26.2. ファイアウォールの設定
ファイアウォールを使用する場合、OpenShift Container Platform が機能するために必要なサイトにアクセスできるように設定する必要があります。一部のサイトにはアクセスを常に付与し、クラスターをホストするために Red Hat Insights、Telemetry サービス、クラウドを使用したり、特定のビルドストラテジーをホストする場合に追加のアクセスを付与する必要があります。
26.2.1. OpenShift Container Platform のファイアウォールの設定
OpenShift Container Platform をインストールする前に、ファイアウォールを、OpenShift Container Platform が必要とするサイトへのアクセスを付与するように設定する必要があります。
ワーカーノードと比較して、コントローラーノードのみで実行されるサービスには、特別な設定上の考慮事項はありません。
ご使用の環境で OpenShift Container Platform クラスターの前に専用のロードバランサーがある場合は、ファイアウォールとロードバランサーの間の許可リストを確認して、クラスターに対する不要なネットワーク制限を回避してください。
手順
以下のレジストリー URL を許可リストに指定します。
URL ポート 機能 registry.redhat.io
443
コアコンテナーイメージを指定します。
access.redhat.com
[1]443
コアコンテナーイメージを含め、Red Hat Ecosytem Catalog に保存されているすべてのコンテナーイメージをホストします。
quay.io
443
コアコンテナーイメージを指定します。
cdn.quay.io
443
コアコンテナーイメージを指定します。
cdn01.quay.io
443
コアコンテナーイメージを指定します。
cdn02.quay.io
443
コアコンテナーイメージを指定します。
cdn03.quay.io
443
コアコンテナーイメージを指定します。
sso.redhat.com
443
https://console.redhat.com
サイトは、sso.redhat.com
からの認証を使用します。-
ファイアウォール環境では、
access.redhat.com
リソースが許可リストに含まれていることを確認してください。このリソースは、コンテナークライアントがregistry.access.redhat.com
からイメージを取得するときにイメージを検証するために必要な署名ストアをホストします。
許可リストで
cdn.quay.io
とcdn0[1-3].quay.io
の代わりに、ワイルドカードの*.quay.io
と*.openshiftapps.com
を使用できます。quay.io
などのサイトを許可リストに追加するには、*.quay.io
などのワイルドカードエントリーを拒否リストに加えないでください。ほとんどの場合、イメージレジストリーはコンテンツ配信ネットワーク (CDN) を使用してイメージを提供します。ファイアウォールがアクセスをブロックすると、最初のダウンロード要求がcdn01.quay.io
などのホスト名にリダイレクトされるときに、イメージのダウンロードが拒否されます。-
ファイアウォール環境では、
- ビルドに必要な言語またはフレームワークのリソースを提供するサイトを許可リストに指定します。
Telemetry を無効にしていない場合は、以下の URL へのアクセスを許可して Red Hat Insights にアクセスできるようにする必要があります。
URL ポート 機能 cert-api.access.redhat.com
443
Telemetry で必須
api.access.redhat.com
443
Telemetry で必須
infogw.api.openshift.com
443
Telemetry で必須
console.redhat.com
443
Telemetry および
insights-operator
で必須Alibaba Cloud、Amazon Web Services (AWS) 、Microsoft Azure、または Google Cloud Platform (GCP) を使用してクラスターをホストする場合、クラウドプロバイダー API およびそのクラウドの DNS を提供する URL へのアクセス権を付与する必要があります。
クラウド URL ポート 機能 Alibaba
*.aliyuncs.com
443
Alibaba Cloud のサービスとリソースにアクセスするために必要です。Alibaba endpoints_config.go ファイル を確認して、使用するリージョンを許可する正確なエンドポイントを決定します。
AWS
*.amazonaws.com
または、AWS API にワイルドカードを使用しないことを選択した場合は、次の URL を許可リストに登録する必要があります。
443
AWS サービスおよびリソースへのアクセスに必要です。AWS ドキュメントの AWS Service Endpoints を参照し、使用するリージョンを許可するエンドポイントを判別します。
ec2.amazonaws.com
443
AWS 環境でのクラスターのインストールや管理に使用されます。
events.amazonaws.com
443
AWS 環境でのクラスターのインストールや管理に使用されます。
iam.amazonaws.com
443
AWS 環境でのクラスターのインストールや管理に使用されます。
route53.amazonaws.com
443
AWS 環境でのクラスターのインストールや管理に使用されます。
*.s3.amazonaws.com
443
AWS 環境でのクラスターのインストールや管理に使用されます。
*.s3.<aws_region>.amazonaws.com
443
AWS 環境でのクラスターのインストールや管理に使用されます。
*.s3.dualstack.<aws_region>.amazonaws.com
443
AWS 環境でのクラスターのインストールや管理に使用されます。
sts.amazonaws.com
443
AWS 環境でクラスターをインストールし、管理するのに使用されます。
sts.<aws_region>.amazonaws.com
443
AWS 環境でクラスターをインストールし、管理するのに使用されます。
tagging.us-east-1.amazonaws.com
443
AWS 環境でクラスターをインストールし、管理するのに使用されます。このエンドポイントは、クラスターがデプロイされているリージョンに関係なく、常に
us-east-1
です。ec2.<aws_region>.amazonaws.com
443
AWS 環境でのクラスターのインストールや管理に使用されます。
elasticloadbalancing.<aws_region>.amazonaws.com
443
AWS 環境でのクラスターのインストールや管理に使用されます。
servicequotas.<aws_region>.amazonaws.com
443
必須。サービスをデプロイするためのクォータを確認するのに使用されます。
tagging.<aws_region>.amazonaws.com
443
タグの形式で AWS リソースに関するメタデータを割り当てることができます。
GCP
*.googleapis.com
443
GCP サービスおよびリソースへのアクセスに必要です。GCP ドキュメントの Cloud Endpoints を参照し、API を許可するエンドポイントを判別します。
accounts.google.com
443
GCP アカウントへのアクセスに必要です。
Azure
management.azure.com
443
Azure サービスおよびリソースへのアクセスに必要です。Azure ドキュメントで Azure REST API Reference を参照し、API を許可するエンドポイントを判別します。
*.blob.core.windows.net
443
Ignition ファイルのダウンロードに必要です。
login.microsoftonline.com
443
Azure サービスおよびリソースへのアクセスに必要です。Azure ドキュメントで Azure REST API Reference を参照し、API を許可するエンドポイントを判別します。
以下の URL を許可リストに指定します。
URL ポート 機能 mirror.openshift.com
443
ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに必要。Cluster Version Operator には単一の機能ソースのみが必要ですが、このサイトはリリースイメージ署名のソースでもあります。
storage.googleapis.com/openshift-release
443
リリースイメージ署名のソース (ただし、Cluster Version Operator には単一の機能ソースのみが必要)。
*.apps.<cluster_name>.<base_domain>
443
Ingress ワイルドカードをインストール時に設定しない限り、デフォルトのクラスタールートへのアクセスに必要。
quayio-production-s3.s3.amazonaws.com
443
AWS で Quay イメージコンテンツにアクセスするために必要。
api.openshift.com
443
クラスタートークンの両方が必要であり、クラスターに更新が利用可能かどうかを確認するために必要です。
rhcos.mirror.openshift.com
443
Red Hat Enterprise Linux CoreOS (RHCOS) イメージをダウンロードするために必要。
console.redhat.com
443
クラスタートークンに必須
sso.redhat.com
443
https://console.redhat.com
サイトは、sso.redhat.com
からの認証を使用します。Operator にはヘルスチェックを実行するためのルートアクセスが必要です。具体的には、認証および Web コンソール Operator は 2 つのルートに接続し、ルートが機能することを確認します。クラスター管理者として操作を実行しており、
*.apps.<cluster_name>.<base_domain>
を許可しない場合は、これらのルートを許可します。-
oauth-openshift.apps.<cluster_name>.<base_domain>
-
console-openshift-console.apps.<cluster_name>.<base_domain>
、またはフィールドが空でない場合にconsoles.operator/cluster
オブジェクトのspec.route.hostname
フィールドに指定されるホスト名。
-
オプションのサードパーティーコンテンツに対する次の URL を許可リストに追加します。
URL ポート 機能 registry.connect.redhat.com
443
すべてのサードパーティーのイメージと認定 Operator に必要です。
rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com
443
registry.connect.redhat.com
でホストされているコンテナーイメージにアクセスできますoso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com
443
Sonatype Nexus、F5 Big IP Operator に必要です。
デフォルトの Red Hat Network Time Protocol (NTP) サーバーを使用する場合は、以下の URL を許可します。
-
1.rhel.pool.ntp.org
-
2.rhel.pool.ntp.org
-
3.rhel.pool.ntp.org
-
デフォルトの Red Hat NTP サーバーを使用しない場合は、プラットフォームの NTP サーバーを確認し、ファイアウォールでこれを許可します。