配置防火墙规则

由于管理网络的静态分配以及最小的网络流量占用空间,因此需要为 Google Distributed Cloud (GDC) 空气隔离设备实例手动配置防火墙规则。

您必须手动为 GDC 气隙式设备的管理网络中的网络流量流应用基于主机的防火墙政策。如需在裸机网络接口上应用端口和 IP 过滤规则,请使用 Uncomplicated Firewall (ufw) 命令库。

应用防火墙规则

GDC 网闸隔离设备的管理网络为 eno1。GDC 经过网闸隔离的设备机器的静态 IP 地址如下:

机器名称 IP 地址
xx-aa-bm01 198.18.255.228(根管理员/组织管理员)
xx-aa-bm02 198.18.255.229
xx-aa-bm03 198.18.255.230

如需将防火墙规则应用于管理网络,请按以下步骤操作:

  1. 使用 Google 提供的默认 SSH 密钥,从引导加载程序机器或笔记本电脑建立与 bm01 机器的 Secure Shell (SSH) 连接。

    ssh 198.18.255.228

  2. 在 bm01 的管理接口上配置默认路由:

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  3. 在 bm01 根管理员节点上配置政策。这些政策允许 GDC 空气隔离设备中各种设备之间管理网络上的流量。这些政策还允许从所有裸机以及引导加载程序机器或笔记本电脑进行 SSH 访问:

    sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
sudo ufw deny in on eno1

  4. 在 bm01 上启用 ufw 政策:

    sudo ufw enable

  5. 断开 SSH 会话与 bm01 的连接。

  6. 使用 Google 提供的默认 SSH 密钥,从引导加载程序机器或笔记本电脑建立与 bm02 机器的 Secure Shell (SSH) 连接。

    ssh 198.18.255.229

  7. 在 bm02 的管理接口上配置默认路由:

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  8. 在 bm02 组织节点上配置政策:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
sudo ufw deny in on eno1

  9. 在 bm02 上启用 ufw 政策:

    sudo ufw enable

  10. 断开 SSH 会话与 bm02 的连接。

  11. 使用 Google 提供的默认 SSH 密钥,从引导加载程序机器或笔记本电脑与 bm03 机器建立 Secure Shell (SSH) 连接。

    ssh 198.18.255.230

  12. 在 bm03 的管理接口上配置默认路由:

    sudo ufw default allow outgoing
sudo ufw default allow incoming

  13. 在 bm03 组织节点上配置政策:

    sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
sudo ufw deny in on eno1

  14. 启用 ufw 政策:

    sudo ufw enable