8 Protección de la red Besu
La red está configurada para permitir la comunicación entre pares para que los participantes puedan unirse fácilmente. Puede restringir aún más el acceso si es necesario.
De manera predeterminada, la red expone un pequeño conjunto de puertos que se utilizan para la comunicación entre pares de Besu. Estos puertos son necesarios para que los nodos de diferentes clusters puedan detectarse y conectarse entre sí. Los puertos se exponen mediante el equilibrador de carga en la nube. Los nodos de trabajador permanecen en subredes privadas. Esta configuración prioriza la vinculación y la fiabilidad. Puede restringir aún más el acceso según sea necesario mediante la actualización de reglas de seguridad de red en la nube (por ejemplo, con listas de seguridad o grupos de seguridad de red).
- Identifique la dirección IP o el rango de direcciones IP de la instancia de Besu del participante. En un entorno OCI, esta es la dirección IP de NAT del cluster de OKE del participante.
- Actualice las reglas de seguridad de red para permitir el tráfico entrante solo desde direcciones IP de participantes aprobadas y para bloquear el resto de orígenes.
Por defecto, cuando se crea un servicio de equilibrador de carga en OKE, la lista de seguridad agrega automáticamente reglas para abrir los puertos de nodo asociados a este servicio. Por lo tanto, en la creación de instancias, el rango de puertos de 30303 a 30310 se abre automáticamente mediante reglas en la lista de seguridad.
Para obtener el máximo aislamiento, la instancia fundadora puede eliminar estas reglas de la lista de seguridad. Las listas de seguridad se aplican en el nivel de subred, por lo que si se crea una instancia o un servicio de equilibrador de carga en la misma subred, las reglas relacionadas con los puertos de nodo se pueden volver a aplicar automáticamente. Cuando esto suceda, debe eliminar esas reglas de nuevo.
- Si desea unir una instancia de participante a la red fundadora, obtenga la dirección IP NAT mencionada en el paso uno y cree una regla de entrada de grupo de seguridad de red que permita el tráfico de la dirección IP NAT como dirección de origen a la dirección de participante especificada con un rango de puerto de destino de 30303 a 30310.
- Identifique el equilibrador de carga dedicado que solo está asociado a esta instancia y asocie el grupo de seguridad de red a ese equilibrador de carga.
Después de asociar el grupo de seguridad de red al equilibrador de carga, solo la instancia de participación explícitamente permitida puede detectar y conectarse a la instancia fundadora.