1.6. ネットワーク設定
ハブクラスターとマネージドクラスターネットワークの設定、および追加のネットワーク情報を参照できます。
1.6.1. ハブクラスターのネットワーク設定表
次の表のハブクラスターネットワーク要件を参照してください。
方向 | Protocol | 接続 | ポート (指定されている場合) | 送信元アドレス | 宛先アドレス |
---|---|---|---|---|---|
マネージドクラスターへのアウトバウンド | HTTPS |
マネージドクラスターの Pod のログを Search コンソールから動的に取得し、マネージドクラスターで実行している | 443 | なし | マネージドクラスタールートにアクセスするための IP アドレス |
マネージドクラスターへのアウトバウンド | HTTPS | klusterlet をインストールするために、インストール時にプロビジョニングされるマネージドクラスターの Kubernetes API サーバー | 6443 | なし | Kubernetes マネージドクラスター API サーバーの IP |
チャネルソースへの送信 | HTTPS | アプリケーションライフサイクル、OpenShift GitOps、または ArgoCD を使用して接続する場合にのみ必要となる、GitHub、Object Store、および Helm リポジトリーを含むチャネルソース | 443 | なし | チャネルソースの IP |
マネージドクラスターからの受信 | HTTPS | メトリクスおよびアラートをプッシュするマネージドクラスターは、OpenShift Container Platform バージョン 4.8 以降を実行するマネージドクラスターに対してのみアラートが収集されます | 443 | なし | ハブクラスターアクセスルートへの IP アドレス |
マネージドクラスターからの受信 | HTTPS | マネージドクラスターからの変更を監視するハブクラスターの Kubernetes API サーバー | 6443 | なし | ハブクラスター Kubernetes API サーバーの IP アドレス |
ObjectStore へのアウトバウンド | HTTPS | Cluster Backup Operator の実行時に、長期保存用の可観測性メトリクスデータを送信します。 | 443 | なし | ObjectStore の IP アドレス |
イメージリポジトリーへのアウトバウンド | HTTPS | OpenShift Container Platform および Red Hat Advanced Cluster Management のイメージにアクセスします | 443 | なし | イメージリポジトリーの IP アドレス |
1.6.2. マネージドクラスターのネットワーク設定表
注記: マネージドクラスターの Registration Agent
および Work Agent
は、プロキシーを通過できない mTLS 接続の確立によりハブクラスターの apiserver
と通信するため、プロキシー設定をサポートしません。
次の表のマネージドクラスターネットワーク要件を参照してください。
方向 | Protocol | 接続 | ポート (指定されている場合) | 送信元アドレス | 宛先アドレス |
---|---|---|---|---|---|
ハブクラスターからの受信 | HTTPS |
マネージドクラスターの Pod の Search コンソールからログを動的に送信するには、マネージドクラスターで実行している | 443 | なし | マネージドクラスタールートにアクセスするための IP アドレス |
ハブクラスターからの受信 | HTTPS | klusterlet をインストールするために、インストール時にプロビジョニングされるマネージドクラスターの Kubernetes API サーバー | 6443 | なし | Kubernetes マネージドクラスター API サーバーの IP |
イメージリポジトリーへのアウトバウンド | HTTPS | OpenShift Container Platform および Red Hat Advanced Cluster Management のイメージにアクセスします | 443 | なし | イメージリポジトリーの IP アドレス |
ハブクラスターへの送信 | HTTPS | メトリクスおよびアラートをプッシュするマネージドクラスターは、OpenShift Container Platform バージョン 4.8 以降を実行するマネージドクラスターに対してのみアラートが収集されます | 443 | なし | ハブクラスターアクセスルートへの IP アドレス |
ハブクラスターへの送信 | HTTPS | ハブクラスターの Kubernetes API サーバーで変更の有無を監視します。 | 6443 | なし | ハブクラスター Kubernetes API サーバーの IP アドレス |
チャネルソースへの送信 | HTTPS | アプリケーションライフサイクル、OpenShift GitOps、または ArgoCD を使用して接続する場合にのみ必要となる、GitHub、Object Store、および Helm リポジトリーを含むチャネルソース | 443 | なし | チャネルソースの IP |
1.6.3. インフラストラクチャーオペレータテーブルの追加のネットワーク要件
Infrastructure Operator を使用してベアメタルマネージドクラスターをインストールする場合は、以下の表で追加のネットワーク要件について参照してください。
方向 | Protocol | 接続 | ポート (指定されている場合) |
---|---|---|---|
ISO/rootfs イメージリポジトリーへのハブクラスターの送信 | HTTPS (非接続環境では HTTP) | Red Hat Advanced Cluster Management ハブで ISO イメージを作成するのに使用します。 | 443 (非接続環境では 80) |
単一ノードの OpenShift Container Platform マネージドクラスターでの BMC インターフェイスへのハブクラスター送信 | HTTPS (非接続環境では HTTP) | OpenShift Container Platform クラスターをブートします。 | 443 |
OpenShift Container Platform マネージドクラスターからハブクラスターへの送信 | HTTPS |
| 443 |
OpenShift Container Platform マネージドクラスターから ISO/rootfs イメージリポジトリーへの送信 | HTTP | rootfs イメージをダウンロードします。 | 80 |
1.6.4. Submariner のネットワーク要件表
Submariner を使用するクラスターに対して、ポートを 3 つ開放する必要があります。以下の表は、どのポートを使用できるかを示しています。
方向 | Protocol | 接続 | ポート (指定されている場合) |
---|---|---|---|
送信および受信 | UDP | 各マネージドクラスター | 4800 |
送信および受信 | UDP | 各マネージドクラスター | 4500、500、およびゲートウェイノード上の IPsec トラフィックに使用されるその他のポート |
受信 | TCP | 各マネージドクラスター | 8080 |
1.6.5. Hive テーブルの追加のネットワーク要件
Central Infrastructure Management の使用が含まれる Hive Operator を使用してベアメタルマネージドクラスターをインストールする場合は、ハブクラスターと libvirt
プロビジョニングホスト間で、レイヤー 2 またはレイヤー 3 のポート接続を設定する必要があります。プロビジョニングホストへのこの接続は、Hive を使用したベースベアメタルクラスターの作成時に必要になります。詳細は、以下の表を参照してください。
方向 | Protocol | 接続 | ポート (指定されている場合) |
---|---|---|---|
| IP |
Hive Operator がインストールされているハブクラスターを、ベアメタルクラスターの作成時にブートストラップとして機能する |
注記:これらの要件はインストール時にのみ適用され、Infrastructure Operator でインストールされたクラスターのアップグレード時には必要ありません。
1.6.6. アプリケーションデプロイメントのネットワーク要件表
通常、アプリケーションデプロイメントの通信は、マネージドクラスターからハブクラスターへの 1 つの方法です。接続は、マネージドクラスターのエージェントによって設定される kubeconfig
を使用します。マネージドクラスターでのアプリケーションデプロイメントは、ハブクラスターの以下の名前空間にアクセスする必要があります。
- チャネルリソースの名前空間
- マネージドクラスターの名前空間
1.6.7. namespace 接続のネットワーク要件表
アプリケーションライフサイクル接続:
-
namespace の
open-cluster-management
は、ポート 4000 のコンソール API にアクセスする必要があります。 -
namespace の
open-cluster-management
は、ポート 3001 でアプリケーション UI を公開する必要があります。
-
namespace の
アプリケーションライフサイクルバックエンドコンポーネント (Pod):
ハブクラスターで、アプリケーションライフサイクル Pod はすべて、以下の Pod を含む
open-cluster-management
namespace にインストールされます。- multicluster-operators-hub-subscription
- multicluster-operators-standalone-subscription
- multicluster-operators-channel
- multicluster-operators-application
multicluster-integrations
これらの Pod が
open-cluster-management
namespace に作成されると、以下のようになります。-
namespace の
open-cluster-management
は、ポート 6443 で Kube API にアクセスする必要があります。
マネージドクラスターでは、
klusterlet-addon-appmgr
アプリケーションライフサイクル Pod のみがopen-cluster-management-agent-addon
namespace にインストールされます。-
namespace
open-cluster-management-agent-addon
は、ポート 6443 で Kube API にアクセスする必要があります。
ガバナンスおよびリスク:
ハブクラスターでは、以下のアクセスが必要です。
-
namespace の
open-cluster-management
は、ポート 6443 で Kube API にアクセスする必要があります。 -
namespace
open-cluster-management
は、ポート 5353 で OpenShift DNS にアクセスする必要があります。
マネージドクラスターでは、以下のアクセスが必要です。
-
namespace
open-cluster-management-addon
は、ポート 6443 の Kube API にアクセスする必要があります。
-
namespace の
詳細は、Red Hat Advanced Cluster Management for Kubernetes 2.5 Support Matrix を参照してください。