Firewallregeln konfigurieren

Die manuelle Bereitstellung von Firewallregeln für eine GDC-Instanz (Google Distributed Cloud) mit Air Gap ist aufgrund der statischen Zuweisung des Verwaltungsnetzwerks und des minimalen Netzwerk-Traffics erforderlich.

Sie müssen hostbasierte Firewallrichtlinien für die Netzwerkverkehrsflüsse im Verwaltungsnetzwerk der GDC-Air-Gap-Appliance manuell anwenden. Wenn Sie Port- und IP-Filterregeln auf Netzwerkschnittstellen der Bare-Metal-Maschinen anwenden möchten, verwenden Sie die Befehlsbibliothek der Uncomplicated Firewall (ufw).

Firewallregeln anwenden

Das Verwaltungsnetzwerk für die GDC-Appliance mit Air Gap ist eno1. Die statischen IP-Adressen der GDC-Air-Gap-Appliance-Maschinen sind:

Computername IP-Adresse
xx-aa-bm01 198.18.255.228 (Root-Administrator/Organisationsadministrator)
xx-aa-bm02 198.18.255.229
xx-aa-bm03 198.18.255.230

So wenden Sie die Firewallregeln auf das Verwaltungsnetzwerk an:

  1. Stellen Sie eine Secure Shell-Verbindung (SSH) vom Bootstrapper-Computer oder ‑Laptop zur bm01-Maschine her. Verwenden Sie dazu den von Google bereitgestellten Standard-SSH-Schlüssel.

    ssh 198.18.255.228
    
  2. Konfigurieren Sie die Standardrouten auf der Verwaltungsschnittstelle von bm01:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  3. Konfigurieren Sie die Richtlinien für die bm01-Root-Administratorknoten. Mit diesen Richtlinien wird Traffic im Verwaltungsnetzwerk zwischen den verschiedenen Geräten in der GDC-Air-Gap-Appliance auf die Zulassungsliste gesetzt. Die Richtlinien lassen auch den SSH-Zugriff von allen Bare-Metal-Maschinen sowie vom Bootstrapper-Computer oder ‑Laptop zu:

    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
    sudo ufw deny in on eno1
    
  4. Aktivieren Sie die ufw-Richtlinien auf bm01:

    sudo ufw enable
    
  5. Trennen Sie die SSH-Sitzung von bm01.

  6. Stellen Sie eine Secure Shell-Verbindung (SSH) vom Bootstrapper-Computer oder ‑Laptop zur bm02-Maschine mit dem von Google bereitgestellten Standardschlüssel her.

    ssh 198.18.255.229
    
  7. Konfigurieren Sie die Standardrouten auf der Verwaltungsschnittstelle von bm02:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  8. Konfigurieren Sie die Richtlinien für den Organisationsknoten „bm02“:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
    sudo ufw deny in on eno1
    
  9. Aktivieren Sie die ufw-Richtlinien auf bm02:

    sudo ufw enable
    
  10. Trennen Sie die SSH-Sitzung von bm02.

  11. Stellen Sie eine Secure Shell-Verbindung (SSH) von der Bootstrapper-Maschine oder dem Laptop zur bm03-Maschine mit dem von Google bereitgestellten Standard-SSH-Schlüssel her.

    ssh 198.18.255.230
    
  12. Konfigurieren Sie die Standardrouten auf der Verwaltungsschnittstelle von bm03:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  13. Konfigurieren Sie die Richtlinien für den Organisationsknoten „bm03“:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
    sudo ufw deny in on eno1
    
  14. Aktivieren Sie die ufw-Richtlinien:

    sudo ufw enable