Configurar regras de firewall

O provisionamento manual de regras de firewall para uma instância de appliance isolado do Google Distributed Cloud (GDC) é necessário devido à alocação estática da rede de gerenciamento e à pegada mínima de tráfego de rede.

É necessário aplicar manualmente políticas de firewall baseadas em host aos fluxos de tráfego de rede na rede de gerenciamento do appliance isolado do GDC. Para aplicar regras de filtragem de porta e IP nas interfaces de rede das máquinas bare metal, use a biblioteca de comandos do Uncomplicated Firewall (ufw).

Aplicar regras de firewall

A rede de gerenciamento do dispositivo com isolamento físico do GDC é eno1. Os endereços IP estáticos das máquinas do dispositivo com isolamento físico do GDC são os seguintes:

Nome da máquina Endereço IP
xx-aa-bm01 198.18.255.228 (administrador raiz/administrador da organização)
xx-aa-bm02 198.18.255.229
xx-aa-bm03 198.18.255.230

Para aplicar as regras de firewall à rede de gerenciamento, siga estas etapas:

  1. Estabeleça uma conexão Secure Shell (SSH) da máquina ou laptop de bootstrap para a máquina bm01 usando a chave SSH padrão fornecida pelo Google.

    ssh 198.18.255.228
    
  2. Configure as rotas padrão na interface de gerenciamento do bm01:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  3. Configure as políticas nos nós de administrador raiz do bm01. Essas políticas permitem o tráfego na lista de permissões na rede de gerenciamento entre os vários dispositivos no dispositivo isolado do GDC. As políticas também permitem o acesso SSH de todas as máquinas bare metal, além da máquina ou laptop de bootstrap:

    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
    sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
    sudo ufw deny in on eno1
    
  4. Ative as políticas ufw em bm01:

    sudo ufw enable
    
  5. Desconecte sua sessão SSH de bm01.

  6. Estabeleça uma conexão Secure Shell (SSH) da máquina ou laptop de bootstrap para a máquina bm02 usando a chave SSH padrão fornecida pelo Google.

    ssh 198.18.255.229
    
  7. Configure as rotas padrão na interface de gerenciamento do bm02:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  8. Configure as políticas no nó da organização bm02:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
    sudo ufw deny in on eno1
    
  9. Ative as políticas ufw em bm02:

    sudo ufw enable
    
  10. Desconecte sua sessão SSH de bm02.

  11. Estabeleça uma conexão Secure Shell (SSH) da máquina ou laptop de bootstrap para a máquina bm03 usando a chave SSH padrão fornecida pelo Google.

    ssh 198.18.255.230
    
  12. Configure as rotas padrão na interface de gerenciamento do bm03:

    sudo ufw default allow outgoing
    sudo ufw default allow incoming
    
  13. Configure as políticas no nó da organização bm03:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
    sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
    sudo ufw deny in on eno1
    
  14. Ative as políticas de ufw:

    sudo ufw enable