8 Sichern Sie Ihr Besu-Netzwerk
Das Netzwerk ist so konfiguriert, dass die Peer-to-Peer-Kommunikation ermöglicht wird, sodass die Teilnehmer problemlos teilnehmen können. Sie können den Zugriff bei Bedarf weiter einschränken.
Standardmäßig stellt das Netzwerk eine kleine Gruppe von Ports bereit, die für die Peer-to-Peer-Kommunikation von Besu verwendet werden. Diese Ports sind erforderlich, damit Knoten in verschiedenen Clustern erkannt und miteinander verbunden werden können. Ports werden mit dem Cloud-Load-Balancer bereitgestellt. Worker-Knoten bleiben in privaten Subnetzen. Diese Konfiguration priorisiert Onboarding und Zuverlässigkeit. Sie können den Zugriff nach Bedarf weiter einschränken, indem Sie die Sicherheitsregeln für Cloud-Netzwerke aktualisieren (z.B. mit Sicherheitslisten oder Netzwerksicherheitsgruppen).
- Identifizieren Sie die IP-Adresse oder den IP-Adressbereich der Besu-Instanz des Teilnehmers. In einer OCI-Umgebung ist dies die NAT-IP-Adresse des Teilnehmer-OKE-Clusters.
- Aktualisieren Sie Ihre Netzwerksicherheitsregeln, um eingehenden Traffic nur von genehmigten Teilnehmer-IP-Adressen zuzulassen und alle anderen Quellen zu blockieren.
Wenn ein Load-Balancer-Service in OKE erstellt wird, fügt die Sicherheitsliste standardmäßig Regeln hinzu, um die Knotenports zu öffnen, die mit diesem Service verknüpft sind. Daher wird bei der Instanzerstellung der Portbereich von 30303 bis 30310 automatisch durch Regeln in der Sicherheitsliste geöffnet.
Um eine maximale Isolation zu erreichen, kann die Gründerinstanz diese Regeln aus der Sicherheitsliste entfernen. Sicherheitslisten werden auf Subnetzebene angewendet. Wenn also eine Instanz oder ein Load-Balancer-Service in demselben Subnetz erstellt wird, werden die Regeln für Knotenports möglicherweise erneut automatisch angewendet. Wenn dies geschieht, müssen Sie diese Regeln erneut entfernen.
- Wenn Sie eine Teilnehmerinstanz mit dem Gründernetzwerk verbinden möchten, rufen Sie die in Schritt eins genannte NAT-IP-Adresse ab, und erstellen Sie eine Ingress-Regel für die Netzwerksicherheitsgruppe, die Traffic von der NAT-IP-Adresse als Quelladresse zu der angegebenen Teilnehmeradresse mit einem Zielportbereich von 30303 bis 30310 zulässt.
- Identifizieren Sie den dedizierten Load Balancer, der nur mit dieser Instanz verknüpft ist, und verknüpfen Sie die Netzwerksicherheitsgruppe mit diesem Load Balancer.
Nachdem Sie die Netzwerksicherheitsgruppe mit dem Load Balancer verknüpft haben, kann nur die explizit zulässige teilnehmende Instanz erkennen und eine Verbindung zur Gründerinstanz herstellen.