ファイアウォール ルールを構成する

管理ネットワークの静的割り当てと最小限のネットワーク トラフィック フットプリントにより、Google Distributed Cloud(GDC)エアギャップ アプライアンス インスタンスのファイアウォール ルールの手動プロビジョニングが必要です。

GDC エアギャップ アプライアンスの管理ネットワークのネットワーク トラフィック フローに、ホストベースのファイアウォール ポリシーを手動で適用する必要があります。ベアメタル マシンのネットワーク インターフェースにポートと IP フィルタリング ルールを適用するには、Uncomplicated Firewall(ufw)コマンド ライブラリを使用します。

ファイアウォール ルールを適用する

GDC エアギャップ アプライアンスの管理ネットワークは eno1 です。GDC エアギャップ アプライアンス マシンの静的 IP アドレスは次のとおりです。

マシン名 IP アドレス
xx-aa-bm01 198.18.255.228(ルート管理者/組織管理者)
xx-aa-bm02 198.18.255.229
xx-aa-bm03 198.18.255.230

ファイアウォール ルールを管理ネットワークに適用する手順は次のとおりです。

  1. Google が提供するデフォルトの SSH 認証鍵を使用して、ブートストラップ マシンまたはノートパソコンから bm01 マシンへの Secure Shell(SSH)接続を確立します。

    ssh 198.18.255.228

  2. bm01 の管理インターフェースでデフォルト ルートを構成します。

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  3. bm01 ルート管理者ノードでポリシーを構成します。これらのポリシーにより、GDC エアギャップ アプライアンス内のさまざまなデバイス間の管理ネットワーク上のトラフィックが許可リストに登録されます。このポリシーでは、ブートストラッパー マシンまたはノートパソコンとともに、すべてのベアメタル マシンからの SSH アクセスも許可リストに登録します。

    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
sudo ufw deny in on eno1

  4. bm01 で ufw ポリシーを有効にします。

    sudo ufw enable

  5. SSH セッションを bm01 から切断します。

  6. Google が提供するデフォルトの SSH 認証鍵を使用して、ブートストラップ マシンまたはノートパソコンから bm02 マシンへの Secure Shell(SSH)接続を確立します。

    ssh 198.18.255.229

  7. bm02 の管理インターフェースでデフォルト ルートを構成します。

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  8. bm02 組織ノードでポリシーを構成します。

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
sudo ufw deny in on eno1

  9. bm02 で ufw ポリシーを有効にします。

    sudo ufw enable

  10. bm02 から SSH セッションを切断します。

  11. Google が提供するデフォルトの SSH 認証鍵を使用して、ブートストラップ マシンまたはノートパソコンから bm03 マシンへの Secure Shell(SSH)接続を確立します。

    ssh 198.18.255.230

  12. bm03 の管理インターフェースでデフォルト ルートを構成します。

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  13. bm03 組織ノードでポリシーを構成します。

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
sudo ufw deny in on eno1

  14. ufw ポリシーを有効にします。

    sudo ufw enable