8 Proteger a Rede Besu
A rede é configurada para permitir comunicação peer-to-peer para que os participantes possam se juntar facilmente. Você pode restringir ainda mais o acesso, se necessário.
Por padrão, a rede expõe um pequeno conjunto de portas que são usadas para comunicação ponto a ponto do Besu. Essas portas são necessárias para que os nós em diferentes clusters possam descobrir e se conectar uns aos outros. As portas são expostas usando o balanceador de carga na nuvem. Os nós de trabalho permanecem em sub-redes privadas. Essa configuração prioriza a integração e a confiabilidade. Você pode restringir ainda mais o acesso conforme necessário atualizando as regras de segurança de rede na nuvem (por exemplo, com listas de segurança ou grupos de segurança de rede).
- Identifique o endereço IP ou a faixa de endereços IP da instância do Besu do participante. Em um ambiente do OCI, esse é o endereço IP NAT do cluster do OKE do participante.
- Atualize suas regras de segurança de rede para permitir tráfego de entrada somente de endereços IP de participantes aprovados e para bloquear todas as outras fontes.
Por padrão, quando um serviço do balanceador de carga é criado no OKE, a lista de segurança adiciona automaticamente regras para abrir as portas de nó associadas a esse serviço. Portanto, na criação da instância, a faixa de portas de 30303 a 30310 é aberta automaticamente por meio de regras na lista de segurança.
Para isolamento máximo, a instância do fundador pode remover essas regras da lista de segurança. As listas de segurança são aplicadas no nível da sub-rede; portanto, se uma instância ou um serviço do balanceador de carga for criado na mesma sub-rede, as regras relacionadas às portas do nó poderão ser aplicadas novamente automaticamente. Quando isso acontecer, você deverá remover essas regras novamente.
- Se você quiser unir uma instância do participante à rede fundadora, obtenha o endereço IP NAT mencionado na etapa um e crie uma regra de entrada do grupo de segurança de rede que permita o tráfego do endereço IP NAT como o endereço de origem para o endereço do participante especificado com uma faixa de portas de destino de 30303 a 30310.
- Identifique o balanceador de carga dedicado associado somente a esta instância e associe o grupo de segurança de rede a esse balanceador de carga.
Depois de associar o grupo de segurança de rede ao balanceador de carga, somente a instância de participação explicitamente permitida poderá descobrir e estabelecer conexão com a instância do fundador.