3.7. GCP ファイアウォールの前提条件

手順

1. パッケージとツールのインストールとダウンロードに使用する次の URL を許可リストに追加します。

   ドメイン	ポート	機能
   registry.redhat.io	443	コアコンテナーイメージを指定します。
   quay.io	443	コアコンテナーイメージを指定します。
   cdn01.quay.io cdn02.quay.io cdn03.quay.io cdn04.quay.io cdn05.quay.io cdn06.quay.io	443	コアコンテナーイメージを指定します。
   sso.redhat.com	443	必須。https://console.redhat.com/openshift サイトでは、sso.redhat.com からの認証を使用してプルシークレットをダウンロードし、Red Hat SaaS ソリューションを使用してサブスクリプション、クラスターインベントリー、チャージバックレポートなどのモニタリングを行います。
   quayio-production-s3.s3.amazonaws.com	443	コアコンテナーイメージを指定します。
   pull.q1w2.quay.rhcloud.com	443	コアコンテナーイメージを指定します。
   registry.access.redhat.com	443	Red Hat Ecosytem Catalog に保存されているすべてのコンテナーイメージをホストします。さらに、レジストリーは、開発者が OpenShift および Kubernetes 上で構築するのに役立つ odo CLI ツールへのアクセスを提供します。
   registry.connect.redhat.com	443	すべてのサードパーティーのイメージと認定 Operator に必要です。
   console.redhat.com	443	必須。クラスターと Red Hat OpenShift Cluster Manager 間の対話を可能にし、アップグレードのスケジューリングなどの機能を有効にします。
   sso.redhat.com	443	https://console.redhat.com/openshift サイトは、sso.redhat.com からの認証を使用します。
   catalog.redhat.com	443	registry.access.redhat.com および https://registry.redhat.io サイトは catalog.redhat.com にリダイレクトされます。

2. 次のテレメトリー URL を許可リストに追加します。

   ドメイン	ポート	機能
   cert-api.access.redhat.com	443	テレメトリーに必要です。
   api.access.redhat.com	443	テレメトリーに必要です。
   infogw.api.openshift.com	443	テレメトリーに必要です。
   console.redhat.com	443	テレメトリーと Red Hat Insights に必要です。
   observatorium-mst.api.openshift.com	443	マネージド OpenShift 固有のテレメトリーに使用されます。
   observatorium.api.openshift.com	443	マネージド OpenShift 固有のテレメトリーに使用されます。

   注記

   マネージドクラスターでは、テレメトリーを有効にする必要があります。これは、Red Hat が問題に迅速に対応し、お客様をより適切にサポートし、製品のアップグレードがクラスターに与える影響をよりよく理解できるようにするためです。Red Hat によるリモートヘルスモニタリングデータの使用方法について、詳細は 関連情報 セクションの リモートヘルスモニタリングについて を参照してください。

3. 次の OpenShift Dedicated URL を許可リストに追加します。

   ドメイン	ポート	機能
   mirror.openshift.com	443	ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに使用されます。このサイトはリリースイメージ署名のソースでもあります。
   api.openshift.com	443	クラスターに更新が利用可能かどうかを確認するのに使用されます。

4. 次の Site Reliability Engineering (SRE) および管理 URL を許可リストに追加します。

   ドメイン	ポート	機能
   api.pagerduty.com	443	このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知に関するアラートが送信されます。
   events.pagerduty.com	443	このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知に関するアラートが送信されます。
   api.deadmanssnitch.com	443	クラスターが利用可能かどうかを示す定期的な ping を送信して、OpenShift Dedicated が使用するアラートサービス。
   nosnch.in	443	クラスターが利用可能かどうかを示す定期的な ping を送信して、OpenShift Dedicated が使用するアラートサービス。
   *.osdsecuritylogs.splunkcloud.com または inputs1.osdsecuritylogs.splunkcloud.com inputs2.osdsecuritylogs.splunkcloud.com inputs4.osdsecuritylogs.splunkcloud.com inputs5.osdsecuritylogs.splunkcloud.com inputs6.osdsecuritylogs.splunkcloud.com inputs7.osdsecuritylogs.splunkcloud.com inputs8.osdsecuritylogs.splunkcloud.com inputs9.osdsecuritylogs.splunkcloud.com inputs10.osdsecuritylogs.splunkcloud.com inputs11.osdsecuritylogs.splunkcloud.com inputs12.osdsecuritylogs.splunkcloud.com inputs13.osdsecuritylogs.splunkcloud.com inputs14.osdsecuritylogs.splunkcloud.com inputs15.osdsecuritylogs.splunkcloud.com	9997	splunk-forwarder-operator によって使用され、ログベースのアラートについて Red Hat SRE が使用するロギング転送エンドポイントとして使用されます。
   http-inputs-osdsecuritylogs.splunkcloud.com	443	splunk-forwarder-operator によって使用され、ログベースのアラートについて Red Hat SRE が使用するロギング転送エンドポイントとして使用されます。
   sftp.access.redhat.com (推奨)	22	must-gather-operator が、クラスターに関する問題のトラブルシューティングに役立つ診断ログをアップロードするのに使用される SFTP サーバー。

5. 次の Google Cloud Platform (GCP) API エンドポイントの URL を許可リストに追加します。

   ドメイン	ポート	機能
   accounts.google.com	443	GCP アカウントにアクセスするために使用されます。
   *.googleapis.com または storage.googleapis.com iam.googleapis.com serviceusage.googleapis.com cloudresourcemanager.googleapis.com compute.googleapis.com oauth2.googleapis.com dns.googleapis.com iamcredentials.googleapis.com	443	GCP サービスおよびリソースへのアクセスに使用されます。GCP ドキュメントの Cloud Endpoints を参照して、お使いの API を許可するエンドポイントを確認してください。

   注記

   必要な Google API は、Service Usage API (serviceusage.googleapis.com) を除き、Private Google Access の制限付き仮想 IP (VIP) を使用して公開できます。これを回避するには、Private Google Access プライベート仮想 IP 使用して Service Usage API を公開する必要があります。