Configurazione delle regole del firewall

Il provisioning manuale delle regole firewall per un'istanza dell'appliance Google Distributed Cloud (GDC) air-gapped è necessario a causa dell'allocazione statica della rete di gestione e dell'impronta minima del traffico di rete.

Devi applicare manualmente le policy firewall basate sull'host per i flussi di traffico di rete nella rete di gestione dell'appliance GDC air-gapped. Per applicare regole di filtro IP e porte alle interfacce di rete delle macchine bare metal, utilizza la libreria di comandi Uncomplicated Firewall (ufw).

Applica regole firewall

La rete di gestione per l'appliance GDC con air gap è eno1. Gli indirizzi IP statici delle macchine dell'appliance con air gap di GDC sono i seguenti:

Nome computer Indirizzo IP
xx-aa-bm01 198.18.255.228 (amministratore radice/amministratore dell'organizzazione)
xx-aa-bm02 198.18.255.229
xx-aa-bm03 198.18.255.230

Per applicare le regole firewall alla rete di gestione:

  1. Stabilisci una connessione Secure Shell (SSH) dalla macchina bootstrapper o dal laptop alla macchina bm01 utilizzando la chiave SSH predefinita fornita da Google.

    ssh 198.18.255.228
    
  2. Configura le route predefinite sull'interfaccia di gestione di bm01:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  3. Configura i criteri sui nodi di amministrazione radice bm01. Queste norme consentono il traffico nella rete di gestione tra i vari dispositivi dell'appliance GDC air-gapped. I criteri consentono anche l'accesso SSH da tutte le macchine bare metal, nonché dalla macchina o dal laptop bootstrapper:

    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
    sudo ufw deny in on eno1
    
  4. Attiva i criteri ufw su bm01:

    sudo ufw enable
    
  5. Disconnetti la sessione SSH da bm01.

  6. Stabilisci una connessione Secure Shell (SSH) dalla macchina bootstrapper o dal laptop alla macchina bm02 utilizzando la chiave SSH predefinita fornita da Google.

    ssh 198.18.255.229
    
  7. Configura le route predefinite sull'interfaccia di gestione di bm02:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  8. Configura i criteri sul nodo dell'organizzazione bm02:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
    sudo ufw deny in on eno1
    
  9. Attiva i criteri ufw su bm02:

    sudo ufw enable
    
  10. Disconnetti la sessione SSH da bm02.

  11. Stabilisci una connessione Secure Shell (SSH) dalla macchina bootstrapper o dal laptop alla macchina bm03 utilizzando la chiave SSH predefinita fornita da Google.

    ssh 198.18.255.230
    
  12. Configura le route predefinite sull'interfaccia di gestione di bm03:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  13. Configura i criteri nel nodo dell'organizzazione bm03:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
    sudo ufw deny in on eno1
    
  14. Attiva i criteri ufw:

    sudo ufw enable