2.7. Conditions préalables du pare-feu GCP
Lorsque vous utilisez un pare-feu pour contrôler le trafic de sortie d’OpenShift Dedicated sur Google Cloud Platform (GCP), vous devez configurer votre pare-feu pour permettre l’accès à certains domaines et combinaisons de ports énumérés dans les tableaux ci-dessous. Le service OpenShift Dedicated nécessite cet accès pour fournir un service OpenShift entièrement géré.
Les clusters de Google Cloud Platform (GCP) déployés avec Private Service Connect peuvent utiliser un pare-feu pour contrôler le trafic de sortie.
Procédure
Ajoutez les URL suivantes qui sont utilisées pour installer et télécharger des paquets et des outils à une liste d’autorisations:
Expand Domaine Le port Fonction Greffe.redhat.io
443
Fournit des images de conteneur de base.
à propos de Quay.io
443
Fournit des images de conteneur de base.
cdn01.quay.io
cdn02.quay.io
cdn03.quay.io
cdn04.quay.io
cdn05.quay.io
cdn06.quay.io
443
Fournit des images de conteneur de base.
à propos de SSO.redhat.com
443
C’est nécessaire. Le site https://console.redhat.com/openshift utilise l’authentification de sso.redhat.com pour télécharger le secret de traction et utiliser les solutions Red Hat SaaS pour faciliter la surveillance de vos abonnements, de l’inventaire des clusters, des rapports de rétrofacturation, etc.
ajouter au panier Quayio-production-s3.s3.amazonaws.com
443
Fournit des images de conteneur de base.
le site pull.q1w2.quay.rhcloud.com
443
Fournit des images de conteneur de base.
Registry.access.redhat.com
443
Héberge toutes les images du conteneur qui sont stockées sur le catalogue Ecosytem Red Hat. De plus, le registre donne accès à l’outil odo CLI qui aide les développeurs à s’appuyer sur OpenShift et Kubernetes.
Registry.connect.redhat.com
443
Requis pour toutes les images tierces et les opérateurs certifiés.
console.redhat.com
443
C’est nécessaire. Autorise les interactions entre le cluster et Red Hat OpenShift Cluster Manager pour activer les fonctionnalités, telles que la planification des mises à niveau.
à propos de SSO.redhat.com
443
Le site https://console.redhat.com/openshift utilise l’authentification de sso.redhat.com.
catalogue.redhat.com
443
Les sites Registry.access.redhat.com et https://registry.redhat.io redirigent vers catalog.redhat.com.
Ajoutez les URL de télémétrie suivantes à une liste d’autorisations:
Expand Domaine Le port Fonction CERT-api.access.redhat.com
443
Requis pour la télémétrie.
API.access.redhat.com
443
Requis pour la télémétrie.
infogw.api.openshift.com
443
Requis pour la télémétrie.
console.redhat.com
443
Requis pour la télémétrie et Red Hat Insights.
le site Observatorium-mst.api.openshift.com
443
Requis pour la télémétrie spécifique à OpenShift gérée.
bienvenue sur Observatorium.api.openshift.com
443
Requis pour la télémétrie spécifique à OpenShift gérée.
NoteLes clusters gérés nécessitent l’activation de la télémétrie pour permettre à Red Hat de réagir plus rapidement aux problèmes, de mieux soutenir les clients et de mieux comprendre l’impact des mises à jour des produits sur les clusters. De plus amples renseignements sur la façon dont les données de surveillance de la santé à distance sont utilisées par Red Hat, voir À propos de la surveillance de la santé à distance dans la section Ressources supplémentaires.
Ajoutez les URL OpenShift dédiées suivantes à une liste d’autorisations:
Expand Domaine Le port Fonction le site Mirror.openshift.com
443
Il est utilisé pour accéder au contenu et aux images d’installation en miroir. Ce site est également une source de signatures d’images de libération.
API.openshift.com
443
Il est utilisé pour vérifier si des mises à jour sont disponibles pour le cluster.
Ajoutez les URL d’ingénierie de fiabilité (SRE) et de gestion suivantes à une liste d’autorisations:
Expand Domaine Le port Fonction API.pagerduty.com
443
Ce service d’alerte est utilisé par le gestionnaire d’alertes inclus pour envoyer des alertes notifiant Red Hat SRE d’un événement pour agir.
événements.pagerduty.com
443
Ce service d’alerte est utilisé par le gestionnaire d’alertes inclus pour envoyer des alertes notifiant Red Hat SRE d’un événement pour agir.
API.deadmanssnitch.com
443
Le service d’alerte utilisé par OpenShift Dedicated pour envoyer des pings périodiques indiquant si le cluster est disponible et en cours d’exécution.
à propos de nosnch.in
443
Le service d’alerte utilisé par OpenShift Dedicated pour envoyer des pings périodiques indiquant si le cluster est disponible et en cours d’exécution.
HTTP-inputs-osdsecuritylogs.splunkcloud.com
443
Utilisé par le splunk-forwarder-operator comme point de terminaison de journalisation à utiliser par Red Hat SRE pour l’alerte log-based.
le site SFTP.access.redhat.com (recommandé)
22
Le serveur SFTP utilisé par l’opérateur must-collectther pour télécharger des journaux de diagnostic pour aider à résoudre les problèmes avec le cluster.
Ajoutez les URL suivantes pour les points de terminaison de l’API Google Cloud Platform (GCP) à une liste d’autorisations:
Expand Domaine Le port Fonction comptes.google.com
443
Il est utilisé pour accéder à votre compte GCP.
*.googleapis.com
A) OU
à propos de Storage.googleapis.com
IAM.googleapis.com
à propos de Serviceusage.googleapis.com
cloudresourcemanager.googleapis.com
calcul.googleapis.com
le site Oauth2.googleapis.com
DNS.googleapis.com
iamcredentials.googleapis.com
443
Il est utilisé pour accéder aux services et aux ressources du GCP. Examinez Cloud Endpoints dans la documentation GCP pour déterminer les points de terminaison pour autoriser vos API.
NoteLes API Google requises peuvent être exposées à l’aide de l’IP virtuel privé Google Access (VIP), à l’exception de l’API d’utilisation du service (serviceusage.googleapis.com). Afin de contourner cela, vous devez exposer l’API d’utilisation du service en utilisant le VIP privé Google Access privé.