Mengonfigurasi aturan firewall

Penyediaan aturan firewall secara manual untuk instance alat yang terisolasi dari jaringan Google Distributed Cloud (GDC) diperlukan karena alokasi statis jaringan pengelolaan bersama dengan jejak traffic jaringan minimal.

Anda harus menerapkan kebijakan firewall berbasis host secara manual untuk aliran traffic jaringan di jaringan pengelolaan alat GDC yang terisolasi. Untuk menerapkan aturan pemfilteran IP dan port pada antarmuka jaringan mesin bare metal, gunakan library perintah Uncomplicated Firewall (ufw).

Menerapkan aturan firewall

Jaringan pengelolaan untuk perangkat GDC dengan air gap adalah eno1. Alamat IP statis mesin perangkat GDC dengan air gap adalah sebagai berikut:

Nama perangkat Alamat IP
xx-aa-bm01 198.18.255.228 (admin root/admin org.)
xx-aa-bm02 198.18.255.229
xx-aa-bm03 198.18.255.230

Untuk menerapkan aturan firewall ke jaringan pengelolaan, ikuti langkah-langkah berikut:

  1. Buat koneksi Secure Shell (SSH) dari mesin atau laptop bootstrapper ke mesin bm01 menggunakan kunci SSH default yang disediakan oleh Google.

    ssh 198.18.255.228
    
  2. Konfigurasi rute default pada antarmuka pengelolaan bm01:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  3. Konfigurasi kebijakan pada node admin root bm01. Kebijakan ini mengizinkan traffic dalam daftar yang diizinkan di jaringan pengelolaan antara berbagai perangkat dalam peralatan air-gapped GDC. Kebijakan ini juga mengizinkan akses SSH dari semua mesin bare metal bersama dengan mesin atau laptop bootstrapper:

    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
    sudo ufw deny in on eno1
    
  4. Aktifkan kebijakan ufw di bm01:

    sudo ufw enable
    
  5. Putuskan Koneksi Sesi SSH Anda dari bm01.

  6. Buat koneksi Secure Shell (SSH) dari mesin atau laptop bootstrapper ke mesin bm02 menggunakan kunci SSH default yang disediakan oleh Google.

    ssh 198.18.255.229
    
  7. Konfigurasi rute default pada antarmuka pengelolaan bm02:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  8. Konfigurasi kebijakan pada node org bm02:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
    sudo ufw deny in on eno1
    
  9. Aktifkan kebijakan ufw di bm02:

    sudo ufw enable
    
  10. Putuskan koneksi Sesi SSH Anda dari bm02.

  11. Buat koneksi Secure Shell (SSH) dari mesin atau laptop bootstrapper ke mesin bm03 menggunakan kunci SSH default yang disediakan oleh Google.

    ssh 198.18.255.230
    
  12. Konfigurasi rute default pada antarmuka pengelolaan bm03:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  13. Konfigurasi kebijakan di node org bm03:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
    sudo ufw deny in on eno1
    
  14. Aktifkan kebijakan ufw:

    sudo ufw enable