8 Sécurisez votre réseau Besu
Le réseau est configuré pour permettre la communication entre pairs afin que les participants puissent se joindre facilement. Vous pouvez restreindre davantage l'accès si nécessaire.
Par défaut, le réseau expose un petit ensemble de ports qui sont utilisés pour la communication entre pairs Besu. Ces ports sont requis pour que les noeuds de différents clusters puissent se repérer et se connecter les uns aux autres. Les ports sont exposés à l'aide de l'équilibreur de charge cloud. Les noeuds de processus actif restent dans des sous-réseaux privés. Cette configuration donne la priorité à l'intégration et à la fiabilité. Vous pouvez restreindre davantage l'accès selon vos besoins en mettant à jour les règles de sécurité du réseau cloud (par exemple, avec des listes de sécurité ou des groupes de sécurité réseau).
- Identifiez l'adresse IP ou la plage d'adresses IP de l'instance Besu du participant. Dans un environnement OCI, il s'agit de l'adresse IP NAT du cluster OKE participant.
- Mettez à jour vos règles de sécurité réseau pour autoriser le trafic entrant à partir des adresses IP des participants approuvées uniquement et pour bloquer toutes les autres sources.
Par défaut, lorsqu'un service d'équilibreur de charge est créé dans OKE, la liste de sécurité ajoute automatiquement des règles pour ouvrir les ports de noeud associés à ce service. Par conséquent, lors de la création de l'instance, la plage de ports comprise entre 30303 et 30310 est automatiquement ouverte au moyen de règles figurant dans la liste de sécurité.
Pour une isolation maximale, l'instance fondatrice peut enlever ces règles de la liste de sécurité. Les listes de sécurité sont appliquées au niveau du sous-réseau. Par conséquent, si une instance ou un service d'équilibreur de charge est créé dans le même sous-réseau, les règles relatives aux ports de noeud peuvent être appliquées à nouveau automatiquement. Dans ce cas, vous devez à nouveau supprimer ces règles.
- Si vous souhaitez joindre une instance de participant au réseau fondateur, obtenez l'adresse IP NAT mentionnée à la première étape et créez une règle entrante de groupe de sécurité réseau qui autorise le trafic de l'adresse IP NAT en tant qu'adresse source vers l'adresse de participant indiquée avec une plage de ports de destination comprise entre 30303 et 30310.
- Identifiez l'équilibreur de charge dédié associé uniquement à cette instance et associez le groupe de sécurité réseau à cet équilibreur de charge.
Après avoir associé le groupe de sécurité réseau à l'équilibreur de charge, seule l'instance de participation explicitement autorisée peut repérer l'instance fondatrice et s'y connecter.