2.7. Conditions préalables du pare-feu GCP
Lorsque vous utilisez un pare-feu pour contrôler le trafic de sortie d’OpenShift Dedicated sur Google Cloud Platform (GCP), vous devez configurer votre pare-feu pour permettre l’accès à certains domaines et combinaisons de ports énumérés dans les tableaux ci-dessous. Le service OpenShift Dedicated nécessite cet accès pour fournir un service OpenShift entièrement géré.
Les clusters de Google Cloud Platform (GCP) déployés avec Private Service Connect peuvent utiliser un pare-feu pour contrôler le trafic de sortie.
Procédure
Ajoutez les URL suivantes qui sont utilisées pour installer et télécharger des paquets et des outils à une liste d’autorisations:
Expand Domaine Le port Fonction Greffe.redhat.io443
Fournit des images de conteneur de base.
à propos de Quay.io443
Fournit des images de conteneur de base.
cdn01.quay.iocdn02.quay.iocdn03.quay.iocdn04.quay.iocdn05.quay.iocdn06.quay.io443
Fournit des images de conteneur de base.
à propos de SSO.redhat.com443
C’est nécessaire. Le site https://console.redhat.com/openshift utilise l’authentification de sso.redhat.com pour télécharger le secret de traction et utiliser les solutions Red Hat SaaS pour faciliter la surveillance de vos abonnements, de l’inventaire des clusters, des rapports de rétrofacturation, etc.
ajouter au panier Quayio-production-s3.s3.amazonaws.com443
Fournit des images de conteneur de base.
le site pull.q1w2.quay.rhcloud.com443
Fournit des images de conteneur de base.
Registry.access.redhat.com443
Héberge toutes les images du conteneur qui sont stockées sur le catalogue Ecosytem Red Hat. De plus, le registre donne accès à l’outil odo CLI qui aide les développeurs à s’appuyer sur OpenShift et Kubernetes.
Registry.connect.redhat.com443
Requis pour toutes les images tierces et les opérateurs certifiés.
console.redhat.com443
C’est nécessaire. Autorise les interactions entre le cluster et Red Hat OpenShift Cluster Manager pour activer les fonctionnalités, telles que la planification des mises à niveau.
à propos de SSO.redhat.com443
Le site https://console.redhat.com/openshift utilise l’authentification de sso.redhat.com.
catalogue.redhat.com443
Les sites Registry.access.redhat.com et https://registry.redhat.io redirigent vers catalog.redhat.com.
Ajoutez les URL de télémétrie suivantes à une liste d’autorisations:
Expand Domaine Le port Fonction CERT-api.access.redhat.com443
Requis pour la télémétrie.
API.access.redhat.com443
Requis pour la télémétrie.
infogw.api.openshift.com443
Requis pour la télémétrie.
console.redhat.com443
Requis pour la télémétrie et Red Hat Insights.
le site Observatorium-mst.api.openshift.com443
Requis pour la télémétrie spécifique à OpenShift gérée.
bienvenue sur Observatorium.api.openshift.com443
Requis pour la télémétrie spécifique à OpenShift gérée.
NoteLes clusters gérés nécessitent l’activation de la télémétrie pour permettre à Red Hat de réagir plus rapidement aux problèmes, de mieux soutenir les clients et de mieux comprendre l’impact des mises à jour des produits sur les clusters. De plus amples renseignements sur la façon dont les données de surveillance de la santé à distance sont utilisées par Red Hat, voir À propos de la surveillance de la santé à distance dans la section Ressources supplémentaires.
Ajoutez les URL OpenShift dédiées suivantes à une liste d’autorisations:
Expand Domaine Le port Fonction le site Mirror.openshift.com443
Il est utilisé pour accéder au contenu et aux images d’installation en miroir. Ce site est également une source de signatures d’images de libération.
API.openshift.com443
Il est utilisé pour vérifier si des mises à jour sont disponibles pour le cluster.
Ajoutez les URL d’ingénierie de fiabilité (SRE) et de gestion suivantes à une liste d’autorisations:
Expand Domaine Le port Fonction API.pagerduty.com443
Ce service d’alerte est utilisé par le gestionnaire d’alertes inclus pour envoyer des alertes notifiant Red Hat SRE d’un événement pour agir.
événements.pagerduty.com443
Ce service d’alerte est utilisé par le gestionnaire d’alertes inclus pour envoyer des alertes notifiant Red Hat SRE d’un événement pour agir.
API.deadmanssnitch.com443
Le service d’alerte utilisé par OpenShift Dedicated pour envoyer des pings périodiques indiquant si le cluster est disponible et en cours d’exécution.
à propos de nosnch.in443
Le service d’alerte utilisé par OpenShift Dedicated pour envoyer des pings périodiques indiquant si le cluster est disponible et en cours d’exécution.
HTTP-inputs-osdsecuritylogs.splunkcloud.com443
Utilisé par le splunk-forwarder-operator comme point de terminaison de journalisation à utiliser par Red Hat SRE pour l’alerte log-based.
le site SFTP.access.redhat.com (recommandé)
22
Le serveur SFTP utilisé par l’opérateur must-collectther pour télécharger des journaux de diagnostic pour aider à résoudre les problèmes avec le cluster.
Ajoutez les URL suivantes pour les points de terminaison de l’API Google Cloud Platform (GCP) à une liste d’autorisations:
Expand Domaine Le port Fonction comptes.google.com443
Il est utilisé pour accéder à votre compte GCP.
*.googleapis.comA) OU
à propos de Storage.googleapis.comIAM.googleapis.comà propos de Serviceusage.googleapis.comcloudresourcemanager.googleapis.comcalcul.googleapis.comle site Oauth2.googleapis.comDNS.googleapis.comiamcredentials.googleapis.com443
Il est utilisé pour accéder aux services et aux ressources du GCP. Examinez Cloud Endpoints dans la documentation GCP pour déterminer les points de terminaison pour autoriser vos API.
NoteLes API Google requises peuvent être exposées à l’aide de l’IP virtuel privé Google Access (VIP), à l’exception de l’API d’utilisation du service (serviceusage.googleapis.com). Afin de contourner cela, vous devez exposer l’API d’utilisation du service en utilisant le VIP privé Google Access privé.