),然後建立三個階層式安全性政策。您可以為每個階層式安全性政策提供一個 allow 規則,與三個位址群組中的其中一個相符,然後將階層式安全性政策與允許的 IP 位址群組需要存取的每個資料夾建立關聯。

後續步驟