8 保护 Besu 网络
该网络配置为允许点对点通信,以便参与者可以轻松加入。如果需要,可以进一步限制访问。
默认情况下,该网络会公开一组用于 Besu 对等通信的端口。这些端口是必需的,以便不同集群中的节点可以搜索并相互连接。端口通过云负载平衡器公开。Worker 节点保留在专用子网中。此配置优先考虑入职和可靠性。您可以通过更新云网络安全规则(例如,使用安全列表或网络安全组)进一步限制访问。
- 确定参与者的 Besu 实例的 IP 地址或 IP 地址范围。在 OCI 环境中,这是参与者 OKE 集群的 NAT IP 地址。
- 更新您的网络安全规则,以仅允许来自批准的参与者 IP 地址的入站流量,并阻止所有其他源。
默认情况下,在 OKE 中创建负载平衡器服务时,安全列表会自动添加规则以打开与此服务关联的节点端口。因此,在实例创建时,端口范围从 30303 到 30310 将通过安全列表中的规则自动打开。
为了实现最大隔离,创建者实例可以从安全列表中删除这些规则。安全列表在子网级别应用,因此,如果在同一子网中创建实例或负载平衡器服务,则可能会再次自动应用与节点端口相关的规则。发生这种情况时,必须再次删除这些规则。
- 如果要将参与者实例加入创建者网络,请获取步骤 1 中提到的 NAT IP 地址并创建网络安全组入站规则,该规则允许从 NAT IP 地址作为源地址的流量传输到目标端口范围为 30303 到 30310 的指定参与者地址。
- 确定仅与此实例关联的专用负载平衡器,并将网络安全组与该负载平衡器关联。
将网络安全组与负载平衡器关联后,只有明确允许的参与实例才能搜索并连接到创建者实例。