Ce guide, bien que centré sur la configuration Ethernet et pare-feu, fournit également des informations essentielles sur les services cloud utilisés par Cloud Connector. Ces informations restent pertinentes même dans les environnements utilisant des connexions cellulaires ou des pare-feu aux paramètres minimaux et peuvent contribuer à résoudre les problèmes courants liés à l'informatique et à la sécurité.

Pour maintenir une configuration sécurisée, il est recommandé de contrôler le trafic entre le Cloud Connector et Internet à l'aide d'un pare-feu.

Pour un fonctionnement optimal, le connecteur cloud requiert l'activation du protocole HTTPS pour le trafic entrant et sortant. Ceci permet une transmission sécurisée des données entre le connecteur cloud et le cloud.

Pour les modèles de 2e génération, le serveur DHCP local gère le DNS et le NTP. Si le réseau ne diffuse pas de serveur NTP, les serveurs de temps externes suivants sont utilisés : time1.google.com, time2.google.com, time3.google.com et time4.google.com (port UDP 123).

Les points de terminaison suivants doivent être accessibles via HTTPS (TCP 443) :
• ccon-manager.prod.ncco-cloud.com
• est.prod.ncco-cloud.com
• mender.prod.ncco-cloud.com
• mender-artifacts.prod.ncco-cloud.com

Cela s'applique à :
• Cloud Connector US 4G
• Cloud Connector EU 4G
• Cloud Connector UE 3G/2G
• Cloud Connector EU (Ethernet uniquement)
• Cloud Connector US (Ethernet uniquement)
Ces modèles utilisent également le serveur DHCP local pour le DNS et le NTP. En l'absence de serveur NTP, ils utilisent par défaut : 0.resinio.pool.ntp.org, 1.resinio.pool.ntp.org, 2.resinio.pool.ntp.org, 3.resinio.pool.ntp.org (port UDP 123).

• sds-receiver-grpc.prod.ncco-cloud.com
• ccon-manager.prod.ncco-cloud.com
• est.prod.ncco-cloud.com
• vpn.balena-cloud.com
• api.balena-cloud.com
• delta.balena-cloud.com
• delta-data.balena-cloud.com
• registry2.balena-cloud.com
• registry-data.balena-cloud.com
• registry.hub.docker.com
• production.cloudflare.docker.com
• registre.docker.io
• auth.docker.io
• 0.resinio.pool.ntp.org – NTP
• 1.resinio.pool.ntp.org – NTP
• 2.resinio.pool.ntp.org – NTP
• 3.resinio.pool.ntp.org – NTP

• *.disruptive-technologies.com (TCP 443)
• *.pool.ntp.org (NTP)
• *.balena-cloud.com (TCP 443)
• *.docker.com (TCP 443)
• *.docker.io (TCP 443)

Mises à jour de sécurité continues
Les connecteurs cloud reçoivent régulièrement des mises à jour de sécurité à distance afin de corriger les vulnérabilités et de maintenir un environnement d'exploitation sécurisé.

Sécurité multicouche
Nous recommandons une approche de sécurité multicouche. Même avec les mises à jour automatiques, des précautions supplémentaires telles que le contrôle d'accès au pare-feu et la segmentation du réseau renforcent la protection.

Placement de réseau Zero Trust
Le Cloud Connector n'établit aucune communication avec les périphériques ou services du réseau local. Nous recommandons de le placer dans un VLAN ou un segment réseau distinct, en le traitant comme un périphérique invité. Tout le trafic doit être soumis aux mêmes règles de pare-feu que tout autre périphérique externe.

• Accès SSH :
  Le Cloud Connector (2e génération) écoute sur le port TCP 22 pour les diagnostics internes. Il n'est pas nécessaire d'ouvrir ce port aux réseaux externes.
• Protocoles réseau :
  Prend en charge IPv4, IPv6 et DHCP.
• Identification de l'adresse MAC :
  L'adresse MAC peut être localisée via le tableau de bord Cloud Connector dans la plateforme NCCO Task Manager ou récupérée via l'API via l'événement d'état Ethernet.