Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

ネットワークセキュリティー

OpenShift Dedicated 4

OpenShift Dedicated におけるネットワークトラフィックの保護とネットワークポリシーの適用

概要

このドキュメントでは、OpenShift Dedicated におけるネットワークポリシーや Egress ファイアウォールなどのネットワークセキュリティー機能を実装および管理する方法を説明します。

第1章 ネットワークポリシー API について
リンクのコピー

ネットワークポリシーは、クラスタースコープと namespace スコープの両方のネットワークポリシー API を使用して定義されます。これらのさまざまなレベルにわたってネットワークポリシーを定義することで、完全なマルチテナント分離を含む、クラスターの高度なネットワークセキュリティー設定を作成できます。

1.1. ネットワークポリシーとその範囲
リンクのコピー

クラスタースコープのネットワークポリシー

クラスターおよびネットワーク管理者は、AdminNetworkPolicy を使用してクラスターレベルでネットワークポリシーを定義できます。AdminNetworkPolicy 機能は、AdminNetworkPolicy API と BaselineAdminNetworkPolicy API の 2 つの API で構成されます。これらの API は、クラスター全体に適用できるルール、または namespace スコープの NetworkPolicy に委譲できるルールを設定するために使用されます。

AdminNetworkPolicy API を使用して定義されたポリシーは、「許可」または「拒否」に設定されている場合、他のすべてのポリシータイプよりも優先されます。ただし、管理者は "Pass" を使用して、特定のポリシーの責任を namespace スコープの NetworkPolicy に委譲し、アプリケーション開発者と namespace テナントが、プロジェクトのネットワークセキュリティーの特定の側面を制御できるようにすることもできます。

BaselineAdminNetworkPolicy API を使用して定義されたポリシーは、他のネットワークポリシーによってオーバーライドされない場合にのみ適用されます。AdminNetworkPolicy API を使用して、ネットワークポリシーの側面を namespace スコープの NetworkPolicy に委譲する場合は、BaselineAdminNetworkPolicy で適切な最小限の制限も定義する必要があります。これにより、namespace の NetworkPolicy が十分な保護を提供しない場合に、クラスターレベルでネットワークセキュリティーのベースラインレベルが確保されます。

namespace スコープのネットワークポリシー
アプリケーション開発者と namespace テナントは、NetworkPolicy API を使用して、特定の namespace のネットワークポリシールールを定義できます。namespace の NetworkPolicy 内のルールは、BaselineAdminNetworkPolicy API を使用して設定されたクラスター全体のルール、またはクラスター全体の AdminNetworkPolicy API から委譲または「渡された」クラスター全体のルールよりも優先されます。

1.2. ネットワークポリシーの評価と適用方法
リンクのコピー

ネットワーク接続が確立されると、ネットワークプロバイダー (デフォルト: OVN-Kubernetes) は、接続の詳細をネットワークポリシールールと照合して、接続の処理方法を決定します。

OVN-Kubernetes は、次の順序でネットワークポリシーオブジェクトに対する接続を評価します。

  1. AdminNetworkPolicy 層で一致を確認します。

    1. 接続が Allow または Deny ルールに一致する場合、そのルールに従って評価を停止します。
    2. 接続が Pass ルールに一致する場合は、NetworkPolicy 層に移動します。

  2. NetworkPolicy 層で一致を確認します。

    1. 接続がルールに一致する場合、そのルールに従って評価を停止します。
    2. 一致するものが見つからない場合は、BaselineAdminNetworkPolicy 層に移動します。
  3. BaselineAdminNetworkPolicy 層の一致するルールに従います。

図1.1 OVN-Kubernetes によるネットワークポリシーの評価

OVN-Kubernetes アクセス制御リスト (ACL)

1.3. AdminNetworkPolicy と NetworkPolicy カスタムリソースの主な違い
リンクのコピー

OpenShift Dedicated のクラスターまたはネームスペースに適したネットワークポリシー API を選択するには、AdminNetworkPolicyNetworkPolicy CR を、スコープ、ルールアクション、優先順位、ピアオプションの観点から比較できます。

以下の参照表は、ポリシーを適用できるユーザー、トラフィックの許可または拒否方法、および OVN-Kubernetes が各 API を評価する方法の違いをまとめたものです。

Expand
ポリシーの要素AdminNetworkPolicyNetworkPolicy

対象ユーザー

クラスター管理者または同等の権限

namespace の所有者

スコープ

Cluster

namespace

トラフィックのドロップ

明示的な Deny アクションをルールとして設定することでサポートされます。

ポリシー作成時に暗黙的に Deny 分離することでサポートされます。

トラフィックの委譲

Pass アクションをルールとして設定することでサポートされます。

該当なし。

トラフィックの許可

明示的に Allow アクションをルールとして設定することでサポートされます。

すべてのルールに対するデフォルトのアクションは allow です。

ポリシー内のルールの優先順位

ANP 内で表示される順序によって異なります。ルールの位置が高いほど、優先順位が高くなります。

ルールは加算的です。

ポリシーの優先順位

ANP 間では、priority フィールドによって評価の順序が設定されます。優先順位の数字が低いほど、ポリシーの優先順位が高くなります。

ポリシー間にポリシー順序はありません。

機能の優先順位

最初に Tier 1 ACL を介して評価され、最後に BANP が Tier 3 ACL を介して評価されます。

ANP の後、BANP の前に適用され、ACL の Tier 2 で評価されます。

Pod 選択の一致

namespace 間で異なるルールを適用できます。

1 つの namespace 内の Pod に異なるルールを適用できます。

クラスターの Egress トラフィック

nodesnetworks ピアを介してサポートされます。

受け入れられた CIDR 構文とともに ipBlock フィールドを使用してサポートされます。

クラスター Ingress トラフィック

サポート対象外。

サポート対象外。

完全修飾ドメイン名 (FQDN) ピアサポート

サポート対象外。

サポート対象外。

namespace セレクター

namespaces.matchLabels フィールドを使用した namespace の高度な選択をサポートします。

namespaceSelector フィールドを使用したラベルベースでの namespace の選択をサポートします

第2章 ネットワークポリシー
リンクのコピー

2.1. ネットワークポリシーの作成
リンクのコピー

ワークロード間のトラフィックを制限し、アプリケーションのセキュリティーを向上させるには、クラスターの NetworkPolicy オブジェクトを設定します。ネットワークポリシーは、選択された Pod に対して許可される Ingress および送信接続を定義し、名前空間内のアプリケーションを分離するのに役立ちます。

開発者は、クラスター内の Pod へのトラフィックを制限するネットワークポリシーを定義できます。

2.1.1. ネットワークポリシーについて
リンクのコピー

ワークロード間のトラフィックを制御し、ネットワークの分離性を向上させるには、プロジェクトの NetworkPolicy オブジェクトを設定してください。ネットワークポリシーは、選択した Pod に対して許可される Ingress および送信接続を定義し、クラスター内のアプリケーションのセキュリティーを確保するのに役立ちます。

デフォルトで、プロジェクトのすべての Pod は他の Pod およびネットワークのエンドポイントからアクセスできます。プロジェクトで 1 つ以上の Pod を分離するには、そのプロジェクトで NetworkPolicy オブジェクトを作成し、許可する着信接続を指定します。プロジェクト管理者は独自のプロジェクト内で NetworkPolicy オブジェクトの作成および削除を実行できます。

重要

OpenShift Dedicated 4.22 以降、OpenShift Dedicated はデフォルトで一部のネームスペースに NetworkPolicy オブジェクトを含めるようになりました。この組み込みにより、全体的なセキュリティーが向上し、コントロールプレーンのコンポーネントがより適切に保護されます。OpenShift Dedicated がデフォルトで独自のネームスペースに含めている NetworkPolicy オブジェクトは変更しないでください。オブジェクトがデフォルトで含まれる名前空間を確認するには、次のコマンドを実行します。 

$ oc get networkpolicies --all-namespaces

OpenShift Dedicated 4.22 リリースでは、これらのオブジェクトはすべての OpenShift Dedicated 名前空間に含まれていません。今後の OpenShift Dedicated リリースでは、これらのオブジェクトが追加の名前空間に含まれる可能性があります。

デフォルトでは、プロジェクト内のすべての Pod は、どのネットワークエンドポイントからもアクセス可能です。

Pod が 1 つ以上の NetworkPolicy オブジェクトのセレクターと一致する場合、Pod はそれらの NetworkPolicy オブジェクトの少なくとも 1 つにより許可された接続だけを使用できます。いずれの NetworkPolicy オブジェクトにも選択されていない Pod は、完全にアクセス可能な状態を維持します。

2.1.1.1. 政策の加法性
リンクのコピー

NetworkPolicy オブジェクトは加算されるものです。つまり、複数の NetworkPolicy オブジェクトを組み合わせて複雑なネットワーク要件を満すことができます。

たとえば、同じプロジェクト内で allow-same-namespace ポリシーと allow-http-and-https ポリシーの両方を定義した場合、role=frontend ラベルを持つ Pod は、どちらかのポリシーで許可されている接続をすべて受け入れます。

これは、Pod が以下を受け入れることを意味します。

  • 同じ名前空間内の Pod からの任意のポートへの接続。
  • 任意のネームスペース内の Pod からのポート 80 および 443 への接続。 
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-router
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          policy-group.network.openshift.io/ingress: ""
  podSelector: {}
  policyTypes:
  - Ingress

policy-group.network.openshift.io/Ingress:"" ラベルは、OVN-Kubernetes をサポートします。

クラスターの攻撃対象領域を縮小し、予測可能なネットワーク動作を確保するために、OpenShift Dedicated は重要なネットワークコンポーネントに対して最小限の特権ネットワークポリシーを適用します。

クラスター DNS とクラスター Ingress を管理するオペレーターは、それぞれの名前空間にデフォルトのすべて拒否 NetworkPolicy オブジェクトを自動的にインストールおよび維持します。

トラフィックは、以下の名前空間における対象を絞った許可ポリシーを使用して制御されます。

  • DNS コンポーネントの名前空間 (openshift-dns および openshift-dns-operator):

    • 送信は API サーバーと必要な DNS ポートに限定されます。
    • イングレスは、必要不可欠な DNS トラフィックとメトリクスに限定されます。

  • Ingress コンポーネントの名前空間 (openshift-Ingress および openshift-ingress-operator):

    • 送信は API サーバー、DNS ポート、およびルーティングエンドポイントに限定されます。
    • Ingress は HTTP/HTTPS トラフィックとメトリクスに限定されます。
重要

これらの名前空間では、管理対象外の Pod やカスタム Pod を実行しないでください。これらの名前空間はデフォルトで拒否するモデルで動作するため、これらの名前空間で実行されている管理対象外のコンテナーのネットワークトラフィックはすべてブロックされます。

2.1.2. OVN-Kubernetes ネットワークプラグインによるネットワークポリシーの最適化
リンクのコピー

OVN-Kubernetes のネットワークポリシーを最適化してフロー数を削減し、必要な場合に外部 IP トラフィックを許可する方法を学びましょう。

ネットワークポリシーを設計する場合は、以下のガイドラインを参照してください。

  • 同じ spec.podSelector 仕様を持つネットワークポリシーの場合、ingress ルールまたは egress ルールを持つ複数のネットワークポリシーを使用するよりも、複数の Ingress ルールまたは egress ルールを持つ 1 つのネットワークポリシーを使用する方が効率的です。

  • podSelector または namespaceSelector 仕様に基づくすべての Ingress または egress ルールは、number of pods selected by network policy + number of pods selected by ingress or egress rule に比例する数の OVS フローを生成します。そのため、Pod ごとに個別のルールを作成するのではなく、1 つのルールで必要な数の Pod を選択できる podSelector または namespaceSelector 仕様を使用することが推奨されます。

    たとえば、以下のポリシーには 2 つのルールが含まれています。 

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector: {}
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: frontend
  - from:
    - podSelector:
        matchLabels:
          role: backend

    以下のポリシーは、上記と同じ 2 つのルールを 1 つのルールとして表現しています。 

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: test-network-policy
spec:
  podSelector: {}
  ingress:
  - from:
    - podSelector:
        matchExpressions:
        - {key: role, operator: In, values: [frontend, backend]}

    同じガイドラインが spec.podSelector 仕様に適用されます。異なるネットワークポリシーに同じ ingress ルールまたは egress ルールがある場合、共通の spec.podSelector 仕様で 1 つのネットワークポリシーを作成する方が効率的な場合があります。たとえば、以下の 2 つのポリシーには異なるルールがあります。 

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: policy1
spec:
  podSelector:
    matchLabels:
      role: db
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: frontend
---
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: policy2
spec:
  podSelector:
    matchLabels:
      role: client
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: frontend

    以下のネットワークポリシーは、上記と同じ 2 つのルールを 1 つのルールとして表現しています。 

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: policy3
spec:
  podSelector:
    matchExpressions:
    - {key: role, operator: In, values: [db, client]}
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: frontend

    この最適化は、複数のセレクターを 1 つのセレクターとして表現する場合に限り適用できます。セレクターが異なるラベルに基づいている場合、この最適化は適用できない可能性があります。その場合は、ネットワークポリシーの最適化に特化して新規ラベルをいくつか適用することを検討してください。

2.1.2.1. OVN-Kubernetes の NetworkPolicy CR と外部 IP
リンクのコピー

OVN-Kubernetes では、NetworkPolicy カスタムリソース (CR) によって厳密な分離ルールが適用されます。サービスが外部 IP を使用して公開されている場合、トラフィックを許可するように明示的に設定されていない限り、ネットワークポリシーによって他の namespace からのアクセスがブロックされる可能性があります。

namespace をまたいで外部 IP へのアクセスを許可するには、必要な namespace からの Ingress を明示的に許可し、指定されたサービスポートへのトラフィックが許可されるようにする NetworkPolicy CR を作成します。必要なポートへのトラフィックを許可しなければ、アクセスが制限される可能性があります。

出力例

  apiVersion: networking.k8s.io/v1
  kind: NetworkPolicy
  metadata:
    annotations:
    name: <policy_name>
    namespace: openshift-ingress
  spec:
    ingress:
    - ports:
      - port: 80
        protocol: TCP
    - ports:
      - port: 443
        protocol: TCP
    - from:
      - namespaceSelector:
          matchLabels:
          kubernetes.io/metadata.name: <my_namespace>
    podSelector: {}
    policyTypes:
    - Ingress

ここでは、以下のようになります。

<policy_name>
ポリシーの名前を指定します。
<my_namespace>
ポリシーがデプロイされる namespace の名前を指定します。

詳細は、「ネットワークポリシーについて」を参照してください。

2.2. ネットワークポリシーの作成
リンクのコピー

クラスター管理者は、namespace のネットワークポリシーを作成できます。

2.2.1. サンプル NetworkPolicy オブジェクト
リンクのコピー

このオブジェクトの設定方法については、サンプルとなる NetworkPolicy オブジェクトを参照してください。 

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-27107
spec:
  podSelector:
    matchLabels:
      app: mongodb
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: app
    ports:
    - protocol: TCP
      port: 27017

ここでは、以下のようになります。

name
NetworkPolicy オブジェクトの名前。
spec.podSelector
ポリシーが適用される Pod を説明するセレクター。ポリシーオブジェクトは NetworkPolicy オブジェクトが定義されるプロジェクトの Pod のみを選択できます。
ingress.from.podSelector
ポリシーオブジェクトが入力トラフィックを許可する Pod に一致するセレクター。セレクターは、NetworkPolicy と同じ namespace にある Pod を照合して検索します。
ingress.ports
トラフィックを受け入れる 1 つ以上の宛先ポートのリスト。

2.2.2. CLI を使用したネットワークポリシーの作成
リンクのコピー

クラスターの namespace に許可される Ingress または Egress ネットワークトラフィックを記述する詳細なルールを定義するには、ネットワークポリシーを作成できます。

注記

cluster-admin ロールを持つユーザーでログインしている場合、クラスター内の namespace でネットワークポリシーを作成できます。

前提条件

  • クラスターが、mode: NetworkPolicy が設定された NetworkPolicy オブジェクトをサポートするネットワークプラグイン (OVN-Kubernetes ネットワークプラグインなど) を使用している。
  • OpenShift CLI (oc) がインストールされている。
  • あなたは 管理者権限 を持つユーザー特権でクラスターにログインしました。
  • ネットワークポリシーが適用される namespace で作業している。

手順

  1. ポリシールールを作成します。

    1. <policy_name>.yaml ファイルを作成します。 

      $ touch <policy_name>.yaml

      ここでは、以下のようになります。

      <policy_name>
      ネットワークポリシーファイル名を指定します。

    2. 作成したファイルにネットワークポリシーを定義します。次の例では、全 namespace 内の全 Pod からの Ingress トラフィックを拒否します。これは基本的なポリシーであり、他のネットワークポリシーの設定によって許可されたクロス Pod トラフィック以外のすべてのクロス Pod ネットワーキングをブロックします。 

      kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  ingress: []

      次の設定例では、同じ namespace 内の全 Pod からの Ingress トラフィックを許可します。 

      kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-same-namespace
spec:
  podSelector:
  ingress:
  - from:
    - podSelector: {}
# ...

      次の例では、特定の namespace から 1 つの Pod への Ingress トラフィックを許可します。このポリシーは 、名前空間 y で実行されている Pod から、pod-a ラベルを持つ Pod へのトラフィックを許可します。 

      kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-traffic-pod
spec:
  podSelector:
   matchLabels:
      pod: pod-a
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
           kubernetes.io/metadata.name: namespace-y
# ...

      次の設定例では、サービスへのトラフィックを制限します。このポリシーを適用すると、app=bookstorerole=api の両方のラベルを持つすべての Pod に、app=bookstore というラベルを持つ Pod のみがアクセスできるようになります。この例では、アプリケーションは、ラベル app=bookstore および role=api でマークされた REST API サーバーである可能性があります。

      この設定例は、次のユースケースに対応しています。

      • サービスへのトラフィックを、それを使用する必要がある他のマイクロサービスのみに制限します。

      • データベースへの接続を制限して、それを使用するアプリケーションのみを許可します。 

        kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: api-allow
spec:
  podSelector:
    matchLabels:
      app: bookstore
      role: api
  ingress:
  - from:
      - podSelector:
          matchLabels:
            app: bookstore
# ...

  2. ネットワークポリシーオブジェクトを作成するには、以下のコマンドを入力します。正常に処理された場合、ポリシーオブジェクトの名前と 作成 ステータスが表示されます。 

    $ oc apply -f <policy_name>.yaml -n <namespace>

    ここでは、以下のようになります。

    <policy_name>
    ネットワークポリシーファイル名を指定します。
    <namespace>
    オプションのパラメーター。現在の namespace とは異なる namespace でオブジェクトを定義した場合、パラメーターは namespace を指定します。

    正常に処理された場合、ポリシーオブジェクトの名前と 作成 ステータスが表示されます。

    注記

    cluster-admin 権限で Web コンソールにログインする場合、YAML で、または Web コンソールのフォームから、クラスターの任意の namespace でネットワークポリシーを直接作成できます。

2.2.3. デフォルトの全拒否ネットワークポリシーの作成
リンクのコピー

デフォルトの全拒否ネットワークポリシーは、デプロイされた他のネットワークポリシーの設定によって許可されるネットワークトラフィックと、ホストネットワークを使用する Pod 間のトラフィック以外のすべての Pod 間ネットワークをブロックします。

この手順では、my-project 名前空間に デフォルトで拒否する ポリシーを適用することにより、強力な拒否ポリシーを強制します。

警告

トラフィック通信を許可する NetworkPolicy カスタムリソース (CR) を設定しない場合、以下のポリシーはクラスター全体で通信問題を引き起こす可能性があります。

前提条件

  • クラスターが、mode: NetworkPolicy が設定された NetworkPolicy オブジェクトをサポートするネットワークプラグイン (OVN-Kubernetes ネットワークプラグインなど) を使用している。
  • OpenShift CLI (oc) がインストールされている。
  • あなたは 管理者権限 を持つユーザー特権でクラスターにログインしました。
  • ネットワークポリシーが適用される namespace で作業している。

手順

  1. すべての namespace におけるすべての Pod からの Ingress を拒否する deny-by-default ポリシーを定義する次の YAML を作成します。YAML を deny-by-default.yaml ファイルに保存します。 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: deny-by-default
  namespace: my-project
spec:
  podSelector: {}
  ingress: []

    ここでは、以下のようになります。

    namespace
    ポリシーをデプロイする namespace を指定します。たとえば、my-project という 名前空間。
    podSelector
    このフィールドが空の場合、設定はすべての Pod と一致します。したがって、このポリシーは my-project 名前空間内のすべての Pod に適用されます。
    ingress
    [] は、イングレス ルールが指定されていないことを示します。これにより、着信トラフィックがすべての Pod にドロップされます。

  2. 次のコマンドを入力して、ポリシーを適用します。正常に処理された場合、ポリシーオブジェクトの名前と 作成 ステータスが表示されます。 

    $ oc apply -f deny-by-default.yaml

2.2.4. 外部クライアントからのトラフィックを許可するネットワークポリシーの作成
リンクのコピー

deny-by-default ポリシーを設定すると、外部クライアントからラベル app=web を持つ Pod へのトラフィックを許可するポリシーの設定に進むことができます。

注記

cluster-admin ロールを持つユーザーでログインしている場合、クラスター内の namespace でネットワークポリシーを作成できます。

この手順に従って、パブリックインターネットから直接、またはロードバランサーを使用して Pod にアクセスすることにより、外部サービスを許可するポリシーを設定します。トラフィックは、ラベル app=web を持つ Pod にのみ許可されます。

前提条件

  • クラスターが、mode: NetworkPolicy が設定された NetworkPolicy オブジェクトをサポートするネットワークプラグイン (OVN-Kubernetes ネットワークプラグインなど) を使用している。
  • OpenShift CLI (oc) がインストールされている。
  • あなたは 管理者権限 を持つユーザー特権でクラスターにログインしました。
  • ネットワークポリシーが適用される namespace で作業している。

手順

  1. パブリックインターネットからのトラフィックが直接、またはロードバランサーを使用して Pod にアクセスできるようにするポリシーを作成します。YAML を web-allow-external.yaml ファイルに保存します。 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
spec:
  policyTypes:
  - Ingress
  podSelector:
    matchLabels:
      app: web
  ingress:
    - {}

  2. 次のコマンドを入力して、ポリシーを適用します。正常に処理された場合、ポリシーオブジェクトの名前と 作成 ステータスが表示されます。 

    $ oc apply -f web-allow-external.yaml

    このポリシーは、次の図に示すように、外部トラフィックを含むすべてのリソースからのトラフィックを許可します。

    外部クライアントからのトラフィックを許可する

全 namespace 内の全 Pod から特定のアプリケーションへのトラフィックを許可するポリシーを設定できます。

注記

cluster-admin ロールを持つユーザーでログインしている場合、クラスター内の namespace でネットワークポリシーを作成できます。

前提条件

  • クラスターが、mode: NetworkPolicy が設定された NetworkPolicy オブジェクトをサポートするネットワークプラグイン (OVN-Kubernetes ネットワークプラグインなど) を使用している。
  • OpenShift CLI (oc) がインストールされている。
  • あなたは 管理者権限 を持つユーザー特権でクラスターにログインしました。
  • ネットワークポリシーが適用される namespace で作業している。

手順

  1. すべての namespace のすべての Pod から特定のアプリケーションへのトラフィックを許可するポリシーを作成します。YAML を web-allow-all-namespaces.yaml ファイルに保存します。 

    apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: web-allow-all-namespaces
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector: {}

    ここでは、以下のようになります。

    app
    デフォルト名前空間の app:web Pod にのみポリシーを適用します。
    namespaceSelector

    すべての namespace のすべての Pod を選択します。

    注記

    デフォルトでは、ポリシーオブジェクトで namespaceSelector パラメーターを指定しない場合、名前空間は選択されません。これは、そのネットワークポリシーがデプロイされている namespace からのみのトラフィックを許可することを意味します。

  2. 次のコマンドを入力して、ポリシーを適用します。正常に処理された場合、ポリシーオブジェクトの名前と 作成 ステータスが表示されます。 

    $ oc apply -f web-allow-all-namespaces.yaml

検証

  1. 次のコマンドを入力して、default の名前空間で Web サービスを開始します。 

    $ oc run web --namespace=default --image=nginx --labels="app=web" --expose --port=80

  2. 次のコマンドを実行して、alpine イメージを secondary 名前空間にデプロイし、シェルを開始します。 

    $ oc run test-$RANDOM --namespace=secondary --rm -i -t --image=alpine -- sh

  3. シェルで次のコマンドを実行し、サービスがリクエストを許可することを確認します。 

    # wget -qO- --timeout=2 http://web.default
     
    <!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

特定の名前空間から、ラベルが アプリケーション=web の Pod へのトラフィックを許可するポリシーを設定できます。

この設定は、次のユースケースで役立ちます。

  • 実稼働データベースへのトラフィックを、実稼働ワークロードがデプロイされている namespace のみに制限します。
  • 特定の namespace にデプロイされた監視ツールを有効にして、現在の namespace からメトリクスをスクレイピングします。
注記

cluster-admin ロールを持つユーザーでログインしている場合、クラスター内の namespace でネットワークポリシーを作成できます。

前提条件

  • クラスターが、mode: NetworkPolicy が設定された NetworkPolicy オブジェクトをサポートするネットワークプラグイン (OVN-Kubernetes ネットワークプラグインなど) を使用している。
  • OpenShift CLI (oc) がインストールされている。
  • あなたは 管理者権限 を持つユーザー特権でクラスターにログインしました。
  • ネットワークポリシーが適用される namespace で作業している。
警告

network.openshift.io/policy-group: ingress ラベルをカスタム名前空間またはプロジェクトに適用しないでください。このラベルは Operator が管理し、OpenShift Dedicated のネットワーク機能専用に予約されています。システムによって作成された名前空間では、これを変更してはいけません。

このラベルを使用すると、断続的なネットワーク接続の切断、意図しないシステム NetworkPolicies リソースの適用、またはオペレーターが状態を調整しようとする際に設定のずれが発生する可能性があります。カスタムトラフィックグループを作成する場合は、必ず以下の手順に示すように、一意のユーザー定義ラベルを使用してください。

手順

  1. ラベルが Purpose=production の特定の名前空間内のすべての Pod からのトラフィックを許可するポリシーを作成します。YAML を web-allow-prod.yaml ファイルに保存します。 

    kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: web-allow-prod
  namespace: default
spec:
  podSelector:
    matchLabels:
      app: web
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          purpose: production

    ここでは、以下のようになります。

    app
    デフォルトの名前空間の app:web Pod にのみポリシーを適用します。
    purpose
    ラベルが purpose=production の名前空間内の Pod のみにトラフィックを制限します。

  2. 次のコマンドを入力して、ポリシーを適用します。正常に処理された場合、ポリシーオブジェクトの名前と 作成 ステータスが表示されます。 

    $ oc apply -f web-allow-prod.yaml

検証

  1. 次のコマンドを入力して、default の名前空間で Web サービスを開始します。 

    $ oc run web --namespace=default --image=nginx --labels="app=web" --expose --port=80

  2. 次のコマンドを実行して、prod namespace を作成します。 

    $ oc create namespace prod

  3. 次のコマンドを実行して、prod 名前空間にラベルを付けます。 

    $ oc label namespace/prod purpose=production

  4. 次のコマンドを実行して、dev 名前空間を作成します。 

    $ oc create namespace dev

  5. 次のコマンドを実行して、dev 名前空間にラベルを付けます。 

    $ oc label namespace/dev purpose=testing

  6. 次のコマンドを実行して、alpine イメージを dev 名前空間にデプロイし、シェルを開始します。 

    $ oc run test-$RANDOM --namespace=dev --rm -i -t --image=alpine -- sh

  7. シェルで次のコマンドを実行し、ブロックされた要求の理由を確認します。たとえば、期待される出力は wget: download timed out です

    # wget -qO- --timeout=2 http://web.default

  8. 次のコマンドを実行して、alpine イメージを prod namespace にデプロイし、シェルを開始します。 

    $ oc run test-$RANDOM --namespace=prod --rm -i -t --image=alpine -- sh

  9. シェルで次のコマンドを実行し、リクエストが許可されていることを確認します。 

    # wget -qO- --timeout=2 http://web.default
     
    <!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
html { color-scheme: light dark; }
body { width: 35em; margin: 0 auto;
font-family: Tahoma, Verdana, Arial, sans-serif; }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>

2.2.7. OpenShift Cluster Manager を使用したネットワークポリシーの作成
リンクのコピー

クラスターの namespace に許可される Ingress または egress ネットワークトラフィックを記述する詳細なルールを定義するには、ネットワークポリシーを作成できます。

前提条件

  • OpenShift Cluster Manager にログインしている。
  • OpenShift Dedicated クラスターを作成している。
  • クラスターにアイデンティティープロバイダーを設定している。
  • 設定したアイデンティティープロバイダーにユーザーアカウントを追加している。
  • OpenShift Dedicated クラスター内にプロジェクトを作成しました。

手順

  1. OpenShift Cluster Manager から、アクセスするクラスターをクリックします。
  2. コンソールを開く をクリックして、OpenShift Web コンソールに移動します。
  3. ご利用のアイデンティティープロバイダーをクリックし、認証情報を入力してクラスターにログインしてください。
  4. 管理者の観点から、Networking の下の NetworkPolicies をクリックします。
  5. NetworkPolicy の作成 をクリックします。
  6. ポリシー名 欄にポリシーの名前を入力してください。
  7. オプション: このポリシーが 1 つまたは複数の特定の Pod にのみ適用される場合は、特定の Pod のラベルとセレクターを指定できます。特定の Pod を選択しない場合、このポリシーはクラスター上のすべての Pod に適用されます。
  8. オプション: Deny all ingress traffic または Deny all egress traffic チェックボックスを使用して、すべてのイングレストラフィックとエグレストラフィックをブロックできます。
  9. イングレスルールとエグレスルールの任意の組み合わせを追加して、承認するポート、名前空間、または IP ブロックを指定することもできます。

  10. Ingress ルールをポリシーに追加します。

    1. Add ingress rule を選択して新規ルールを設定します。この操作により、受信トラフィックを制限する方法を指定するための 許可された送信元を追加 ドロップダウンメニューを含む新しい イングレスルール 行が作成されます。ドロップダウンメニューでは、Ingress トラフィックを制限する 3 つのオプションを利用できます。

      • Allow pods from the same namespace では、空間内の Pod へのトラフィックが制限されます。namespace に Pod を指定できますが、このオプションは空のままにすると namespace の Pod からのすべてのトラフィックを許可します。
      • Allow pods from inside the cluster では、ポリシーと同じクラスター内の Pod へのトラフィックが制限されます。インバウンドトラフィックを許可する名前空間と Pod を指定できます。このオプションを空白のままにすると、このクラスター内のすべての名前空間と Pod からのインバウンドトラフィックが許可されます。
      • IP ブロックによるピアの許可 は、指定された Classless Inter-Domain Routing (CIDR) IP ブロックからのトラフィックを制限します。例外オプションを使用して、特定の IP をブロックできます。CIDR フィールドを空白のままにすると、すべての外部ソースからのすべてのインバウンドトラフィックが許可されます。
    2. すべての受信トラフィックをポートに制限できます。ポートを追加しない場合、トラフィックはすべてのポートにアクセスできます。

  11. ネットワークポリシーにエグレスルールを追加します。

    1. Add egress rule を選択し、新しいルールを設定します。この操作により、送信トラフィックを制限する方法を指定するための 許可された宛先を追加 ドロップダウンメニューを持つ新しい 送信ルール 行が作成されます。ドロップダウンメニューには、下りトラフィックを制限する 3 つのオプションがあります。

      • Allow pods from the same namespace では、同じ namespace 内の Pod へのトラフィックが制限されます。namespace に Pod を指定できますが、このオプションは空のままにすると namespace の Pod からのすべてのトラフィックを許可します。
      • Allow pods from inside the cluster では、ポリシーと同じクラスター内の Pod へのトラフィックが制限されます。アウトバウンドトラフィックを許可する namespace および Pod を指定できます。このオプションを空白のままにすると、このクラスター内のすべての名前空間と Pod からのアウトバウンドトラフィックが許可されます。
      • Allow peers by IP block すると、指定された CIDR IP ブロックからのトラフィックが制限されます。例外オプションを使用して、特定の IP をブロックできます。CIDR フィールドを空白のままにすると、すべての外部ソースからのすべてのアウトバウンドが許可されます。
    2. すべてのアウトバウンドトラフィックをポートに制限できます。ポートを追加しない場合、トラフィックはすべてのポートにアクセスできます。

2.3. ネットワークポリシーの表示
リンクのコピー

クラスター管理者は、namespace のネットワークポリシーを表示できます。

2.3.1. サンプル NetworkPolicy オブジェクト
リンクのコピー

このオブジェクトの設定方法については、サンプルとなる NetworkPolicy オブジェクトを参照してください。 

kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-27107
spec:
  podSelector:
    matchLabels:
      app: mongodb
  ingress:
  - from:
    - podSelector:
        matchLabels:
          app: app
    ports:
    - protocol: TCP
      port: 27017

ここでは、以下のようになります。

name
NetworkPolicy オブジェクトの名前。
spec.podSelector
ポリシーが適用される Pod を説明するセレクター。ポリシーオブジェクトは NetworkPolicy オブジェクトが定義されるプロジェクトの Pod のみを選択できます。
ingress.from.podSelector
ポリシーオブジェクトが入力トラフィックを許可する Pod に一致するセレクター。セレクターは、NetworkPolicy と同じ namespace にある Pod を照合して検索します。
ingress.ports
トラフィックを受け入れる 1 つ以上の宛先ポートのリスト。

2.3.2. CLI を使用したネットワークポリシーの表示
リンクのコピー

namespace のネットワークポリシーを検査できます。

注記

cluster-admin 特権でログインすると、クラスター内の任意のネームスペースのネットワークポリシーを編集できます。

注記

cluster-admin 特権でログインすると、クラスター内の任意のネームスペースのネットワークポリシーを編集できます。Web コンソールでは、YAML 形式で直接ポリシーを編集するか、アクション メニューを使用して編集できます。

前提条件

  • OpenShift CLI (oc) がインストールされている。
  • admin 権限を持つユーザーとしてクラスターにログインしている。
  • ネットワークポリシーが存在する namespace で作業している。

手順

  1. namespace 内のネットワークポリシーをリスト表示します。

    1. 次のコマンドを入力し、namespace 内に定義されているネットワークポリシーオブジェクトを表示します。 

      $ oc get networkpolicy

    2. オプション: 特定のネットワークポリシーを調べるには、次のコマンドを入力します。 

      $ oc describe networkpolicy <policy_name> -n <namespace>

      ここでは、以下のようになります。

      <policy_name>
      検査するネットワークポリシーの名前を指定します。
      <namespace>

      オプション: オブジェクトが現在の namespace 以外の namespace に定義されている場合は namespace を指定します。 

      $ oc describe networkpolicy allow-same-namespace
       
      Name:         allow-same-namespace
Namespace:    ns1
Created on:   2021-05-24 22:28:56 -0400 EDT
Labels:       <none>
Annotations:  <none>
Spec:
  PodSelector:     <none> (Allowing the specific traffic to all pods in this namespace)
  Allowing ingress traffic:
    To Port: <any> (traffic allowed to all ports)
    From:
      PodSelector: <none>
  Not affecting egress traffic
  Policy Types: Ingress

2.3.3. OpenShift Cluster Manager を使用したネットワークポリシーの表示
リンクのコピー

Red Hat OpenShift Cluster Manager でネットワークポリシーの設定の詳細を表示できます。

前提条件

  • OpenShift Cluster Manager にログインしている。
  • OpenShift Dedicated クラスターを作成している。
  • クラスターにアイデンティティープロバイダーを設定している。
  • 設定したアイデンティティープロバイダーにユーザーアカウントを追加している。
  • ネットワークポリシーを作成しました。

手順

  1. OpenShift Cluster Manager Web コンソールの 管理者 視点から、[ネットワーク] の下にある [ネットワークポリシー] をクリックします。
  2. 表示するネットワークポリシーを選択してください。
  3. ネットワークポリシー の詳細ページで、関連付けられたすべての Ingress および egress ルールを表示できます。

  4. ネットワークポリシーの詳細で YAML を選択して、ポリシー設定を YAML 形式で表示します。

    注記

    これらのポリシーの詳細のみを表示できます。これらのポリシーは編集できません。

2.4. ネットワークポリシーの削除
リンクのコピー

クラスター管理者は、namespace からネットワークポリシーを削除できます。

2.4.1. CLI を使用したネットワークポリシーの削除
リンクのコピー

namespace のネットワークポリシーを削除できます。

注記

cluster-admin 特権でログインすると、クラスター内の任意の名前空間にあるネットワークポリシーを削除できます。

注記

cluster-admin 特権でログインすると、クラスター内の任意の名前空間にあるネットワークポリシーを削除できます。Web コンソールでは、YAML 形式で直接ポリシーを削除するか、アクション メニューを使用してポリシーを削除できます。

前提条件

  • クラスターが、mode: NetworkPolicy が設定された NetworkPolicy オブジェクトをサポートするネットワークプラグイン (OVN-Kubernetes ネットワークプラグインなど) を使用している。
  • OpenShift CLI (oc) がインストールされている。
  • あなたは 管理者権限 を持つユーザー特権でクラスターにログインしました。
  • ネットワークポリシーが存在する namespace で作業している。

手順

  • ネットワークポリシーオブジェクトを削除するには、以下のコマンドを入力します。正常に処理された場合、ポリシーオブジェクトの名前と 削除 ステータスが表示されます。 

    $ oc delete networkpolicy <policy_name> -n <namespace>

    ここでは、以下のようになります。

    <policy_name>
    ネットワークポリシーの名前を指定します。
    <namespace>
    オプションのパラメーター。現在の namespace とは異なる namespace でオブジェクトを定義した場合、パラメーターは namespace を指定します。

2.4.2. OpenShift Cluster Manager を使用したネットワークポリシーの削除
リンクのコピー

namespace のネットワークポリシーを削除できます。

前提条件

  • OpenShift Cluster Manager にログインしている。
  • OpenShift Dedicated クラスターを作成している。
  • クラスターにアイデンティティープロバイダーを設定している。
  • 設定したアイデンティティープロバイダーにユーザーアカウントを追加している。

手順

  1. OpenShift Cluster Manager Web コンソールの Administrator パースペクティブから、Networking の下にある NetworkPolicies をクリックします。

  2. ネットワークポリシーを削除するには、次のいずれかの方法を使用します。

    1. ネットワークポリシー テーブルからポリシーを削除します。

      1. ネットワークポリシー テーブルから、削除するネットワークポリシーの行にあるスタックメニューを選択し、NetworkPolicy の削除 をクリックします。

    2. 個々のネットワークポリシーの詳細から アクション ドロップダウンメニューを使用してポリシーを削除します。

      1. ネットワークポリシーの アクション ドロップダウンメニューをクリックしてください。
      2. メニューから Delete NetworkPolicy を選択します。

2.5. ネットワークポリシーを使用したマルチテナント分離の設定
リンクのコピー

マルチテナントクラスター内のプロジェクト間でネットワークトラフィックを分離するために、ネットワークポリシーを設定できます。この分離により、異なる名前空間にあるワークロード間の不正な通信を防ぐことができます。

クラスター管理者は、マルチテナントネットワークの分離を実行するようにネットワークポリシーを設定できます。

注記

このセクションで説明するようにネットワークポリシーを設定すると、以前のバージョンの OpenShift Dedicated における OpenShift SDN のマルチテナントモードと同様のネットワーク分離が実現します。

2.5.1. ネットワークポリシーを使用したマルチテナント分離の設定
リンクのコピー

ネットワークポリシーを設定することで、プロジェクト内のワークロードを、他の名前空間の Pod やサービスから分離できます。この分離により、プロジェクト間のネットワークトラフィックを制御し、クラスター内のマルチテナントセキュリティーを向上させることができます。

前提条件

  • クラスターが、mode: NetworkPolicy が設定された NetworkPolicy オブジェクトをサポートするネットワークプラグイン (OVN-Kubernetes ネットワークプラグインなど) を使用している。
  • OpenShift CLI (oc) がインストールされている。
  • admin 権限を持つユーザーとしてクラスターにログインしている。

手順

  1. 以下の NetworkPolicy オブジェクトを作成します。

    1. allow-from-openshift-ingress という名前のポリシー: 

      $ cat << EOF| oc create -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-openshift-ingress
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          policy-group.network.openshift.io/ingress: ""
  podSelector: {}
  policyTypes:
  - Ingress
EOF
      注記

      policy-group.network.openshift.io/ingress: "" は、OVN-Kubernetes の推奨される namespace セレクターラベルです。

    2. allow-from-openshift-monitoring という名前のポリシー。 

      $ cat << EOF| oc create -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-openshift-monitoring
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          network.openshift.io/policy-group: monitoring
  podSelector: {}
  policyTypes:
  - Ingress
EOF

    3. allow-same-namespace という名前のポリシー: 

      $ cat << EOF| oc create -f -
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
  name: allow-same-namespace
spec:
  podSelector:
  ingress:
  - from:
    - podSelector: {}
EOF

    4. allow-from-kube-apiserver-operator という名前のポリシー: 

      $ cat << EOF| oc create -f -
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-from-kube-apiserver-operator
spec:
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          kubernetes.io/metadata.name: openshift-kube-apiserver-operator
      podSelector:
        matchLabels:
          app: kube-apiserver-operator
  policyTypes:
  - Ingress
EOF

      詳細は、新規の New kube-apiserver-operator webhook controller validating health of webhook を参照してください。

  2. オプション: 以下のコマンドを実行し、ネットワークポリシーオブジェクトが現在のプロジェクトに存在することを確認します。 

    $ oc describe networkpolicy

    出力例

    Name:         allow-from-openshift-ingress
Namespace:    example1
Created on:   2020-06-09 00:28:17 -0400 EDT
Labels:       <none>
Annotations:  <none>
Spec:
  PodSelector:     <none> (Allowing the specific traffic to all pods in this namespace)
  Allowing ingress traffic:
    To Port: <any> (traffic allowed to all ports)
    From:
      NamespaceSelector: policy-group.network.openshift.io/ingress:
  Not affecting egress traffic
  Policy Types: Ingress


Name:         allow-from-openshift-monitoring
Namespace:    example1
Created on:   2020-06-09 00:29:57 -0400 EDT
Labels:       <none>
Annotations:  <none>
Spec:
  PodSelector:     <none> (Allowing the specific traffic to all pods in this namespace)
  Allowing ingress traffic:
    To Port: <any> (traffic allowed to all ports)
    From:
      NamespaceSelector: network.openshift.io/policy-group: monitoring
  Not affecting egress traffic
  Policy Types: Ingress

第3章 OpenShift Dedicated クラスターのネットワーク検証
リンクのコピー

OpenShift Dedicated クラスターを既存の Virtual Private Cloud (VPC) にデプロイするとき、またはクラスターに新しいサブネットを持つ追加のマシンプールを作成するときに、ネットワーク検証チェックが自動的に実行します。このチェックによりネットワーク設定が検証され、エラーが強調表示されるため、クラスターのデプロイメント前に設定の問題を解決できます。ネットワーク検証チェックを手動で実行して、既存のクラスターの設定を検証することもできます。

3.1. OpenShift Dedicated クラスターのネットワーク検証について
リンクのコピー

OpenShift Dedicated クラスターを既存の Virtual Private Cloud (VPC) にデプロイするか、クラスターに新しいサブネットを持つ追加のマシンプールを作成すると、ネットワーク検証が自動的に実行します。これは、クラスターをデプロイメントする前に設定の問題を特定して解決する上で役立ちます。

Red Hat OpenShift Cluster Manager を使用してクラスターをインストールする準備をする場合は、Virtual Private Cloud (VPC) subnet settings ページのサブネット ID フィールドにサブネットを入力した後に自動チェックが実行します。

クラスターに新規のサブネットを持つマシンプールを追加すると、自動ネットワーク検証機能がサブネットをチェックし、マシンプールをプロビジョニングする前にネットワーク接続が利用可能であることを確認します。

自動ネットワーク検証が完了すると、システムはサービスログに記録を送信します。レコードには、ネットワーク設定エラーを含む検証チェックの結果が示されます。特定された問題をデプロイメント前に解決すると、デプロイメントが成功する可能性が高くなります。

既存のクラスターに対してネットワーク検証を手動で実行し、設定変更後にネットワーク設定を確認することもできます。ネットワーク検証チェックを手動で実行する手順は、ネットワーク検証を手動で実行する を参照してください。

3.2. ネットワーク検証チェックの範囲
リンクのコピー

ネットワーク検証には、次の各要件のチェックが含まれます。

  • 親の Virtual Private Cloud (VPC) がある。
  • 指定されたすべてのサブネットは VPC に属している。
  • VPC で enableDnsSupport が有効になっている。
  • VPC で enableDnsHostnames が有効になっている。
  • 必要なドメインとポートの組み合わせに対して、データ送信が可能です。

3.3. 自動ネットワーク検証のバイパス
リンクのコピー

既知のネットワーク設定の問題がある OpenShift Dedicated クラスターを既存の Virtual Private Cloud (VPC) にデプロイする場合は、自動ネットワーク検証を回避できます。

クラスターの作成時にネットワーク検証を回避すると、クラスターのサポートステータスは制限されます。インストール後、問題を解決してからネットワーク検証を手動で実行できます。検証が成功すると、限定サポート状況が解除されます。

Red Hat OpenShift Cluster Manager を使用して既存の VPC にクラスターをインストールする時に、Virtual Private Cloud (VPC) subnet settings ページで Bypass network verification を選択することで自動検証を回避できます。

3.4. ネットワーク検証を手動で実行する
リンクのコピー

Red Hat OpenShift Cluster Manager を使用して、既存の OpenShift Dedicated クラスターのネットワーク検証チェックを手動で実行できます。

前提条件

  • 既存の OpenShift Dedicated クラスターがある。
  • クラスター所有者になっているか、クラスター編集者のロールがある。

手順

  1. OpenShift Cluster Manager に移動し、クラスターを選択します。
  2. Actions ドロップダウンメニューから Verify networking を選択します。
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る