Sebbene questa guida si concentri sulla configurazione di Ethernet e firewall, include anche dettagli chiave sui servizi cloud utilizzati da Cloud Connector. Queste informazioni sono rilevanti anche in ambienti che utilizzano connessioni cellulari o controlli firewall minimi e possono aiutare a risolvere i problemi IT e di sicurezza più comuni.

Per mantenere una configurazione sicura, si consiglia di controllare il traffico tra Cloud Connector e Internet utilizzando un firewall.

Per un corretto funzionamento, Cloud Connector richiede che la comunicazione HTTPS sia abilitata sia per il traffico in entrata che per quello in uscita. Ciò consente una trasmissione sicura dei dati tra Cloud Connector e il cloud.

Per i modelli di seconda generazione, il server DHCP locale gestisce DNS e NTP. Se la rete non pubblicizza un server NTP, vengono utilizzati i seguenti time server esterni: time1.google.com, time2.google.com, time3.google.com e time4.google.com (porta UDP 123).

I seguenti endpoint devono essere accessibili tramite HTTPS (TCP 443):
• ccon-manager.prod.ncco-cloud.com
• est.prod.ncco-cloud.com
• mender.prod.ncco-cloud.com
• mender-artifacts.prod.ncco-cloud.com

Ciò si applica a:
• Connettore Cloud US 4G
• Connettore Cloud EU 4G
• Connettore Cloud EU 3G/2G
• Cloud Connector EU (solo Ethernet)
• Cloud Connector US (solo Ethernet)
Questi modelli utilizzano anche il server DHCP locale per DNS e NTP. Se non è presente alcun server NTP, vengono impostati di default su: 0.resinio.pool.ntp.org, 1.resinio.pool.ntp.org, 2.resinio.pool.ntp.org, 3.resinio.pool.ntp.org (porta UDP 123).

• sds-receiver-grpc.prod.ncco-cloud.com
• ccon-manager.prod.ncco-cloud.com
• est.prod.ncco-cloud.com
• vpn.balena-cloud.com
• api.balena-cloud.com
• delta.balena-cloud.com
• delta-data.balena-cloud.com
• registry2.balena-cloud.com
• registry-data.balena-cloud.com
• registry.hub.docker.com
• produzione.cloudflare.docker.com
• registro.docker.io
• auth.docker.io
• 0.resinio.pool.ntp.org – NTP
• 1.resinio.pool.ntp.org – NTP
• 2.resinio.pool.ntp.org – NTP
• 3.resinio.pool.ntp.org – NTP

• *.disruptive-technologies.com (TCP 443)
• *.pool.ntp.org (NTP)
• *.balena-cloud.com (TCP 443)
• *.docker.com (TCP 443)
• *.docker.io (TCP 443)

Aggiornamenti di sicurezza continui
I Cloud Connector ricevono regolarmente aggiornamenti di sicurezza over-the-air per risolvere le vulnerabilità e mantenere un ambiente operativo sicuro.

Sicurezza a strati
Consigliamo di adottare un approccio di sicurezza a più livelli. Anche con gli aggiornamenti automatici, precauzioni aggiuntive come l'accesso controllato al firewall e la segmentazione della rete migliorano ulteriormente la protezione.

Posizionamento della rete Zero-Trust
Cloud Connector non avvia la comunicazione con dispositivi o servizi sulla rete locale. Si consiglia di inserirlo in una VLAN o in un segmento di rete separato, trattandolo come dispositivo guest. Tutto il traffico deve passare attraverso le stesse policy firewall di qualsiasi altro dispositivo esterno.

• Accesso SSH :
  Cloud Connector (2a generazione) è in ascolto sulla porta TCP 22 per la diagnostica interna. Questa porta non deve essere aperta alle reti esterne.
• Protocolli di rete :
  Supporta IPv4, IPv6 e DHCP.
• Identificazione dell'indirizzo MAC :
  L'indirizzo MAC può essere individuato tramite la dashboard di Cloud Connector nella piattaforma NCCO Task Manager oppure recuperato tramite l'API tramite l'evento di stato Ethernet.