O aprovisionamento manual de regras de firewall para uma instância de aplicação isolada (air-gapped) do Google Distributed Cloud (GDC) é necessário devido à atribuição estática da rede de gestão, juntamente com a pegada de tráfego de rede mínima.
Tem de aplicar manualmente políticas de firewall baseadas no anfitrião para os fluxos de tráfego de rede na rede de gestão do dispositivo isolado do GDC. Para aplicar regras de filtragem de portas e IP nas interfaces de rede das máquinas bare metal, use a biblioteca de comandos Uncomplicated Firewall (ufw).
Aplique regras de firewall
A rede de gestão do dispositivo isolado do GDC é eno1. Os endereços IP estáticos das máquinas do dispositivo isolado do GDC são os seguintes:
| Nome do computador | Endereço IP |
|---|---|
| xx-aa-bm01 | 198.18.255.228 (administrador raiz/administrador organizacional) |
| xx-aa-bm02 | 198.18.255.229 |
| xx-aa-bm03 | 198.18.255.230 |
Para aplicar as regras da firewall à rede de gestão, siga estes passos:
Estabeleça uma ligação Secure Shell (SSH) a partir da máquina ou do portátil de arranque à máquina bm01 através da chave SSH predefinida fornecida pela Google.
ssh 198.18.255.228Configure as rotas predefinidas na interface de gestão de bm01:
sudo ufw default allow outgoing sudo ufw default allow incomingConfigure as políticas nos nós de administrador raiz bm01. Estas políticas permitem o tráfego na lista de autorizações na rede de gestão entre os vários dispositivos no dispositivo isolado do GDC. As políticas também permitem o acesso SSH a partir de todas as máquinas de metal nu, juntamente com a máquina ou o portátil do programa de arranque:
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp sudo ufw deny in on eno1Ative as políticas
ufwem bm01:sudo ufw enableDesligue a sessão SSH de bm01.
Estabeleça uma ligação Secure Shell (SSH) a partir do computador ou portátil de arranque à máquina bm02 através da chave SSH predefinida fornecida pela Google.
ssh 198.18.255.229Configure os encaminhamentos predefinidos na interface de gestão de bm02:
sudo ufw default allow outgoing sudo ufw default allow incomingConfigure as políticas no nó da organização bm02:
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp sudo ufw deny in on eno1Ative as políticas
ufwno bm02:sudo ufw enableDesligue a sessão SSH de bm02.
Estabeleça uma ligação Secure Shell (SSH) a partir do computador ou portátil de arranque à máquina bm03 através da chave SSH predefinida fornecida pela Google.
ssh 198.18.255.230Configure as rotas predefinidas na interface de gestão de bm03:
sudo ufw default allow outgoing sudo ufw default allow incomingConfigure as políticas no nó da organização bm03:
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp sudo ufw deny in on eno1Ative as políticas
ufw:sudo ufw enable