Red Hat Summit3.7. ネットワークの前提条件
3.7.1. 最小帯域幅
OpenShift Dedicated では、クラスターのデプロイメント中、クラスターインフラストラクチャーと、デプロイメントアーティファクトおよびリソースを提供するパブリックインターネットまたはプライベートネットワークロケーションとの間に、最低 120 Mbps の帯域幅が必要です。ネットワーク接続が 120 Mbps より遅い場合 (たとえば、プロキシー経由で接続している場合)、クラスターのインストールプロセスがタイムアウトし、デプロイメントが失敗します。
クラスターのデプロイ後のネットワーク要件はワークロードに基づきます。ただし、最小帯域幅 120 Mbps は、クラスターと Operator を適切なタイミングで確実にアップグレードするために役立ちます。
3.7.2. ファイアウォールの前提条件
ファイアウォールを使用して OpenShift Dedicated からの Egress トラフィックを制御している場合は、以下の特定のドメインとポートの組み合わせへのアクセスを許可するようにファイアウォールを設定する必要があります。OpenShift Dedicated がフルマネージドの OpenShift サービスを提供するには、このアクセスが必要です。
前提条件
- AWS Virtual Private Cloud (VPC) に Amazon S3 ゲートウェイエンドポイントを設定した。このエンドポイントは、クラスターから Amazon S3 サービスへのリクエストを完了するために必要です。
手順
パッケージとツールのインストールおよびダウンロードに使用される以下の URL を許可リストに指定します。
Expand ドメイン ポート 機能 registry.redhat.io443
コアコンテナーイメージを指定します。
quay.io443
コアコンテナーイメージを指定します。
cdn01.quay.io443
コアコンテナーイメージを指定します。
cdn02.quay.io443
コアコンテナーイメージを指定します。
cdn03.quay.io443
コアコンテナーイメージを指定します。
cdn04.quay.io443
コアコンテナーイメージを指定します。
cdn05.quay.io443
コアコンテナーイメージを指定します。
cdn06.quay.io443
コアコンテナーイメージを指定します。
sso.redhat.com443
必須。
https://console.redhat.com/openshiftサイトでは、sso.redhat.comからの認証を使用してプルシークレットをダウンロードし、Red Hat SaaS ソリューションを使用してサブスクリプション、クラスターインベントリー、チャージバックレポートなどのモニタリングを行います。quay-registry.s3.amazonaws.com443
コアコンテナーイメージを指定します。
quayio-production-s3.s3.amazonaws.com443
コアコンテナーイメージを指定します。
registry.access.redhat.com443
Red Hat Ecosytem Catalog に保存されているすべてのコンテナーイメージをホストします。さらに、レジストリーは、開発者が OpenShift および Kubernetes 上で構築するのに役立つ
odoCLI ツールへのアクセスを提供します。access.redhat.com443
必須。コンテナークライアントが
registry.access.redhat.comからイメージを取得するときにイメージを検証するために必要な署名ストアをホストします。registry.connect.redhat.com443
すべてのサードパーティーのイメージと認定 Operator に必要です。
console.redhat.com443
必須。クラスターと OpenShift Cluster Manager 間の対話を可能にし、アップグレードのスケジューリングなどの機能を有効にします。
sso.redhat.com443
https://console.redhat.com/openshiftサイトは、sso.redhat.comからの認証を使用します。pull.q1w2.quay.rhcloud.com443
quay.io が利用できない場合のフォールバックとして、コアコンテナーイメージを提供します。
catalog.redhat.com443
registry.access.redhat.comおよびhttps://registry.redhat.ioサイトはcatalog.redhat.comにリダイレクトされます。oidc.op1.openshiftapps.com443
マネージド OIDC 設定で STS を実装するために、OpenShift Dedicated によって使用されます。
次のテレメトリー URL を許可リストに追加します。
Expand ドメイン ポート 機能 cert-api.access.redhat.com443
テレメトリーに必要です。
api.access.redhat.com443
テレメトリーに必要です。
infogw.api.openshift.com443
テレメトリーに必要です。
console.redhat.com443
テレメトリーと Red Hat Insights に必要です。
observatorium-mst.api.openshift.com443
マネージド OpenShift 固有のテレメトリーに使用されます。
observatorium.api.openshift.com443
マネージド OpenShift 固有のテレメトリーに使用されます。
マネージドクラスターでは、テレメトリーを有効にする必要があります。これは、Red Hat が問題に迅速に対応し、お客様をより適切にサポートし、製品のアップグレードがクラスターに与える影響をよりよく理解できるようにするためです。Red Hat によるリモートヘルスモニタリングデータの使用方法の詳細は 関連情報 セクションの リモートヘルスモニタリングについて を参照してください。
次の Amazon Web Services (AWS) API の URL を許可リストに追加します。
Expand ドメイン ポート 機能 .amazonaws.com443
AWS サービスおよびリソースへのアクセスに必要です。
または、Amazon Web Services (AWS) API にワイルドカードを使用しない場合は、次の URL を許可リストに追加する必要があります。
Expand ドメイン ポート 機能 ec2.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
events.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
iam.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
route53.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
sts.amazonaws.com443
AWS STS のグローバルエンドポイントを使用するように設定されたクラスターの場合は、AWS 環境にクラスターをインストールおよび管理するために使用されます。
sts.<aws_region>.amazonaws.com443
AWS STS の地域化されたエンドポイントを使用するように設定されたクラスターの場合は、AWS 環境にクラスターをインストールおよび管理するために使用されます。詳細は、AWS STS の地域化されたエンドポイント を参照してください。
tagging.us-east-1.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。このエンドポイントは、クラスターがデプロイメントされているリージョンに関係なく、常に us-east-1 です。
ec2.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
elasticloadbalancing.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
tagging.<aws_region>.amazonaws.com443
タグの形式で AWS リソースに関するメタデータを割り当てることができます。
次の OpenShift URL を許可リストに追加します。
Expand ドメイン ポート 機能 mirror.openshift.com443
ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに使用されます。このサイトはリリースイメージ署名のソースでもあります。
api.openshift.com443
クラスターに更新が利用可能かどうかを確認するのに使用されます。
次の Site Reliability Engineering (SRE) および管理 URL を許可リストに追加します。
Expand ドメイン ポート 機能 api.pagerduty.com443
このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知に関するアラートが送信されます。
events.pagerduty.com443
このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知に関するアラートが送信されます。
api.deadmanssnitch.com443
クラスターが利用可能かどうかを示す定期的な ping を送信して、OpenShift Dedicated が使用するアラートサービス。
nosnch.in443
クラスターが利用可能かどうかを示す定期的な ping を送信して、OpenShift Dedicated が使用するアラートサービス。
http-inputs-osdsecuritylogs.splunkcloud.com443
必須。
splunk-forwarder-operatorによって使用され、ログベースのアラートに Red Hat SRE が使用するロギング転送エンドポイントとして使用されます。sftp.access.redhat.com(推奨)22
must-gather-operatorが、クラスターに関する問題のトラブルシューティングに役立つ診断ログをアップロードするのに使用される SFTP サーバー。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}