2.7. AWS ファイアウォールの前提条件

手順

1. パッケージとツールのインストールおよびダウンロードに使用される以下の URL を許可リストに指定します。

   ドメイン	ポート	機能
   registry.redhat.io	443	コアコンテナーイメージを指定します。
   quay.io	443	コアコンテナーイメージを指定します。
   cdn01.quay.io	443	コアコンテナーイメージを指定します。
   cdn02.quay.io	443	コアコンテナーイメージを指定します。
   cdn03.quay.io	443	コアコンテナーイメージを指定します。
   sso.redhat.com	443	必須。https://console.redhat.com/openshift サイトでは、sso.redhat.com からの認証を使用してプルシークレットをダウンロードし、Red Hat SaaS ソリューションを使用してサブスクリプション、クラスターインベントリー、チャージバックレポートなどのモニタリングを行います。
   quay-registry.s3.amazonaws.com	443	コアコンテナーイメージを指定します。
   quayio-production-s3.s3.amazonaws.com	443	コアコンテナーイメージを指定します。
   openshift.org	443	Red Hat Enterprise Linux CoreOS (RHCOS) イメージを提供します。
   registry.access.redhat.com	443	Red Hat Ecosytem Catalog に保存されているすべてのコンテナーイメージをホストします。さらに、レジストリーは、開発者が OpenShift および Kubernetes 上で構築するのに役立つ odo CLI ツールへのアクセスを提供します。
   access.redhat.com	443	必須。コンテナークライアントが registry.access.redhat.com からイメージを取得するときにイメージを検証するために必要な署名ストアをホストします。
   registry.connect.redhat.com	443	すべてのサードパーティーのイメージと認定 Operator に必要です。
   console.redhat.com	443	必須。クラスターと OpenShift Cluster Manager 間の対話を可能にし、アップグレードのスケジューリングなどの機能を有効にします。
   sso.redhat.com	443	https://console.redhat.com/openshift サイトは、sso.redhat.com からの認証を使用します。
   pull.q1w2.quay.rhcloud.com	443	quay.io が利用できない場合のフォールバックとして、コアコンテナーイメージを提供します。
   .q1w2.quay.rhcloud.com	443	quay.io が利用できない場合のフォールバックとして、コアコンテナーイメージを提供します。
   www.okd.io	443	openshift.org サイトは www.okd.io にリダイレクトされます。
   www.redhat.com	443	sso.redhat.com サイトは www.redhat.com にリダイレクトされます。
   aws.amazon.com	443	iam.amazonaws.com および sts.amazonaws.com サイトは aws.amazon.com にリダイレクトされます。
   catalog.redhat.com	443	registry.access.redhat.com および https://registry.redhat.io サイトは catalog.redhat.com にリダイレクトされます。
   dvbwgdztaeq9o.cloudfront.net [1]	443	マネージド OIDC 設定を使用した STS 実装で、ROSA が使用します。

   1. リソースのリダイレクトが必要な大規模なクラウドフロントの停止が発生した場合、cloudfront.net の前の英数字の文字列が変更される可能性があります。

2. 次のテレメトリー URL を許可リストします。

   ドメイン	ポート	機能
   cert-api.access.redhat.com	443	テレメトリーに必要です。
   api.access.redhat.com	443	テレメトリーに必要です。
   infogw.api.openshift.com	443	テレメトリーに必要です。
   console.redhat.com	443	テレメトリーと Red Hat Insights に必要です。
   cloud.redhat.com/api/ingress	443	テレメトリーと Red Hat Insights に必要です。
   observatorium-mst.api.openshift.com	443	マネージド OpenShift 固有のテレメトリーに使用されます。
   observatorium.api.openshift.com	443	マネージド OpenShift 固有のテレメトリーに使用されます。

   マネージドクラスターでは、テレメトリーを有効にする必要があります。これは、Red Hat が問題に迅速に対応し、お客様をより適切にサポートし、製品のアップグレードがクラスターに与える影響をよりよく理解できるようにするためです。Red Hat によるリモートヘルスモニタリングデータの使用方法の詳細は 関連情報 セクションの リモートヘルスモニタリングについて を参照してください。

3. 次の Amazon Web Services (AWS) API URl を許可リストします。

   ドメイン	ポート	機能
   .amazonaws.com	443	AWS サービスおよびリソースへのアクセスに必要です。

   または、Amazon Web Services (AWS) API にワイルドカードを使用しない場合は、次の URL を許可リストに追加する必要があります。

   ドメイン	ポート	機能
   ec2.amazonaws.com	443	AWS 環境でのクラスターのインストールおよび管理に使用されます。
   events.<aws_region>.amazonaws.com	443	AWS 環境でのクラスターのインストールおよび管理に使用されます。
   iam.amazonaws.com	443	AWS 環境でのクラスターのインストールおよび管理に使用されます。
   route53.amazonaws.com	443	AWS 環境でのクラスターのインストールおよび管理に使用されます。
   sts.amazonaws.com	443	AWS STS のグローバルエンドポイントを使用するように設定されたクラスターの場合は、AWS 環境にクラスターをインストールおよび管理するために使用されます。
   sts.<aws_region>.amazonaws.com	443	AWS STS の地域化されたエンドポイントを使用するように設定されたクラスターの場合は、AWS 環境にクラスターをインストールおよび管理するために使用されます。詳細は、AWS STS の地域化されたエンドポイント を参照してください。
   tagging.us-east-1.amazonaws.com	443	AWS 環境でのクラスターのインストールおよび管理に使用されます。このエンドポイントは、クラスターがデプロイメントされているリージョンに関係なく、常に us-east-1 です。
   ec2.<aws_region>.amazonaws.com	443	AWS 環境でのクラスターのインストールおよび管理に使用されます。
   elasticloadbalancing.<aws_region>.amazonaws.com	443	AWS 環境でのクラスターのインストールおよび管理に使用されます。
   tagging.<aws_region>.amazonaws.com	443	タグの形式で AWS リソースに関するメタデータを割り当てることができます。

4. 以下の OpenShift URL を許可リストします。

   ドメイン	ポート	機能
   mirror.openshift.com	443	ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに使用されます。Cluster Version Operator (CVO) には単一の機能ソースのみが必要ですが、このサイトはリリースイメージ署名のソースでもあります。
   storage.googleapis.com/openshift-release (推奨)	443	mirror.openshift.com/ の代替サイト。quay.io からプルするイメージを把握するのにクラスターが使用するプラットフォームリリース署名をダウンロードするのに使用されます。
   api.openshift.com	443	クラスターに更新が利用可能かどうかを確認するのに使用されます。

5. 次のサイトリライアビリティーエンジニアリング (SRE) および管理 URL を許可リストします。

   ドメイン	ポート	機能
   api.pagerduty.com	443	このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知に関するアラートが送信されます。
   events.pagerduty.com	443	このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知に関するアラートが送信されます。
   api.deadmanssnitch.com	443	クラスターが利用可能かどうかを示す定期的な ping を送信して、OpenShift Dedicated が使用するアラートサービス。
   nosnch.in	443	クラスターが利用可能かどうかを示す定期的な ping を送信して、OpenShift Dedicated が使用するアラートサービス。
   .osdsecuritylogs.splunkcloud.com または inputs1.osdsecuritylogs.splunkcloud.cominputs2.osdsecuritylogs.splunkcloud.cominputs4.osdsecuritylogs.splunkcloud.cominputs5.osdsecuritylogs.splunkcloud.cominputs6.osdsecuritylogs.splunkcloud.cominputs7.osdsecuritylogs.splunkcloud.cominputs8.osdsecuritylogs.splunkcloud.cominputs9.osdsecuritylogs.splunkcloud.cominputs10.osdsecuritylogs.splunkcloud.cominputs11.osdsecuritylogs.splunkcloud.cominputs12.osdsecuritylogs.splunkcloud.cominputs13.osdsecuritylogs.splunkcloud.cominputs14.osdsecuritylogs.splunkcloud.cominputs15.osdsecuritylogs.splunkcloud.com	9997	splunk-forwarder-operator によって使用され、ログベースのアラートについて Red Hat SRE が使用するロギング転送エンドポイントとして使用されます。
   http-inputs-osdsecuritylogs.splunkcloud.com	443	必須。splunk-forwarder-operator によって使用され、ログベースのアラートについて Red Hat SRE が使用するロギング転送エンドポイントとして使用されます。
   sftp.access.redhat.com (推奨)	22	must-gather-operator が、クラスターに関する問題のトラブルシューティングに役立つ診断ログをアップロードするのに使用される SFTP サーバー。

6. オプションのサードパーティーコンテンツに対する次の URL を許可リストに追加します。

   ドメイン	ポート	機能
   registry.connect.redhat.com	443	すべてのサードパーティーのイメージと認定 Operator に必要です。
   rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com	443	registry.connect.redhat.com でホストされているコンテナーイメージにアクセスできます
   oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com	443	Sonatype Nexus、F5 Big IP Operator に必要です。

7. ビルドに必要な言語またはフレームワークのリソースを提供するサイトを許可リストに指定します。
8. OpenShift で使用される言語およびフレームワークに依存するアウトバウンド URL を許可リストに指定します。ファイアウォールまたはプロキシーで許可できる推奨 URL のリストは、OpenShift Outbound URLs to Allow を参照してください。