Red Hat Summit3.7. Conditions préalables du pare-feu AWS
Lorsque vous utilisez un pare-feu pour contrôler le trafic de sortie d’OpenShift Dedicated, vous devez configurer votre pare-feu pour permettre l’accès à certaines combinaisons de domaines et de ports ci-dessous. Le service OpenShift Dedicated nécessite cet accès pour fournir un service OpenShift entièrement géré.
Conditions préalables
- Dans votre AWS Virtual Private Cloud (VPC), vous avez configuré un point de terminaison Amazon S3 Gateway. Ce point de terminaison est nécessaire pour compléter les demandes du cluster vers le service Amazon S3.
Procédure
Autoriser les URL suivantes qui sont utilisées pour installer et télécharger des paquets et des outils:
Expand Domaine Le port Fonction Greffe.redhat.io443
Fournit des images de conteneur de base.
à propos de Quay.io443
Fournit des images de conteneur de base.
cdn01.quay.io443
Fournit des images de conteneur de base.
cdn02.quay.io443
Fournit des images de conteneur de base.
cdn03.quay.io443
Fournit des images de conteneur de base.
cdn04.quay.io443
Fournit des images de conteneur de base.
cdn05.quay.io443
Fournit des images de conteneur de base.
cdn06.quay.io443
Fournit des images de conteneur de base.
à propos de SSO.redhat.com443
C’est nécessaire. Le site https://console.redhat.com/openshift utilise l’authentification de sso.redhat.com pour télécharger le secret de traction et utiliser les solutions Red Hat SaaS pour faciliter la surveillance de vos abonnements, de l’inventaire des clusters, des rapports de rétrofacturation, etc.
bienvenue sur Quay-registry.s3.amazonaws.com443
Fournit des images de conteneur de base.
ajouter au panier Quayio-production-s3.s3.amazonaws.com443
Fournit des images de conteneur de base.
Registry.access.redhat.com443
Héberge toutes les images du conteneur qui sont stockées sur le catalogue Ecosytem Red Hat. De plus, le registre donne accès à l’outil odo CLI qui aide les développeurs à s’appuyer sur OpenShift et Kubernetes.
Access.redhat.com443
C’est nécessaire. Héberge un magasin de signature dont un client conteneur a besoin pour vérifier les images lors de leur retrait de register.access.redhat.com.
Registry.connect.redhat.com443
Requis pour toutes les images tierces et les opérateurs certifiés.
console.redhat.com443
C’est nécessaire. Autorise les interactions entre le cluster et OpenShift Console Manager pour activer les fonctionnalités, telles que la planification des mises à niveau.
à propos de SSO.redhat.com443
Le site https://console.redhat.com/openshift utilise l’authentification de sso.redhat.com.
le site pull.q1w2.quay.rhcloud.com443
Fournit des images de conteneur de base en tant que repli lorsque quay.io n’est pas disponible.
catalogue.redhat.com443
Les sites Registry.access.redhat.com et https://registry.redhat.io redirigent vers catalog.redhat.com.
le site OIDC.op1.openshiftapps.com443
Utilisé par ROSA pour l’implémentation STS avec la configuration OIDC gérée.
Autoriser les URL de télémétrie suivantes:
Expand Domaine Le port Fonction CERT-api.access.redhat.com443
Requis pour la télémétrie.
API.access.redhat.com443
Requis pour la télémétrie.
infogw.api.openshift.com443
Requis pour la télémétrie.
console.redhat.com443
Requis pour la télémétrie et Red Hat Insights.
le site Observatorium-mst.api.openshift.com443
Requis pour la télémétrie spécifique à OpenShift gérée.
bienvenue sur Observatorium.api.openshift.com443
Requis pour la télémétrie spécifique à OpenShift gérée.
Les clusters gérés nécessitent d’activer la télémétrie pour permettre à Red Hat de réagir plus rapidement aux problèmes, de mieux soutenir les clients et de mieux comprendre l’impact des mises à niveau des produits sur les clusters. De plus amples renseignements sur la façon dont les données de surveillance de la santé à distance sont utilisées par Red Hat, voir À propos de la surveillance de la santé à distance dans la section Ressources supplémentaires.
Autoriser les URls d’API Amazon Web Services (AWS) suivantes:
Expand Domaine Le port Fonction .amazonaws.com443
Besoin d’accéder aux services et aux ressources AWS.
Alternativement, si vous choisissez de ne pas utiliser de wildcard pour les API Amazon Web Services (AWS), vous devez autoriser la liste des URL suivantes:
Expand Domaine Le port Fonction ec2.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
événements.<aws_region>.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
IAM.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
itinéraire53.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
à propos de STS.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS, pour les clusters configurés pour utiliser le point de terminaison global d’AWS STS.
le site STS.<aws_region>.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS, pour les clusters configurés pour utiliser des points de terminaison régionalisés pour AWS STS. Consultez les points de terminaison régionalisés AWS STS pour plus d’informations.
étiquettes.us-east-1.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS. Ce point de terminaison est toujours nous-Est-1, quelle que soit la région dans laquelle le cluster est déployé.
ec2.<aws_region>.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
élastique d’équilibrage.<aws_region>.amazonaws.com443
Il est utilisé pour installer et gérer des clusters dans un environnement AWS.
étiquettes.<aws_region>.amazonaws.com443
Autorise l’attribution de métadonnées sur les ressources AWS sous forme de balises.
Autoriser les URL OpenShift suivantes:
Expand Domaine Le port Fonction le site Mirror.openshift.com443
Il est utilisé pour accéder au contenu et aux images d’installation en miroir. Ce site est également une source de signatures d’images de libération.
API.openshift.com443
Il est utilisé pour vérifier si des mises à jour sont disponibles pour le cluster.
Autoriser l’ingénierie de la fiabilité du site (SRE) et les URL de gestion suivantes:
Expand Domaine Le port Fonction API.pagerduty.com443
Ce service d’alerte est utilisé par le gestionnaire d’alertes inclus pour envoyer des alertes notifiant Red Hat SRE d’un événement pour agir.
événements.pagerduty.com443
Ce service d’alerte est utilisé par le gestionnaire d’alertes inclus pour envoyer des alertes notifiant Red Hat SRE d’un événement pour agir.
API.deadmanssnitch.com443
Le service d’alerte utilisé par OpenShift Dedicated pour envoyer des pings périodiques indiquant si le cluster est disponible et en cours d’exécution.
à propos de nosnch.in443
Le service d’alerte utilisé par OpenShift Dedicated pour envoyer des pings périodiques indiquant si le cluster est disponible et en cours d’exécution.
HTTP-inputs-osdsecuritylogs.splunkcloud.com443
C’est nécessaire. Utilisé par le splunk-forwarder-operator comme point de terminaison de journalisation à utiliser par Red Hat SRE pour l’alerte log-based.
le site SFTP.access.redhat.com (recommandé)
22
Le serveur SFTP utilisé par l’opérateur must-collectther pour télécharger des journaux de diagnostic pour aider à résoudre les problèmes avec le cluster.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}