Informativa sulla documentazione provvisoria in attesa della messa a disposizione alla generalità dei clienti: 26-02-2026

8 Protezione della rete Besu

La rete è configurata per consentire la comunicazione peer-to-peer in modo che i partecipanti possano unirsi facilmente. Se necessario, è possibile limitare ulteriormente l'accesso.

Per impostazione predefinita, la rete espone un piccolo set di porte utilizzate per la comunicazione peer-to-peer Besu. Queste porte sono necessarie in modo che i nodi in cluster diversi possano rilevarsi e connettersi tra loro. Le porte vengono esposte utilizzando il load balancer cloud. I nodi di lavoro rimangono nelle subnet private. Questa configurazione dà la priorità all'onboarding e all'affidabilità. È possibile limitare ulteriormente l'accesso in base alle esigenze aggiornando le regole di sicurezza della rete cloud (ad esempio, con liste di sicurezza o gruppi di sicurezza di rete).

1. Identificare l'indirizzo IP o l'intervallo di indirizzi IP dell'istanza Besu del partecipante. In un ambiente OCI, questo è l'indirizzo IP NAT del cluster OKE partecipante.
2. Aggiornare le regole di sicurezza di rete per consentire il traffico in entrata solo dagli indirizzi IP dei partecipanti approvati e bloccare tutte le altre origini.

   Per impostazione predefinita, quando un servizio load balancer viene creato in OKE, la lista di sicurezza aggiunge automaticamente le regole per aprire le porte dei nodi associate a questo servizio. Pertanto, ad esempio la creazione dell'intervallo di porte da 30303 a 30310 viene aperta automaticamente mediante regole nella lista di sicurezza.

   Per il massimo isolamento, l'istanza fondatore può rimuovere queste regole dalla lista di sicurezza. Le liste di sicurezza vengono applicate a livello di subnet, pertanto se un'istanza o un servizio load balancer viene creato nella stessa subnet, le regole correlate alle porte dei nodi potrebbero essere applicate di nuovo automaticamente. Quando ciò accade, è necessario rimuovere nuovamente tali regole.

3. Se si desidera unire un'istanza partecipante alla rete del fondatore, ottenere l'indirizzo IP NAT menzionato nel passo uno e creare una regola di entrata del gruppo di sicurezza di rete che consenta il traffico dall'indirizzo IP NAT come indirizzo di origine all'indirizzo partecipante specificato con un intervallo di porte di destinazione compreso tra 30303 e 30310.
4. Identifica il load balancer dedicato associato solo a questa istanza e associa il gruppo di sicurezza di rete a tale load balancer.

   Dopo aver associato il gruppo di sicurezza di rete al load balancer, solo l'istanza di partecipazione consentita in modo esplicito può trovare e connettersi all'istanza principale.