23.2. ファイアウォールの設定
ファイアウォールを使用する場合、OpenShift Container Platform が機能するために必要なサイトにアクセスできるように設定する必要があります。一部のサイトにはアクセスを常に付与し、クラスターをホストするために Red Hat Insights、Telemetry サービス、クラウドを使用したり、特定のビルドストラテジーをホストする場合に追加のアクセスを付与する必要があります。
23.2.1. OpenShift Container Platform のファイアウォールの設定
OpenShift Container Platform をインストールする前に、ファイアウォールを、OpenShift Container Platform が必要とするサイトへのアクセスを付与するように設定する必要があります。
ワーカーノードと比較して、コントローラーノードのみで実行されるサービスには、特別な設定上の考慮事項はありません。
ご使用の環境で OpenShift Container Platform クラスターの前に専用のロードバランサーがある場合は、ファイアウォールとロードバランサーの間の許可リストを確認して、クラスターに対する不要なネットワーク制限を回避してください。
手順
以下のレジストリー URL を許可リストに指定します。
URL ポート 機能 registry.redhat.io443、80
コアコンテナーイメージを指定します。
access.redhat.com[1]443、80
コアコンテナーイメージを含め、Red Hat Ecosytem Catalog に保存されているすべてのコンテナーイメージをホストします。
quay.io443、80
コアコンテナーイメージを指定します。
cdn.quay.io443、80
コアコンテナーイメージを指定します。
cdn01.quay.io443、80
コアコンテナーイメージを指定します。
cdn02.quay.io443、80
コアコンテナーイメージを指定します。
cdn03.quay.io443、80
コアコンテナーイメージを指定します。
sso.redhat.com443、80
https://console.redhat.com/openshiftサイトは、sso.redhat.com[.small] からの認証を使用します。-
ファイアウォール環境では、
access.redhat.comリソースが許可リストに含まれていることを確認してください。このリソースは、コンテナークライアントがregistry.access.redhat.comからイメージを取得するときにイメージを検証するために必要な署名ストアをホストします。
ホワイトリストでは、
cdn0[1-3].quay.ioの代わりにワイルドカード*.quay.ioを使用できます。quay.ioなどのサイトを許可リストに追加するには、*.quay.ioなどのワイルドカードエントリーを拒否リストに加えないでください。ほとんどの場合、イメージレジストリーはコンテンツ配信ネットワーク (CDN) を使用してイメージを提供します。ファイアウォールがアクセスをブロックすると、最初のダウンロード要求がcdn01.quay.ioなどのホスト名にリダイレクトされるときに、イメージのダウンロードが拒否されます。-
ファイアウォール環境では、
- ビルドに必要な言語またはフレームワークのリソースを提供するサイトを許可リストに指定します。
Telemetry を無効にしていない場合は、以下の URL へのアクセスを許可して Red Hat Insights にアクセスできるようにする必要があります。
URL ポート 機能 cert-api.access.redhat.com443、80
Telemetry で必須
api.access.redhat.com443、80
Telemetry で必須
infogw.api.openshift.com443、80
Telemetry で必須
console.redhat.com/api/ingress,cloud.redhat.com/api/ingress443、80
Telemetry および
insights-operatorで必須Alibaba Cloud、Amazon Web Services (AWS) 、Microsoft Azure、または Google Cloud Platform (GCP) を使用してクラスターをホストする場合、クラウドプロバイダー API およびそのクラウドの DNS を提供する URL へのアクセス権を付与する必要があります。
クラウド URL ポート 機能 Alibaba
*.aliyuncs.com443、80
Alibaba Cloud のサービスとリソースにアクセスするために必要です。Alibaba endpoints_config.go ファイル を確認して、使用するリージョンを許可する正確なエンドポイントを決定します。
AWS
*.amazonaws.comまたは、AWS API にワイルドカードを使用しないことを選択した場合は、次の URL を許可リストに登録する必要があります。
443、80
AWS サービスおよびリソースへのアクセスに必要です。AWS ドキュメントの AWS Service Endpoints を参照し、使用するリージョンを許可するエンドポイントを判別します。
ec2.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
events.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
iam.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
route53.amazonaws.com443
AWS 環境でクラスターをインストールし、管理するのに使用されます。
s3.amazonaws.com443
AWS 環境でクラスターをインストールし、管理するのに使用されます。
s3.<aws_region>.amazonaws.com443
AWS 環境でクラスターをインストールし、管理するのに使用されます。
s3.dualstack.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
sts.amazonaws.com443
AWS 環境でクラスターをインストールし、管理するのに使用されます。
sts.<aws_region>.amazonaws.com443
AWS 環境でクラスターをインストールし、管理するのに使用されます。
tagging.us-east-1.amazonaws.com443
AWS 環境でクラスターをインストールし、管理するのに使用されます。このエンドポイントは、クラスターがデプロイされているリージョンに関係なく、常に
us-east-1です。ec2.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
elasticloadbalancing.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
servicequotas.<aws_region>.amazonaws.com443、80
必須。サービスをデプロイするためのクォータを確認するのに使用されます。
tagging.<aws_region>.amazonaws.com443、80
タグの形式で AWS リソースに関するメタデータを割り当てることができます。
GCP
*.googleapis.com443、80
GCP サービスおよびリソースへのアクセスに必要です。GCP ドキュメントの Cloud Endpoints を参照し、API を許可するエンドポイントを判別します。
accounts.google.com443、80
GCP アカウントへのアクセスに必要です。
Azure
management.azure.com443、80
Azure サービスおよびリソースへのアクセスに必要です。Azure ドキュメントで Azure REST API Reference を参照し、API を許可するエンドポイントを判別します。
*.blob.core.windows.net443、80
Ignition ファイルのダウンロードに必要です。
login.microsoftonline.com443、80
Azure サービスおよびリソースへのアクセスに必要です。Azure ドキュメントで Azure REST API Reference を参照し、API を許可するエンドポイントを判別します。
以下の URL を許可リストに指定します。
URL ポート 機能 mirror.openshift.com443、80
ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに必要。Cluster Version Operator には単一の機能ソースのみが必要ですが、このサイトはリリースイメージ署名のソースでもあります。
storage.googleapis.com/openshift-release443、80
リリースイメージ署名のソース (ただし、Cluster Version Operator には単一の機能ソースのみが必要)。
*.apps.<cluster_name>.<base_domain>443、80
Ingress ワイルドカードをインストール時に設定しない限り、デフォルトのクラスタールートへのアクセスに必要。
quayio-production-s3.s3.amazonaws.com443、80
AWS で Quay イメージコンテンツにアクセスするために必要。
api.openshift.com443、80
クラスタートークンの両方が必要であり、クラスターに更新が利用可能かどうかを確認するために必要です。
rhcos-redirector.apps.art.xq1c.p1.openshiftapps.com,rhcos.mirror.openshift.com443、80
Red Hat Enterprise Linux CoreOS (RHCOS) イメージをダウンロードするために必要。
console.redhat.com/openshift443、80
クラスタートークンに必須
sso.redhat.com443、80
https://console.redhat.com/openshiftサイトは、sso.redhat.comからの認証を使用します。Operator にはヘルスチェックを実行するためのルートアクセスが必要です。具体的には、認証および Web コンソール Operator は 2 つのルートに接続し、ルートが機能することを確認します。クラスター管理者として操作を実行しており、
*.apps.<cluster_name>.<base_domain>を許可しない場合は、これらのルートを許可します。-
oauth-openshift.apps.<cluster_name>.<base_domain> -
console-openshift-console.apps.<cluster_name>.<base_domain>、またはフィールドが空でない場合にconsoles.operator/clusterオブジェクトのspec.route.hostnameフィールドに指定されるホスト名。
-
オプションのサードパーティーコンテンツに対する次の URL を許可リストに追加します。
URL ポート 機能 registry.connect.redhat.com443、80
すべてのサードパーティーのイメージと認定 Operator に必要です。
rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com443、80
registry.connect.redhat.comでホストされているコンテナーイメージにアクセスできますoso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com443、80
Sonatype Nexus、F5 Big IP Operator に必要です。
デフォルトの Red Hat Network Time Protocol (NTP) サーバーを使用する場合は、以下の URL を許可します。
-
1.rhel.pool.ntp.org -
2.rhel.pool.ntp.org -
3.rhel.pool.ntp.org
-
デフォルトの Red Hat NTP サーバーを使用しない場合は、プラットフォームの NTP サーバーを確認し、ファイアウォールでこれを許可します。
