Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
L'allocation manuelle des règles de pare-feu pour une instance d'appliance Google Distributed Cloud (GDC) isolée est requise en raison de l'allocation statique du réseau de gestion et de l'empreinte minimale du trafic réseau.
Vous devez appliquer manuellement des stratégies de pare-feu basées sur l'hôte pour les flux de trafic réseau dans le réseau de gestion de l'appliance GDC isolée. Pour appliquer des règles de filtrage des ports et des adresses IP sur les interfaces réseau des machines bare metal, utilisez la bibliothèque de commandes Uncomplicated Firewall (ufw).
Appliquer des règles de pare-feu
Le réseau de gestion de l'appliance GDC sous air gap est eno1. Voici les adresses IP statiques des machines de l'appliance GDC sous air gap :
Nom de la machine
Adresse IP
xx-aa-bm01
198.18.255.228 (administrateur root/administrateur de l'organisation)
xx-aa-bm02
198.18.255.229
xx-aa-bm03
198.18.255.230
Pour appliquer les règles de pare-feu au réseau de gestion, procédez comme suit :
Établissez une connexion Secure Shell (SSH) entre la machine ou l'ordinateur portable du programme d'amorçage et la machine bm01 à l'aide de la clé SSH par défaut fournie par Google.
ssh198.18.255.228
Configurez les routes par défaut sur l'interface de gestion de bm01 :
Configurez les règles sur les nœuds administrateur racine bm01. Ces règles autorisent le trafic sur le réseau de gestion entre les différents appareils de l'appliance GDC isolée. Les règles autorisent également l'accès SSH à partir de toutes les machines physiques, ainsi qu'à partir de la machine ou de l'ordinateur portable du programme d'amorçage :
Établissez une connexion Secure Shell (SSH) entre la machine ou l'ordinateur portable du programme d'amorçage et la machine bm02 à l'aide de la clé SSH par défaut fournie par Google.
ssh198.18.255.229
Configurez les routes par défaut sur l'interface de gestion de bm02 :
Établissez une connexion Secure Shell (SSH) entre la machine ou l'ordinateur portable du programme d'amorçage et la machine bm03 à l'aide de la clé SSH par défaut fournie par Google.
ssh198.18.255.230
Configurez les routes par défaut sur l'interface de gestion de bm03 :
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[[["\u003cp\u003eManual firewall rule provisioning is necessary for Google Distributed Cloud (GDC) air-gapped appliances due to their static management network allocation.\u003c/p\u003e\n"],["\u003cp\u003eHost-based firewall policies must be applied manually to manage network traffic flows using the Uncomplicated Firewall (\u003ccode\u003eufw\u003c/code\u003e) command library on the management network (\u003ccode\u003eeno1\u003c/code\u003e).\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003ebm01\u003c/code\u003e machine, with IP 198.18.255.228, is the root admin/org admin node and requires specific \u003ccode\u003eufw\u003c/code\u003e rules to allow traffic from \u003ccode\u003ebm02\u003c/code\u003e and \u003ccode\u003ebm03\u003c/code\u003e on specified ports and protocols, as well as SSH access.\u003c/p\u003e\n"],["\u003cp\u003eThe \u003ccode\u003ebm02\u003c/code\u003e (198.18.255.229) and \u003ccode\u003ebm03\u003c/code\u003e (198.18.255.230) org nodes require \u003ccode\u003eufw\u003c/code\u003e rules that permit traffic from the root admin node (\u003ccode\u003ebm01\u003c/code\u003e) on specific ports and protocols, along with SSH access.\u003c/p\u003e\n"],["\u003cp\u003e\u003ccode\u003eufw\u003c/code\u003e policies must be enabled on \u003ccode\u003ebm01\u003c/code\u003e, \u003ccode\u003ebm02\u003c/code\u003e, and \u003ccode\u003ebm03\u003c/code\u003e after the manual configurations by running \u003ccode\u003esudo ufw enable\u003c/code\u003e to fully implement the rules.\u003c/p\u003e\n"]]],[],null,["# Configure firewall rules\n\nManual provisioning of firewall rules for a Google Distributed Cloud (GDC) air-gapped appliance\ninstance is required due to the static allocation of the management network\nalong with the minimal network traffic footprint.\n\nYou must manually apply host-based firewall policies for the network traffic\nflows in the management network of GDC air-gapped appliance. To apply port\nand IP filtering rules on network interfaces of the bare metal machines, use the\nUncomplicated Firewall (`ufw`) command library.\n\n### Apply firewall rules\n\nThe management network for GDC air-gapped appliance is `eno1`. The static IP\naddresses of the GDC air-gapped appliance machines are as follows:\n\nTo apply the firewall rules to the management network, follow these steps:\n\n1. Establish a Secure Shell (SSH) connection from the bootstrapper machine or\n laptop to the bm01 machine using the default SSH key provided by\n Google.\n\n ssh 198.18.255.228\n\n2. Configure the default routes on the management interface of bm01:\n\n sudo ufw default allow outgoing\n sudo ufw default allow incoming\n\n3. Configure the policies on the bm01 root admin nodes. These policies\n allowlist traffic on the management network between the various devices in\n GDC air-gapped appliance. The policies also allowlist SSH access from all bare\n metal machines along with the bootstrapper machine or laptop:\n\n sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp\n sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp\n sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp\n sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp\n sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp\n sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp\n sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp\n sudo ufw deny in on eno1\n\n4. Enable the `ufw` policies on bm01:\n\n sudo ufw enable\n\n5. Disconnect your SSH Session from bm01.\n\n6. Establish a Secure Shell (SSH) connection from the bootstrapper machine or\n laptop to the bm02 machine using the default SSH key provided by\n Google.\n\n ssh 198.18.255.229\n\n7. Configure the default routes on the management interface of bm02:\n\n sudo ufw default allow outgoing\n sudo ufw default allow incoming\n\n8. Configure the policies on the bm02 org node:\n\n sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp\n sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp \n sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp\n sudo ufw deny in on eno1\n\n9. Enable the `ufw` policies on bm02:\n\n sudo ufw enable\n\n10. Disconnect your SSH Session from bm02.\n\n11. Establish a Secure Shell (SSH) connection from the bootstrapper machine or\n laptop to the bm03 machine using the default SSH key provided by\n Google.\n\n ssh 198.18.255.230\n\n12. Configure the default routes on the management interface of bm03:\n\n sudo ufw default allow outgoing\n sudo ufw default allow incoming\n\n13. Configure the policies on the bm03 org node:\n\n sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp\n sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp\n sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp\n sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp\n sudo ufw deny in on eno1\n\n14. Enable the `ufw` policies:\n\n sudo ufw enable"]]