Penyediaan aturan firewall secara manual untuk instance alat yang terisolasi dari jaringan Google Distributed Cloud (GDC) diperlukan karena alokasi statis jaringan pengelolaan bersama dengan jejak traffic jaringan minimal.
Anda harus menerapkan kebijakan firewall berbasis host secara manual untuk aliran traffic jaringan di jaringan pengelolaan alat GDC yang terisolasi. Untuk menerapkan aturan pemfilteran IP dan port pada antarmuka jaringan mesin bare metal, gunakan library perintah Uncomplicated Firewall (ufw
).
Menerapkan aturan firewall
Jaringan pengelolaan untuk perangkat GDC dengan air gap adalah eno1
. Alamat IP statis mesin perangkat GDC dengan air gap adalah sebagai berikut:
Nama perangkat | Alamat IP |
---|---|
xx-aa-bm01 | 198.18.255.228 (admin root/admin org.) |
xx-aa-bm02 | 198.18.255.229 |
xx-aa-bm03 | 198.18.255.230 |
Untuk menerapkan aturan firewall ke jaringan pengelolaan, ikuti langkah-langkah berikut:
Buat koneksi Secure Shell (SSH) dari mesin atau laptop bootstrapper ke mesin bm01 menggunakan kunci SSH default yang disediakan oleh Google.
ssh 198.18.255.228
Konfigurasi rute default pada antarmuka pengelolaan bm01:
sudo ufw default allow outgoing sudo ufw default allow incoming
Konfigurasi kebijakan pada node admin root bm01. Kebijakan ini mengizinkan traffic dalam daftar yang diizinkan di jaringan pengelolaan antara berbagai perangkat dalam peralatan air-gapped GDC. Kebijakan ini juga mengizinkan akses SSH dari semua mesin bare metal bersama dengan mesin atau laptop bootstrapper:
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp sudo ufw deny in on eno1
Aktifkan kebijakan
ufw
di bm01:sudo ufw enable
Putuskan Koneksi Sesi SSH Anda dari bm01.
Buat koneksi Secure Shell (SSH) dari mesin atau laptop bootstrapper ke mesin bm02 menggunakan kunci SSH default yang disediakan oleh Google.
ssh 198.18.255.229
Konfigurasi rute default pada antarmuka pengelolaan bm02:
sudo ufw default allow outgoing sudo ufw default allow incoming
Konfigurasi kebijakan pada node org bm02:
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp sudo ufw deny in on eno1
Aktifkan kebijakan
ufw
di bm02:sudo ufw enable
Putuskan koneksi Sesi SSH Anda dari bm02.
Buat koneksi Secure Shell (SSH) dari mesin atau laptop bootstrapper ke mesin bm03 menggunakan kunci SSH default yang disediakan oleh Google.
ssh 198.18.255.230
Konfigurasi rute default pada antarmuka pengelolaan bm03:
sudo ufw default allow outgoing sudo ufw default allow incoming
Konfigurasi kebijakan di node org bm03:
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp sudo ufw deny in on eno1
Aktifkan kebijakan
ufw
:sudo ufw enable