14.4. ファイアウォールの設定
ファイアウォールを使用する場合、OpenShift Container Platform が機能するために必要なサイトにアクセスできるように設定する必要があります。一部のサイトにはアクセスを常に付与し、クラスターをホストするために Red Hat Insights、Telemetry サービス、クラウドを使用したり、特定のビルドストラテジーをホストする場合に追加のアクセスを付与する必要があります。
14.4.1. OpenShift Container Platform のファイアウォールの設定
OpenShift Container Platform をインストールする前に、ファイアウォールを、OpenShift Container Platform が必要とするサイトへのアクセスを付与するように設定する必要があります。
コントローラーノードのみで実行されるサービスとワーカーノードで実行されるサービスの設定に関する特別な考慮事項はありません。
手順
以下のレジストリー URL を許可リストに指定します。
URL ポート 機能 registry.redhat.io443、80
コアコンテナーイメージを指定します。
quay.io443、80
コアコンテナーイメージを指定します。
*.quay.io443, 80
コアコンテナーイメージを指定します。
*.openshiftapps.com443, 80
Red Hat Enterprise Linux CoreOS (RHCOS) イメージを提供します。
quay.ioなどのサイトを許可リストに追加するには、*.quay.ioなどのワイルドカードエントリーを拒否リストに加えないでください。ほとんどの場合、イメージレジストリーはコンテンツ配信ネットワーク (CDN) を使用してイメージを提供します。ファイアウォールでアクセスがブロックされた場合に、最初のダウンロード要求がcdn01.quay.ioなどのホスト名にリダイレクトされた時点で、イメージのダウンロードが拒否されます。cdn01.quay.ioなどの CDN ホスト名は、許可リストに*.quay.ioなどのワイルドカードエントリーを追加すると、そちらで対応されます。- ビルドに必要な言語またはフレームワークのリソースを提供するサイトを許可リストに指定します。
Telemetry を無効にしていない場合は、以下の URL へのアクセスを許可して Red Hat Insights にアクセスできるようにする必要があります。
URL ポート 機能 cert-api.access.redhat.com443、80
Telemetry で必須
api.access.redhat.com443、80
Telemetry で必須
infogw.api.openshift.com443、80
Telemetry で必須
console.redhat.com/api/ingress443, 80
Telemetry および
insights-operatorで必須Amazon Web Services (AWS) 、Microsoft Azure、または Google Cloud Platform (GCP) を使用してクラスターをホストする場合、クラウドプロバイダー API およびそのクラウドの DNS を提供する URL へのアクセスを付与する必要があります。
クラウド URL ポート 機能 AWS
*.amazonaws.com443、80
AWS サービスおよびリソースへのアクセスに必要です。AWS ドキュメントの AWS Service Endpoints を参照し、使用するリージョンを許可するエンドポイントを判別します。
GCP
*.googleapis.com443、80
GCP サービスおよびリソースへのアクセスに必要です。GCP ドキュメントの Cloud Endpoints を参照し、API を許可するエンドポイントを判別します。
accounts.google.com443、80
GCP アカウントへのアクセスに必要です。
Azure
management.azure.com443、80
Azure サービスおよびリソースへのアクセスに必要です。Azure ドキュメントで Azure REST API Reference を参照し、API を許可するエンドポイントを判別します。
*.blob.core.windows.net443、80
Ignition ファイルのダウンロードに必要です。
login.microsoftonline.com443、80
Azure サービスおよびリソースへのアクセスに必要です。Azure ドキュメントで Azure REST API Reference を参照し、API を許可するエンドポイントを判別します。
以下の URL を許可リストに指定します。
URL ポート 機能 mirror.openshift.com443、80
ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに必要。Cluster Version Operator には単一の機能ソースのみが必要ですが、このサイトはリリースイメージ署名のソースでもあります。
storage.googleapis.com/openshift-release443、80
リリースイメージ署名のソース (ただし、Cluster Version Operator には単一の機能ソースのみが必要)。
*.apps.<cluster_name>.<base_domain>443、80
Ingress ワイルドカードをインストール時に設定しない限り、デフォルトのクラスタールートへのアクセスに必要。
quayio-production-s3.s3.amazonaws.com443、80
AWS で Quay イメージコンテンツにアクセスするために必要。
api.openshift.com443、80
クラスタートークンの両方が必要であり、クラスターに更新が利用可能かどうかを確認するために必要です。
art-rhcos-ci.s3.amazonaws.com443, 80
Red Hat Enterprise Linux CoreOS (RHCOS) イメージをダウンロードするために必要。
console.redhat.com/openshift443、80
クラスタートークンに必須
registry.access.redhat.com443、80
odoCLI に必須sso.redhat.com443、80
https://console.redhat.com/openshiftサイトは、sso.redhat.comからの認証を使用します。Operator にはヘルスチェックを実行するためのルートアクセスが必要です。具体的には、認証および Web コンソール Operator は 2 つのルートに接続し、ルートが機能することを確認します。クラスター管理者として操作を実行しており、
*.apps.<cluster_name>.<base_domain>を許可しない場合は、これらのルートを許可します。-
oauth-openshift.apps.<cluster_name>.<base_domain> -
console-openshift-console.apps.<cluster_name>.<base_domain>、またはフィールドが空でない場合にconsoles.operator/clusterオブジェクトのspec.route.hostnameフィールドに指定されるホスト名。
-
オプションのサードパーティーコンテンツに対する次の URL を許可リストに追加します。
URL ポート 機能 registry.connect.redhat.com443、80
すべてのサードパーティーのイメージと認定 Operator に必要です。
rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com443、80
registry.connect.redhat.comでホストされているコンテナーイメージにアクセスできますoso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com443、80
Sonatype Nexus、F5 Big IP Operator に必要です。
デフォルトの Red Hat Network Time Protocol (NTP) サーバーを使用する場合は、以下の URL を許可します。
-
1.rhel.pool.ntp.org -
2.rhel.pool.ntp.org -
3.rhel.pool.ntp.org
-
デフォルトの Red Hat NTP サーバーを使用しない場合は、プラットフォームの NTP サーバーを確認し、ファイアウォールでこれを許可します。
