Configurer des règles de pare-feu

L'allocation manuelle des règles de pare-feu pour une instance d'appliance Google Distributed Cloud (GDC) isolée est requise en raison de l'allocation statique du réseau de gestion et de l'empreinte minimale du trafic réseau.

Vous devez appliquer manuellement des stratégies de pare-feu basées sur l'hôte pour les flux de trafic réseau dans le réseau de gestion de l'appliance GDC isolée. Pour appliquer des règles de filtrage des ports et des adresses IP sur les interfaces réseau des machines bare metal, utilisez la bibliothèque de commandes Uncomplicated Firewall (ufw).

Appliquer des règles de pare-feu

Le réseau de gestion de l'appliance GDC sous air gap est eno1. Voici les adresses IP statiques des machines de l'appliance GDC sous air gap :

Nom de la machine Adresse IP
xx-aa-bm01 198.18.255.228 (administrateur root/administrateur de l'organisation)
xx-aa-bm02 198.18.255.229
xx-aa-bm03 198.18.255.230

Pour appliquer les règles de pare-feu au réseau de gestion, procédez comme suit :

  1. Établissez une connexion Secure Shell (SSH) entre la machine ou l'ordinateur portable du programme d'amorçage et la machine bm01 à l'aide de la clé SSH par défaut fournie par Google.

    ssh 198.18.255.228
    
  2. Configurez les routes par défaut sur l'interface de gestion de bm01 :

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  3. Configurez les règles sur les nœuds administrateur racine bm01. Ces règles autorisent le trafic sur le réseau de gestion entre les différents appareils de l'appliance GDC isolée. Les règles autorisent également l'accès SSH à partir de toutes les machines physiques, ainsi qu'à partir de la machine ou de l'ordinateur portable du programme d'amorçage :

    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
    sudo ufw deny in on eno1
    
  4. Activez les règles ufw sur bm01 :

    sudo ufw enable
    
  5. Déconnectez votre session SSH de bm01.

  6. Établissez une connexion Secure Shell (SSH) entre la machine ou l'ordinateur portable du programme d'amorçage et la machine bm02 à l'aide de la clé SSH par défaut fournie par Google.

    ssh 198.18.255.229
    
  7. Configurez les routes par défaut sur l'interface de gestion de bm02 :

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  8. Configurez les règles sur le nœud d'organisation bm02 :

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
    sudo ufw deny in on eno1
    
  9. Activez les règles ufw sur bm02 :

    sudo ufw enable
    
  10. Déconnectez votre session SSH de bm02.

  11. Établissez une connexion Secure Shell (SSH) entre la machine ou l'ordinateur portable du programme d'amorçage et la machine bm03 à l'aide de la clé SSH par défaut fournie par Google.

    ssh 198.18.255.230
    
  12. Configurez les routes par défaut sur l'interface de gestion de bm03 :

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  13. Configurez les règles sur le nœud d'organisation bm03 :

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
    sudo ufw deny in on eno1
    
  14. Activez les règles ufw :

    sudo ufw enable