管理ネットワークの静的割り当てと最小限のネットワーク トラフィック フットプリントにより、Google Distributed Cloud(GDC)エアギャップ アプライアンス インスタンスのファイアウォール ルールの手動プロビジョニングが必要です。
GDC エアギャップ アプライアンスの管理ネットワークのネットワーク トラフィック フローに、ホストベースのファイアウォール ポリシーを手動で適用する必要があります。ベアメタル マシンのネットワーク インターフェースにポートと IP フィルタリング ルールを適用するには、Uncomplicated Firewall(ufw)コマンド ライブラリを使用します。
ファイアウォール ルールを適用する
GDC エアギャップ アプライアンスの管理ネットワークは eno1 です。GDC エアギャップ アプライアンス マシンの静的 IP アドレスは次のとおりです。
| マシン名 | IP アドレス |
|---|---|
| xx-aa-bm01 | 198.18.255.228(ルート管理者/組織管理者) |
| xx-aa-bm02 | 198.18.255.229 |
| xx-aa-bm03 | 198.18.255.230 |
ファイアウォール ルールを管理ネットワークに適用する手順は次のとおりです。
Google が提供するデフォルトの SSH 認証鍵を使用して、ブートストラップ マシンまたはノートパソコンから bm01 マシンへの Secure Shell(SSH)接続を確立します。
ssh 198.18.255.228bm01 の管理インターフェースでデフォルト ルートを構成します。
sudo ufw default allow outgoing sudo ufw default allow incomingbm01 ルート管理者ノードでポリシーを構成します。これらのポリシーにより、GDC エアギャップ アプライアンス内のさまざまなデバイス間の管理ネットワーク上のトラフィックが許可リストに登録されます。このポリシーでは、ブートストラッパー マシンまたはノートパソコンとともに、すべてのベアメタル マシンからの SSH アクセスも許可リストに登録します。
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp sudo ufw deny in on eno1bm01 で
ufwポリシーを有効にします。sudo ufw enableSSH セッションを bm01 から切断します。
Google が提供するデフォルトの SSH 認証鍵を使用して、ブートストラップ マシンまたはノートパソコンから bm02 マシンへの Secure Shell(SSH)接続を確立します。
ssh 198.18.255.229bm02 の管理インターフェースでデフォルト ルートを構成します。
sudo ufw default allow outgoing sudo ufw default allow incomingbm02 組織ノードでポリシーを構成します。
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp sudo ufw deny in on eno1bm02 で
ufwポリシーを有効にします。sudo ufw enablebm02 から SSH セッションを切断します。
Google が提供するデフォルトの SSH 認証鍵を使用して、ブートストラップ マシンまたはノートパソコンから bm03 マシンへの Secure Shell(SSH)接続を確立します。
ssh 198.18.255.230bm03 の管理インターフェースでデフォルト ルートを構成します。
sudo ufw default allow outgoing sudo ufw default allow incomingbm03 組織ノードでポリシーを構成します。
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp sudo ufw deny in on eno1ufwポリシーを有効にします。sudo ufw enable