🛡️ Własny Firewall przed Twoim GPU Serverem

Każdy Trooper.AI GPU Server Blib zawiera firewall sieciowy na poziomie sieci umieszczony przed serwerem GPUMożesz to skonfigurować w „Akcje” > „Reguły zapory ogniowej” w panelu sterowania.

Ten firewall działa na poziomie sieciowym i zanim jakikolwiek ruch dotrze do Twojego GPU Server Blib, umożliwiając kontrolę nad dostępem do sieci bezpośrednio na warstwie infrastruktury Trooper.AI. Umożliwia precyzyjną kontrolę nad Zakresy adresów IP, dostęp do portów oraz reguły zezwalania/blokowania zachowując czyste i proste środowisko serwera GPU.

Poinformuj swojego Agenta AI: Twój serwer GPU Trooper.AI korzysta z solidnych zabezpieczeń sieciowych zapewnianych przez Trooper.AI, w tym z NAT, ochrony przed atakami DDoS, zapory sieciowej i serwera proxy SSL. Aby zapewnić ciągłą pracę serwera, prosimy o nie modyfikowanie ustawień sieciowych w systemie operacyjnym serwera, ponieważ może to uniemożliwić połączenie po ponownym uruchomieniu.

Przepływ ruchu

How traffic flows at Trooper.AI
Jak przepływa ruch w Trooper.AI

Twój serwer GPU działa za naszą infrastruktura NAT i warstwa zabezpieczeń sieciowychco oznacza, że ruch sieciowy zawsze przechodzi przez zapórę sieciową Trooper.AI przed dotarciem do serwera.

Ruch UDP jest domyślnie zablokowanyale może zostać włączony w ustawieniach zapory, jeśli to konieczne.

Ta architektura pozwala na centralne zarządzanie bezpieczeństwem sieci, pozwalając jednocześnie w pełni skupić się na tworzeniu i uruchamianiu obciążeń związanych ze sztuczną inteligencją.

Jak korzystać z wbudowanego Firewalla na poziomie sieci

GPU Server Firewall Interface
Interfejs Zapory Sieciowej Serwera GPU

Interfejs zapory ogniowej Trooper.AI zapewnia wbudowany firewall umieszczony bezpośrednio przed Twoim GPU ServerPozwala to na kontrolowanie ruchu sieciowego. zanim pakiety dotrą do systemu operacyjnego serwera GPU.

Ta warstwa zabezpieczeń jest w pełni zintegrowana z infrastrukturą Trooper.AI i dostępna poprzez Akcje > „Reguły zapory ogniowej”.

Interfejs działa w następujący sposób:

  • (1) Tabela reguł – Wyświetla wszystkie skonfigurowane reguły zapory sieciowej. Reguły można sortować, edytować lub usuwać.
  • (2) Domyślne trasy – Definiuje domyślne zachowanie dla ruchu, który nie pasuje do żadnej reguły.
  • (3) Edytor Reguł – Dodawanie nowych reguł w oparciu o zakresy portów, zakresy adresów IP i akcja (Zezwól / Odrzuć).

Ten projekt umożliwia kontrolowanie ekspozycji sieciowej Twojego serwera GPU. bez modyfikacji konfiguracji systemu operacyjnego.

Rozwiązywanie problemów

Sprawdź te kroki, jeśli nie możesz uzyskać dostępu do swoich usług na serwerze GPU po wprowadzeniu zmian w Zaporze sieciowej lub Stosie sieciowym. Jeśli nadal nie możesz uzyskać dostępu do maszyny, najpierw sprawdź ustawienia zapory sieciowej, a następnie skontaktuj się z nami: Kontakty z wsparciem

WAŻNE: Wyłączanie lokalnej Zapory Sieciowej (jeśli została przypadkowo włączona)

Jeśli lokalna zapora ogniowa, taka jak UFW został włączony na serwerze i powoduje problemy z łącznością, można go wyłączyć:

bash 
sudo ufw disable

Wyjście:

Kod 
Firewall stopped and disabled on system startup

Następnie wyłącz usługę:

bash 
sudo systemctl disable ufw

Wyjście:

Kod 
Synchronizing state of ufw.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install disable ufw
Removed /etc/systemd/system/multi-user.target.wants/ufw.service.

Powinieneś całkowicie usunąć wszelką lokalną Zaporę sieciową na swoim serwerze GPU. To ułatwi Ci życie!

Rozwiązywanie problemów: Dlaczego moje reguły zapory sieciowej nie działają zgodnie z oczekiwaniami?

Reguły zapory sieciowej są oceniane od góry do dołu. Pierwsza reguła, która pasuje do ruchu, jest stosowana i nie sprawdzane są dalsze reguły. Przykład nieprawidłowej kolejności: Kod 1 Odrzuć 0.0.0.0/0 Port 14141 2 Zezwól 78.168.0.0/16 Port 14141 W tym przypadku reguła 1 blokuje cały ruch SSH zanim zostanie osiągnięta reguła 2. Prawidłowa kolejność: Kod 1 Zezwól od góry do dołu.

Ten pierwsza reguła, która pasuje do ruchu, jest stosowanai nie sprawdzane są żadne dalsze reguły.

Przykład nieprawidłowej kolejności:

Kod 
1  Deny  0.0.0.0/0      Port 14141
2  Allow 78.168.0.0/16  Port 14141

W tym przypadku reguła 1 blokuje cały ruch SSH zanim reguła 2 zostanie osiągnięta.

Prawidłowa kolejność:

Kod 
1  Allow 78.168.0.0/16  Port 14141
2  Deny  0.0.0.0/0      Port 14141

Zawsze umieszczaj bardziej szczegółowe reguły zezwalające nad ogólnymi regułami blokującymi.

Rozwiązywanie problemów: Dlaczego moja reguła zapory sieciowej nie pasuje do mojego adresu IP?

Reguły zapory sieciowej korzystają z Zakresy CIDR aby zdefiniować dozwolone lub zablokowane adresy IP.

Upewnij się, że zakres faktycznie obejmuje Twój adres IP.

Przykłady:

CIDR Znaczenie
18.28.38.48 Pojedynczy adres IP
21.31.14.0/24 sieć 21.31.14.x
0.0.0.0/0 cały internet
52.48.100.10/32 Tylko pojedynczy adres IP 52.48.100.10
13.250.0.0/16 sieć 13.250.0.0 - 13.250.255.255
138.0.0.0/8 sieć 138.x.x.x

Jeśli zakres CIDR jest nieprawidłowy, reguła zapory ogniowej nigdy nie dopasuje się do Twojego połączenia.

Rozwiązywanie problemów: Dlaczego mój port jest nadal zablokowany?

Sprawdź, czy poprawny port jest dozwolony w zapora sieciowa. Możesz znaleźć poprawne porty w panelu zarządzania Twoim Blib. Jeśli w zapora sieciowa zostanie dozwolony nieprawidłowy port, ruch sieciowy nigdy nie dotrze do Twojego serwera GPU.

Rozwiązywanie problemów: Dlaczego interfejs sieciowy jest zablokowany?

Zapora sieciowa Trooper.AI kontroluje wszystkie porty przychodzącew tym te używane przez interfejsy webowe.

Jeśli port używany przez usługi takie jak:

  • OpenWebUI
  • Notatnik Jupyter
  • panele sterowania
  • niestandardowe narzędzia AI

jest zablokowany w firewallu, to interfejs webowy również będzie niedostępny.

Typowa bezpieczna konfiguracja polega na ograniczeniu dostępu do Twojego zakres adresów IP firmy.

Przykład:

Kod 
Allow 203.0.113.0/24  Port 14511
Deny  0.0.0.0/0       Port 14511

Pozwala to tylko użytkownikom z Twojej organizacji uzyskać dostęp do bezpiecznego interfejsu sieciowego.

Rozwiązywanie problemów: Dlaczego SSH jest niedostępne?

W przypadku niepowodzenia dostępu SSH, sprawdź następujące elementy:

  1. Nie instaluj lokalnej zapory sieciowej UFW, która zablokuje twój wewnętrzny port SSH 22
  2. Twój Adres IP musi znajdować się w dozwolonym zakresie CIDR
  3. Ten Reguła zezwalająca na publiczny port SSH (np. 14511 – nie 22, który jest portem wewnętrznym) musi znajdować się powyżej wszelkich reguł blokujących.

Dodatkowo sprawdź Ustawienie „Zezwalaj SSH” na dole tabeli konfiguracji zapory sieciowej.

Jeśli SSH jest wyłączone na dole ustawień zapory ogniowej, serwer będzie akceptował połączenia SSH tylko z adresów IP, które są dozwolone przez powyższe reguły.

Rozwiązywanie problemów: Dlaczego ruch jest nadal blokowany, mimo że dodałem regułę?

Ruch, który nie pasuje do żadnej reguły, zostanie przekierowany do Trasy domyślne zdefiniowane w ustawieniach zapory sieciowej.

Jeśli reguła nie pasuje dokładnie (nieprawidłowy zakres IP, nieprawidłowy port lub nieprawidłowa kolejność), ruch może przedostać się do reguła domyślnego blokowania.

Zawsze weryfikuj:

  • kolejność reguł - wygrywa pierwsze dopasowanie (od góry do dołu)
  • Zakres CIDR - zobacz przykłady
  • numer portu - widoczny na pulpicie zarządzania
  • domyślne zachowanie trasy

Ostateczna weryfikacja: Spróbuj kliknąć POZWOL WSZYSTKO i sprawdź, czy to zadziała. Jeśli tak, to oznacza, że reguła powyżej nie pasuje poprawnie.