第2章 ファイアウォールの設定
ファイアウォールを使用する場合、OpenShift Container Platform が機能するために必要なサイトにアクセスできるように設定する必要があります。一部のサイトにはアクセスを常に付与し、クラスターをホストするために Red Hat Insights、Telemetry サービス、クラウドを使用したり、特定のビルドストラテジーをホストする場合に追加のアクセスを付与する必要があります。
2.1. OpenShift Container Platform のファイアウォールの設定
OpenShift Container Platform をインストールする前に、ファイアウォールを、OpenShift Container Platform が必要とするサイトへのアクセスを付与するように設定する必要があります。
ワーカーノードと比較して、コントローラーノードのみで実行されるサービスには、特別な設定上の考慮事項はありません。
ご使用の環境で OpenShift Container Platform クラスターの前に専用のロードバランサーがある場合は、ファイアウォールとロードバランサーの間の許可リストを確認して、クラスターに対する不要なネットワーク制限を回避してください。
手順
以下のレジストリー URL を許可リストに指定します。
URL ポート 機能 registry.redhat.io443
コアコンテナーイメージを指定します。
access.redhat.com443
コンテナークライアントが
registry.access.redhat.comから取得したイメージを検証するのに必要な署名ストアをホストします。ファイアウォール環境では、このリソースが許可リストに含まれていることを確認してください。registry.access.redhat.com443
コアコンテナーイメージを含め、Red Hat Ecosystem Catalog に保存されているすべてのコンテナーイメージをホストします。
quay.io443
コアコンテナーイメージを指定します。
cdn.quay.io443
コアコンテナーイメージを指定します。
cdn01.quay.io443
コアコンテナーイメージを指定します。
cdn02.quay.io443
コアコンテナーイメージを指定します。
cdn03.quay.io443
コアコンテナーイメージを指定します。
cdn04.quay.io443
コアコンテナーイメージを指定します。
cdn05.quay.io443
コアコンテナーイメージを指定します。
cdn06.quay.io443
コアコンテナーイメージを指定します。
sso.redhat.com443
https://console.redhat.comサイトは、sso.redhat.comからの認証を使用します。-
許可リストで
cdn.quay.ioとcdn0[1-6].quay.ioの代わりに、ワイルドカードの*.quay.ioと*.openshiftapps.comを使用できます。 -
ワイルドカード
*.access.redhat.comを使用すると、設定を簡素化し、registry.access.redhat.comを含むすべてのサブドメインを許可できます。 -
quay.ioなどのサイトを許可リストに追加するには、*.quay.ioなどのワイルドカードエントリーを拒否リストに加えないでください。ほとんどの場合、イメージレジストリーはコンテンツ配信ネットワーク (CDN) を使用してイメージを提供します。ファイアウォールがアクセスをブロックすると、最初のダウンロード要求がcdn01.quay.ioなどのホスト名にリダイレクトされるときに、イメージのダウンロードが拒否されます。
-
許可リストで
- ビルドに必要な言語またはフレームワークのリソースを提供するサイトを許可リストに指定します。
Telemetry を無効にしていない場合は、以下の URL へのアクセスを許可して Red Hat Insights にアクセスできるようにする必要があります。
URL ポート 機能 cert-api.access.redhat.com443
Telemetry で必須
api.access.redhat.com443
Telemetry で必須
infogw.api.openshift.com443
Telemetry で必須
console.redhat.com443
Telemetry および
insights-operatorで必須Alibaba Cloud、Amazon Web Services (AWS) 、Microsoft Azure、または Google Cloud Platform (GCP) を使用してクラスターをホストする場合、クラウドプロバイダー API およびそのクラウドの DNS を提供する URL へのアクセス権を付与する必要があります。
クラウド URL ポート 機能 Alibaba
*.aliyuncs.com443
Alibaba Cloud のサービスとリソースにアクセスするために必要です。Alibaba endpoints_config.go ファイル を確認して、使用するリージョンを許可する正確なエンドポイントを決定します。
AWS
aws.amazon.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
*.amazonaws.comまたは、AWS API にワイルドカードを使用しないことを選択した場合は、次の URL を許可リストに登録する必要があります。
443
AWS サービスおよびリソースへのアクセスに必要です。AWS ドキュメントの AWS Service Endpoints を参照し、使用するリージョンを許可するエンドポイントを判別します。
ec2.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
events.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
iam.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
route53.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
*.s3.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
*.s3.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
*.s3.dualstack.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
sts.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
sts.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
tagging.us-east-1.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。このエンドポイントは、クラスターがデプロイされているリージョンに関係なく、常に
us-east-1です。ec2.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
elasticloadbalancing.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
servicequotas.<aws_region>.amazonaws.com443
必須。サービスをデプロイするためのクォータを確認するのに使用されます。
tagging.<aws_region>.amazonaws.com443
タグの形式で AWS リソースに関するメタデータを割り当てることができます。
GCP
*.googleapis.com443
GCP サービスおよびリソースへのアクセスに必要です。GCP ドキュメントの Cloud Endpoints を参照し、API を許可するエンドポイントを判別します。
accounts.google.com443
GCP アカウントへのアクセスに必要です。
Azure
management.azure.com443
Azure サービスおよびリソースへのアクセスに必要です。Azure ドキュメントで Azure REST API Reference を参照し、API を許可するエンドポイントを判別します。
*.blob.core.windows.net443
Ignition ファイルのダウンロードに必要です。
login.microsoftonline.com443
Azure サービスおよびリソースへのアクセスに必要です。Azure ドキュメントで Azure REST API Reference を参照し、API を許可するエンドポイントを判別します。
以下の URL を許可リストに指定します。
URL ポート 機能 *.apps.<cluster_name>.<base_domain>443
Ingress ワイルドカードをインストール時に設定しない限り、デフォルトのクラスタールートへのアクセスに必要。
api.openshift.com443
クラスタートークンの両方が必要であり、クラスターに更新が利用可能かどうかを確認するために必要です。
console.redhat.com443
クラスタートークンに必須
mirror.openshift.com443
ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに必要。Cluster Version Operator には単一の機能ソースのみが必要ですが、このサイトはリリースイメージ署名のソースでもあります。
quayio-production-s3.s3.amazonaws.com443
AWS で Quay イメージコンテンツにアクセスするために必要。
rhcos.mirror.openshift.com443
Red Hat Enterprise Linux CoreOS (RHCOS) イメージをダウンロードするために必要。
sso.redhat.com443
https://console.redhat.comサイトは、sso.redhat.comからの認証を使用します。storage.googleapis.com/openshift-release443
リリースイメージ署名のソース (ただし、Cluster Version Operator には単一の機能ソースのみが必要)。
Operator にはヘルスチェックを実行するためのルートアクセスが必要です。具体的には、認証および Web コンソール Operator は 2 つのルートに接続し、ルートが機能することを確認します。クラスター管理者として操作を実行しており、
*.apps.<cluster_name>.<base_domain>を許可しない場合は、これらのルートを許可します。-
oauth-openshift.apps.<cluster_name>.<base_domain> -
console-openshift-console.apps.<cluster_name>.<base_domain>、またはフィールドが空でない場合にconsoles.operator/clusterオブジェクトのspec.route.hostnameフィールドに指定されるホスト名。
-
オプションのサードパーティーコンテンツに対する次の URL を許可リストに追加します。
URL ポート 機能 registry.connect.redhat.com443
すべてのサードパーティーのイメージと認定 Operator に必要です。
rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com443
registry.connect.redhat.comでホストされているコンテナーイメージにアクセスできますoso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com443
Sonatype Nexus、F5 Big IP Operator に必要です。
デフォルトの Red Hat Network Time Protocol (NTP) サーバーを使用する場合は、以下の URL を許可します。
-
1.rhel.pool.ntp.org -
2.rhel.pool.ntp.org -
3.rhel.pool.ntp.org
-
デフォルトの Red Hat NTP サーバーを使用しない場合は、プラットフォームの NTP サーバーを確認し、ファイアウォールでこれを許可します。
