Avant disponibilité générale : 2026-02-26

8 Sécuriser votre réseau Besu

Le réseau est configuré pour permettre la communication peer-to-peer afin que les participants puissent se joindre facilement. Vous pouvez restreindre davantage l'accès si nécessaire.

Par défaut, le réseau expose un petit ensemble de ports qui sont utilisés pour la communication pair-à-pair Besu. Ces ports sont requis pour que les noeuds de différents clusters puissent se détecter et se connecter les uns aux autres. Les ports sont exposés à l'aide de l'équilibreur de charge en nuage. Les noeuds de travail restent dans des sous-réseaux privés. Cette configuration donne la priorité à l'intégration et à la fiabilité. Vous pouvez restreindre davantage l'accès si nécessaire en mettant à jour les règles de sécurité du réseau en nuage (par exemple, avec des listes de sécurité ou des groupes de sécurité de réseau).

  1. Identifiez l'adresse IP ou l'intervalle d'adresses IP de l'instance Besu du participant. Dans un environnement OCI, il s'agit de l'adresse IP NAT de la grappe OKE du participant.
  2. Mettez à jour vos règles de sécurité de réseau pour autoriser le trafic entrant à partir uniquement des adresses IP des participants approuvés et pour bloquer toutes les autres sources.

    Par défaut, lorsqu'un service d'équilibreur de charge est créé dans OKE, la liste de sécurité ajoute automatiquement des règles pour ouvrir les ports de noeud associés à ce service. Par conséquent, lors de la création de l'instance, la plage de ports comprise entre 30303 et 30310 est automatiquement ouverte au moyen de règles figurant dans la liste de sécurité.

    Pour un isolement maximal, l'instance fondatrice peut supprimer ces règles de la liste de sécurité. Les listes de sécurité sont appliquées au niveau du sous-réseau. Par conséquent, si une instance ou un service d'équilibreur de charge est créé dans le même sous-réseau, les règles relatives aux ports de noeud peuvent être appliquées de nouveau automatiquement. Lorsque cela se produit, vous devez à nouveau supprimer ces règles.

  3. Si vous souhaitez joindre une instance de participant au réseau fondateur, obtenez l'adresse IP NAT mentionnée à l'étape un et créez une règle de trafic entrant de groupe de sécurité de réseau qui autorise le trafic depuis l'adresse IP NAT en tant qu'adresse source vers l'adresse de participant spécifiée avec un intervalle de ports de destination compris entre 30303 et 30310.
  4. Identifiez l'équilibreur de charge dédié associé uniquement à cette instance et associez le groupe de sécurité de réseau à cet équilibreur de charge.

    Après avoir associé le groupe de sécurité de réseau à l'équilibreur de charge, seule l'instance participante explicitement autorisée peut détecter l'instance fondatrice et s'y connecter.