Red Hat Summit2.7. Google Cloud ファイアウォールの前提条件
ファイアウォールを使用して Google Cloud の OpenShift Dedicated からの送信トラフィックを制御する場合、以下の表に一覧表示されている特定のドメインとポートの組み合わせへのアクセスを許可するようにファイアウォールを設定する必要があります。OpenShift Dedicated がフルマネージドの OpenShift サービスを提供するには、このアクセスが必要です。
Private Service Connect でデプロイされた Google Cloud クラスターの OpenShift Dedicated のみが、ファイアウォールを使用して出力トラフィックを制御できます。
手順
パッケージとツールのインストールとダウンロードに使用する次の URL を許可リストに追加します。
Expand ドメイン ポート 機能 registry.redhat.io443
コアコンテナーイメージを指定します。
quay.io443
コアコンテナーイメージを指定します。
cdn01.quay.iocdn02.quay.iocdn03.quay.iocdn04.quay.iocdn05.quay.iocdn06.quay.io443
コアコンテナーイメージを指定します。
sso.redhat.com443
必須。https://console.redhat.com/openshift サイトでは、sso.redhat.com からの認証を使用してプルシークレットをダウンロードし、Red Hat SaaS ソリューションを使用してサブスクリプション、クラスターインベントリー、チャージバックレポートなどのモニタリングを行います。
quayio-production-s3.s3.amazonaws.com443
コアコンテナーイメージを指定します。
pull.q1w2.quay.rhcloud.com443
コアコンテナーイメージを指定します。
registry.access.redhat.com443
Red Hat Ecosytem Catalog に保存されているすべてのコンテナーイメージをホストします。さらに、レジストリーは、開発者が OpenShift および Kubernetes 上で構築するのに役立つ
odoCLI ツールへのアクセスを提供します。registry.connect.redhat.com443
すべてのサードパーティーのイメージと認定 Operator に必要です。
console.redhat.com443
必須。クラスターと Red Hat OpenShift Cluster Manager 間の対話を可能にし、アップグレードのスケジューリングなどの機能を有効にします。
sso.redhat.com443
https://console.redhat.com/openshiftサイトは、sso.redhat.comからの認証を使用します。catalog.redhat.com443
registry.access.redhat.comおよびhttps://registry.redhat.ioサイトはcatalog.redhat.comにリダイレクトされます。次のテレメトリー URL を許可リストに追加します。
Expand ドメイン ポート 機能 cert-api.access.redhat.com443
テレメトリーに必要です。
api.access.redhat.com443
テレメトリーに必要です。
infogw.api.openshift.com443
テレメトリーに必要です。
console.redhat.com443
テレメトリーと {red-hat-lightspeed} では必須です。
observatorium-mst.api.openshift.com443
マネージド OpenShift 固有のテレメトリーに使用されます。
observatorium.api.openshift.com443
マネージド OpenShift 固有のテレメトリーに使用されます。
注記マネージドクラスターでは、テレメトリーを有効にする必要があります。これは、Red Hat が問題に迅速に対応し、お客様をより適切にサポートし、製品のアップグレードがクラスターに与える影響をよりよく理解できるようにするためです。Red Hat によるリモートヘルスモニタリングデータの使用方法の詳細は、関連情報 セクションの リモートヘルスモニタリングについて を参照してください。
次の OpenShift Dedicated URL を許可リストに追加します。
Expand ドメイン ポート 機能 mirror.openshift.com443
ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに使用されます。このサイトはリリースイメージ署名のソースでもあります。
api.openshift.com443
クラスターに更新が利用可能かどうかを確認するのに使用されます。
次の Site Reliability Engineering (SRE) および管理 URL を許可リストに追加します。
Expand ドメイン ポート 機能 api.pagerduty.com443
このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知に関するアラートが送信されます。
events.pagerduty.com443
このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知に関するアラートが送信されます。
api.deadmanssnitch.com443
クラスターが利用可能かどうかを示す定期的な ping を送信して、OpenShift Dedicated が使用するアラートサービス。
nosnch.in443
クラスターが利用可能かどうかを示す定期的な ping を送信して、OpenShift Dedicated が使用するアラートサービス。
http-inputs-osdsecuritylogs.splunkcloud.com443
splunk-forwarder-operatorによって使用され、ログベースのアラートに Red Hat SRE が使用するロギング転送エンドポイントとして使用されます。sftp.access.redhat.com(推奨)22
must-gather-operatorが、クラスターに関する問題のトラブルシューティングに役立つ診断ログをアップロードするのに使用される SFTP サーバー。Google Cloud API エンドポイントの以下の URL を許可リストに追加します。
Expand ドメイン ポート 機能 accounts.google.com443
Google Cloud アカウントへのアクセスに使用します。
*.googleapis.comまたは
storage.googleapis.comiam.googleapis.comserviceusage.googleapis.comcloudresourcemanager.googleapis.comcompute.googleapis.comoauth2.googleapis.comdns.googleapis.comiamcredentials.googleapis.com443
Google Cloud のサービスとリソースへのアクセスに使用します。Google Cloud ドキュメントの Cloud Endpoints を参照し、API を許可するエンドポイントを判別します。
注記必要な Google API は、Service Usage API (serviceusage.googleapis.com) を除き、Private Google Access の制限付き仮想 IP (VIP) を使用して公開できます。これを回避するには、Private Google Access プライベート仮想 IP 使用して Service Usage API を公開する必要があります。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}