8 Besu 네트워크 보안
참가자가 쉽게 참여할 수 있도록 피어 투 피어 통신을 허용하도록 네트워크가 구성됩니다. 필요한 경우 액세스를 더 제한할 수 있습니다.
기본적으로 네트워크는 Besu 피어 투 피어 통신에 사용되는 작은 포트 세트를 노출합니다. 서로 다른 클러스터의 노드가 서로 검색하고 연결할 수 있도록 이러한 포트가 필요합니다. 포트는 클라우드 로드 밸런서를 사용하여 노출됩니다. 워커 노드는 전용 서브넷에 남아 있습니다. 이 구성은 온보딩 및 신뢰성의 우선순위를 지정합니다. 클라우드 네트워크 보안 규칙(예: 보안 목록 또는 네트워크 보안 그룹)을 업데이트하여 필요에 따라 액세스를 추가로 제한할 수 있습니다.
- 참가자의 Besu 인스턴스의 IP 주소 또는 IP 주소 범위를 식별합니다. OCI 환경에서는 참가자 OKE 클러스터의 NAT IP 주소입니다.
- 승인된 가입자 IP 주소의 인바운드 트래픽만 허용하고 다른 모든 소스를 차단하도록 네트워크 보안 규칙을 업데이트합니다.
기본적으로 로드 밸런서 서비스가 OKE에서 생성되면 보안 목록은 이 서비스와 연관된 노드 포트를 여는 규칙을 자동으로 추가합니다. 따라서 인스턴스 생성 시 보안 목록의 규칙을 통해 30303에서 30310까지의 포트 범위가 자동으로 열립니다.
최대 격리를 위해 설립자 인스턴스는 보안 목록에서 이러한 규칙을 제거할 수 있습니다. 보안 목록은 서브넷 레벨에서 적용되므로 인스턴스 또는 로드 밸런서 서비스가 동일한 서브넷에 생성되는 경우 노드 포트와 관련된 규칙이 자동으로 다시 적용될 수 있습니다. 이 경우 해당 규칙을 다시 제거해야 합니다.
- 참가자 인스턴스를 설립자 네트워크에 연결하려면 1단계에서 언급한 NAT IP 주소를 가져와서 NAT IP 주소의 트래픽을 소스 주소로, 대상 포트 범위가 30303~30310인 지정된 참가자 주소로 허용하는 네트워크 보안 그룹 수신 규칙을 만듭니다.
- 이 인스턴스와만 연관된 전용 로드 밸런서를 식별하고 네트워크 보안 그룹을 해당 로드 밸런서와 연관시킵니다.
네트워크 보안 그룹을 로드 밸런서와 연결한 후에는 명시적으로 허용된 참여 인스턴스만 설립자 인스턴스를 검색하고 연결할 수 있습니다.