8 保護您的 Besu 網路
網路設定為允許點對點通訊,讓參與者可以輕鬆加入。您可以視需要進一步限制存取。
依預設,網路會公開一組用於 Besu 對等通訊的小連接埠。這些連接埠是必要的,因此不同叢集中的節點可以尋找並相互連線。使用雲端負載平衡器公開連接埠。工作節點會留在專用子網路中。此組態會優先考慮到職和可靠性。您可以視需要更新雲端網路安全規則 (例如使用安全清單或網路安全群組),進一步限制存取。
- 指定參與者的 Besu 執行處理的 IP 位址或 IP 位址範圍。在 OCI 環境中,這是參與者 OKE 叢集的 NAT IP 位址。
- 更新您的網路安全規則,只允許來自已核准參與者 IP 位址的輸入流量,以及封鎖所有其他來源。
依照預設,在 OKE 中建立負載平衡器服務時,安全清單會自動新增規則,以開啟與此服務關聯的節點連接埠。因此,在建立執行處理時,會使用安全清單中的規則自動開啟 30303 到 30310 的連接埠範圍。
為了達到最佳隔離效果,創始人執行個體可以從安全列表中移除這些規則。安全清單會在子網路層次套用,因此如果在相同的子網路中建立執行處理或負載平衡器服務,則可能會自動再次套用與節點連接埠相關的規則。發生此情況時,您必須再次移除這些規則。
- 如果您要將參與者執行處理加入創始人網路,請取得步驟 1 中提及的 NAT IP 位址,並建立網路安全群組傳入規則,允許從 NAT IP 位址作為來源位址的流量,傳送至目的地連接埠範圍從 30303 到 30310 的指定參與者位址。
- 識別只與此執行處理關聯的專用負載平衡器,然後將網路安全群組與該負載平衡器關聯。
將網路安全群組與負載平衡器建立關聯之後,只有明確允許的參與執行處理才能尋找並連線至創始執行處理。