방화벽 규칙 구성

최소 네트워크 트래픽 사용량과 함께 관리 네트워크의 정적 할당으로 인해 Google Distributed Cloud (GDC) 에어갭 어플라이언스 인스턴스의 방화벽 규칙을 수동으로 프로비저닝해야 합니다.

GDC 에어갭 어플라이언스의 관리 네트워크에 있는 네트워크 트래픽 흐름에 호스트 기반 방화벽 정책을 수동으로 적용해야 합니다. 베어 메탈 머신의 네트워크 인터페이스에 포트 및 IP 필터링 규칙을 적용하려면 Uncomplicated Firewall (ufw) 명령 라이브러리를 사용하세요.

방화벽 규칙 적용

GDC 에어 갭 적용 어플라이언스의 관리 네트워크는 eno1입니다. GDC 에어 갭 적용 어플라이언스 머신의 고정 IP 주소는 다음과 같습니다.

머신 이름 IP 주소
xx-aa-bm01 198.18.255.228 (루트 관리자/조직 관리자)
xx-aa-bm02 198.18.255.229
xx-aa-bm03 198.18.255.230

관리 네트워크에 방화벽 규칙을 적용하려면 다음 단계를 따르세요.

  1. 부트스트래퍼 머신 또는 노트북에서 Google에서 제공하는 기본 SSH 키를 사용하여 bm01 머신에 Secure Shell (SSH) 연결을 설정합니다. 

    ssh 198.18.255.228

  2. bm01의 관리 인터페이스에서 기본 경로를 구성합니다.

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  3. bm01 루트 관리 노드에서 정책을 구성합니다. 이러한 정책은 GDC 에어갭 어플라이언스의 다양한 기기 간 관리 네트워크에서 트래픽을 허용 목록에 추가합니다. 또한 정책은 부트스트래퍼 머신 또는 노트북과 함께 모든 베어메탈 머신에서 SSH 액세스를 허용 목록에 추가합니다.

    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
sudo ufw deny in on eno1

  4. bm01에서 ufw 정책을 사용 설정합니다.

    sudo ufw enable

  5. bm01에서 SSH 세션을 연결 해제합니다.

  6. 부트스트래퍼 머신 또는 노트북에서 Google에서 제공하는 기본 SSH 키를 사용하여 bm02 머신에 Secure Shell (SSH) 연결을 설정합니다. 

    ssh 198.18.255.229

  7. bm02의 관리 인터페이스에서 기본 경로를 구성합니다.

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  8. bm02 조직 노드에서 정책을 구성합니다.

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
sudo ufw deny in on eno1

  9. bm02에서 ufw 정책을 사용 설정합니다.

    sudo ufw enable

  10. bm02에서 SSH 세션을 연결 해제합니다.

  11. 부트스트래퍼 머신 또는 노트북에서 Google에서 제공하는 기본 SSH 키를 사용하여 bm03 머신에 Secure Shell (SSH) 연결을 설정합니다. 

    ssh 198.18.255.230

  12. bm03의 관리 인터페이스에서 기본 경로를 구성합니다.

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  13. bm03 조직 노드에서 정책을 구성합니다.

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
sudo ufw deny in on eno1

  14. ufw 정책을 사용 설정합니다.

    sudo ufw enable