8 Besuネットワークの保護
ネットワークは、参加者が簡単に参加できるように、ピアツーピア通信を許可するように構成されています。必要に応じて、アクセスをさらに制限できます。
デフォルトでは、ネットワークはBesuピアツーピア通信に使用されるポートの小さなセットを公開します。これらのポートは、異なるクラスタ内のノードが相互に検出および接続できるようにするために必要です。ポートは、クラウド・ロード・バランサを使用して公開されます。ワーカー・ノードはプライベート・サブネットに残ります。この構成では、オンボーディングと信頼性が優先されます。必要に応じて、クラウド・ネットワーク・セキュリティ・ルール(たとえば、セキュリティ・リストやネットワーク・セキュリティ・グループ)を更新することで、アクセスをさらに制限できます。
- 参加者のBesuインスタンスのIPアドレスまたはIPアドレス範囲を特定します。OCI環境では、これは参加側OKEクラスタのNAT IPアドレスです。
- ネットワーク・セキュリティ・ルールを更新して、承認された参加者IPアドレスのみからのインバウンド・トラフィックを許可し、他のすべてのソースをブロックします。
デフォルトでは、ロード・バランサ・サービスがOKEで作成されると、セキュリティ・リストによって、このサービスに関連付けられているノード・ポートを開くためのルールが自動的に追加されます。したがって、インスタンスの作成時に、30303から30310までのポート範囲は、セキュリティ・リストのルールによって自動的にオープンされます。
最大の分離のために、ファウンダ・インスタンスはこれらのルールをセキュリティ・リストから削除できます。セキュリティ・リストはサブネット・レベルで適用されるため、インスタンスまたはロード・バランサ・サービスが同じサブネット内に作成されると、ノード・ポートに関連するルールが自動的に再度適用される場合があります。この場合は、これらのルールを再度削除する必要があります。
- 参加者インスタンスをファウンダ・ネットワークに参加させる場合は、ステップ1で説明したNAT IPアドレスを取得し、30303から30310の範囲の宛先ポートを使用して、ソース・アドレスとしてNAT IPアドレスから指定された参加者アドレスへのトラフィックを許可するネットワーク・セキュリティ・グループ・イングレス・ルールを作成します。
- このインスタンスのみに関連付けられている専用ロード・バランサを識別し、ネットワーク・セキュリティ・グループをそのロード・バランサに関連付けます。
ネットワーク・セキュリティ・グループをロード・バランサに関連付けると、明示的に許可された参加インスタンスのみがファウンダ・インスタンスを検出して接続できます。