本頁面由 Cloud Translation API 翻譯而成。

設定防火牆規則

由於管理網路是靜態分配，且網路流量足跡極小，因此必須為 Google Distributed Cloud (GDC) 無網路連線裝置執行個體手動佈建防火牆規則。

您必須手動套用主機型防火牆政策，才能管理 GDC 氣隙式裝置管理網路中的網路流量。如要在裸機的網路介面上套用連接埠和 IP 篩選規則，請使用 Uncomplicated Firewall (ufw) 指令程式庫。

套用防火牆規則

GDC 實體隔離設備的管理網路為 eno1。GDC 實體隔離設備機器的靜態 IP 位址如下：

電腦名稱	IP 位址
xx-aa-bm01	198.18.255.228 (根管理員/機構管理員)
xx-aa-bm02	198.18.255.229
xx-aa-bm03	198.18.255.230

如要將防火牆規則套用至管理網路，請按照下列步驟操作：

從啟動程式機器或筆電，使用 Google 提供的預設 SSH 金鑰，建立與 bm01 機器的安全殼層 (SSH) 連線。
```
ssh 198.18.255.228
```

在 bm01 的管理介面上設定預設路徑：

sudo ufw default allow outgoing
sudo ufw default allow incoming

在 bm01 根管理員節點上設定政策。這些政策可允許 GDC 氣隙式設備中各裝置間的管理網路流量。這些政策也會將所有裸機和啟動程式機器或筆電加入 SSH 存取權的允許清單：

sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6385 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6385 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 6180 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 6180 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 5050 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 5050 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.225 to 198.18.255.228 port 69 proto udp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.228 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.229 to 198.18.255.228 port 123 proto udp
sudo ufw allow in on eno1 from 198.18.255.230 to 198.18.255.228 port 123 proto udp
sudo ufw deny in on eno1

在 bm01 上啟用 ufw 政策：
```
sudo ufw enable
```
中斷與 bm01 的 SSH 工作階段連線。
使用 Google 提供的預設 SSH 金鑰，從啟動程式機器或筆電建立與 bm02 機器的安全殼層 (SSH) 連線。
```
ssh 198.18.255.229
```

在 bm02 的管理介面上設定預設路徑：

sudo ufw default allow outgoing
sudo ufw default allow incoming

在 bm02 機構節點上設定政策：

sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 443 proto tcp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 68 proto udp 
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.229 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.229 port 22 proto tcp
sudo ufw deny in on eno1

在 bm02 上啟用 ufw 政策：
```
sudo ufw enable
```
中斷與 bm02 的 SSH 工作階段。
從啟動程式機器或筆電，使用 Google 提供的預設 SSH 金鑰，建立與 bm03 機器的安全殼層 (SSH) 連線。
```
ssh 198.18.255.230
```

在 bm03 的管理介面上設定預設路徑：

sudo ufw default allow outgoing
sudo ufw default allow incoming

在 bm03 機構節點上設定政策：

sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 443 proto tcp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 67 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 68 proto udp
sudo ufw allow in on eno1 from 198.18.255.228 to 198.18.255.230 port 22 proto tcp
sudo ufw allow in on eno1 from 198.18.255.254 to 198.18.255.230 port 22 proto tcp
sudo ufw deny in on eno1

啟用 ufw 政策：
```
sudo ufw enable
```

設定防火牆規則 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

套用防火牆規則

設定防火牆規則