Red Hat Summit2.7. ネットワークの前提条件
2.7.1. 最小帯域幅
Red Hat OpenShift Service on AWS では、クラスターのデプロイ中、クラスターインフラストラクチャーと、デプロイ用のアーティファクトおよびリソースを提供するパブリックインターネットまたはプライベートネットワークロケーションとの間に、最低 120 Mbps の帯域幅が必要です。ネットワーク接続が 120 Mbps より遅い場合 (たとえば、プロキシー経由で接続している場合)、クラスターのインストールプロセスがタイムアウトし、デプロイメントが失敗します。
クラスターのデプロイ後のネットワーク要件はワークロードに基づきます。ただし、最小帯域幅 120 Mbps は、クラスターと Operator を適切なタイミングで確実にアップグレードするために役立ちます。
2.7.2. AWS ファイアウォールの前提条件
ファイアウォールを使用して Red Hat OpenShift Service on AWS クラスターからの Egress トラフィックを制御する場合は、以下の特定のドメインとポートの組み合わせへのアクセスを許可するようにファイアウォールを設定する必要があります。Red Hat OpenShift Service on AWS は、フルマネージド OpenShift サービスを提供するためにこのアクセスを必要とします。
前提条件
- AWS Virtual Private Cloud (VPC) に Amazon S3 ゲートウェイエンドポイントを設定した。このエンドポイントは、クラスターから Amazon S3 サービスへのリクエストを完了するために必要です。
手順
パッケージとツールのインストールおよびダウンロードに使用される以下の URL を許可リストに指定します。
Expand ドメイン ポート 機能 registry.redhat.io443
コアコンテナーイメージを指定します。
quay.io443
コアコンテナーイメージを指定します。
cdn01.quay.io443
コアコンテナーイメージを指定します。
cdn02.quay.io443
コアコンテナーイメージを指定します。
cdn03.quay.io443
コアコンテナーイメージを指定します。
cdn04.quay.io443
コアコンテナーイメージを指定します。
cdn05.quay.io443
コアコンテナーイメージを指定します。
cdn06.quay.io443
コアコンテナーイメージを指定します。
sso.redhat.com443
必須。
https://console.redhat.com/openshiftサイトでは、sso.redhat.comからの認証を使用してプルシークレットをダウンロードし、Red Hat SaaS ソリューションを使用してサブスクリプション、クラスターインベントリー、チャージバックレポートなどのモニタリングを行います。quay-registry.s3.amazonaws.com443
コアコンテナーイメージを指定します。
quayio-production-s3.s3.amazonaws.com443
コアコンテナーイメージを指定します。
registry.access.redhat.com443
Red Hat Ecosytem Catalog に保存されているすべてのコンテナーイメージをホストします。さらに、レジストリーは、開発者が OpenShift および Kubernetes 上で構築するのに役立つ
odoCLI ツールへのアクセスを提供します。access.redhat.com443
必須。コンテナークライアントが
registry.access.redhat.comからイメージを取得するときにイメージを検証するために必要な署名ストアをホストします。registry.connect.redhat.com443
すべてのサードパーティーのイメージと認定 Operator に必要です。
console.redhat.com443
必須。クラスターと OpenShift Cluster Manager 間の対話を可能にし、アップグレードのスケジューリングなどの機能を有効にします。
sso.redhat.com443
https://console.redhat.com/openshiftサイトは、sso.redhat.comからの認証を使用します。pull.q1w2.quay.rhcloud.com443
quay.io が利用できない場合のフォールバックとして、コアコンテナーイメージを提供します。
catalog.redhat.com443
registry.access.redhat.comおよびhttps://registry.redhat.ioサイトはcatalog.redhat.comにリダイレクトされます。oidc.op1.openshiftapps.com443
マネージド OIDC 設定で STS を実装するために、Red Hat OpenShift Service on AWS によって使用されます。
次のテレメトリー URL を許可リストに追加します。
Expand ドメイン ポート 機能 cert-api.access.redhat.com443
テレメトリーに必要です。
api.access.redhat.com443
テレメトリーに必要です。
infogw.api.openshift.com443
テレメトリーに必要です。
console.redhat.com443
テレメトリーと Red Hat Insights に必要です。
observatorium-mst.api.openshift.com443
マネージド OpenShift 固有のテレメトリーに使用されます。
observatorium.api.openshift.com443
マネージド OpenShift 固有のテレメトリーに使用されます。
マネージドクラスターでは、テレメトリーを有効にする必要があります。これは、Red Hat が問題に迅速に対応し、お客様をより適切にサポートし、製品のアップグレードがクラスターに与える影響をよりよく理解できるようにするためです。Red Hat によるリモートヘルスモニタリングデータの使用方法の詳細は 関連情報 セクションの リモートヘルスモニタリングについて を参照してください。
次の Amazon Web Services (AWS) API の URL を許可リストに追加します。
Expand ドメイン ポート 機能 .amazonaws.com443
AWS サービスおよびリソースへのアクセスに必要です。
または、Amazon Web Services (AWS) API にワイルドカードを使用しない場合は、次の URL を許可リストに追加する必要があります。
Expand ドメイン ポート 機能 ec2.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
events.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
iam.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
route53.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
sts.amazonaws.com443
AWS STS のグローバルエンドポイントを使用するように設定されたクラスターの場合は、AWS 環境にクラスターをインストールおよび管理するために使用されます。
sts.<aws_region>.amazonaws.com443
AWS STS の地域化されたエンドポイントを使用するように設定されたクラスターの場合は、AWS 環境にクラスターをインストールおよび管理するために使用されます。詳細は、AWS STS の地域化されたエンドポイント を参照してください。
tagging.us-east-1.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。このエンドポイントは、クラスターがデプロイメントされているリージョンに関係なく、常に us-east-1 です。
ec2.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
elasticloadbalancing.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールおよび管理に使用されます。
tagging.<aws_region>.amazonaws.com443
タグの形式で AWS リソースに関するメタデータを割り当てることができます。
次の OpenShift URL を許可リストに追加します。
Expand ドメイン ポート 機能 mirror.openshift.com443
ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに使用されます。このサイトはリリースイメージ署名のソースでもあります。
api.openshift.com443
クラスターに更新が利用可能かどうかを確認するのに使用されます。
次の Site Reliability Engineering (SRE) および管理 URL を許可リストに追加します。
Expand ドメイン ポート 機能 api.pagerduty.com443
このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知に関するアラートが送信されます。
events.pagerduty.com443
このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知に関するアラートが送信されます。
api.deadmanssnitch.com443
Red Hat OpenShift Service on AWS がクラスターが使用可能で実行中であるかどうかを示す定期的な ping を送信するために使用するアラートサービス。
nosnch.in443
Red Hat OpenShift Service on AWS がクラスターが使用可能で実行中であるかどうかを示す定期的な ping を送信するために使用するアラートサービス。
http-inputs-osdsecuritylogs.splunkcloud.com443
必須。
splunk-forwarder-operatorによって使用され、ログベースのアラートに Red Hat SRE が使用するロギング転送エンドポイントとして使用されます。sftp.access.redhat.com(推奨)22
must-gather-operatorが、クラスターに関する問題のトラブルシューティングに役立つ診断ログをアップロードするのに使用される SFTP サーバー。
2.7.3. Red Hat OpenShift Service on AWS のファイアウォールの前提条件
- ファイアウォールを使用して Red Hat OpenShift Service on AWS からの Egress トラフィックを制御する場合、お使いの Virtual Private Cloud (VPC) が、Amazon S3 ゲートウェイなどを介してクラスターから Amazon S3 サービスへのリクエストを完了できる必要があります。
- また、次のドメインとポートの組み合わせへのアクセスを許可するようにファイアウォールを設定する必要があります。
2.7.3.1. インストールパッケージとツールのドメイン
| ドメイン | ポート | 機能 |
|---|---|---|
|
| 443 | コアコンテナーイメージを指定します。 |
|
| 443 | コアコンテナーイメージを指定します。 |
|
| 443 | コアコンテナーイメージを指定します。 |
|
| 443 | コアコンテナーイメージを指定します。 |
|
| 443 | コアコンテナーイメージを指定します。 |
|
| 443 | コアコンテナーイメージを指定します。 |
|
| 443 | コアコンテナーイメージを指定します。 |
|
| 443 | コアコンテナーイメージを指定します。 |
|
| 443 | コアコンテナーイメージを指定します。 |
|
| 443 |
必須。Red Hat Ecosytem Catalog に保存されているすべてのコンテナーイメージをホストします。さらに、レジストリーは、開発者が OpenShift および Kubernetes 上で構築するのに役立つ |
|
| 443 |
必須。コンテナークライアントが |
|
| 443 | 必須。クラスターに利用可能な更新を確認するために使用されます。 |
|
| 443 | 必須。ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに使用されます。Cluster Version Operator (CVO) には単一の機能ソースのみが必要ですが、このサイトはリリースイメージ署名のソースでもあります。 |
2.7.3.2. テレメトリーのドメイン
| ドメイン | ポート | 機能 |
|---|---|---|
|
| 443 | テレメトリーに必要です。 |
|
| 443 | 必須。クラスターと OpenShift Cluster Manager 間の対話を可能にし、アップグレードのスケジューリングなどの機能を有効にします。 |
|
| 443 |
必須。 |
マネージドクラスターでは、テレメトリーを有効にする必要があります。これは、Red Hat が問題に迅速に対応し、お客様をより適切にサポートし、製品のアップグレードがクラスターに与える影響をよりよく理解できるようにするためです。Red Hat によるリモートヘルスモニタリングデータの使用方法の詳細は、リモートヘルスモニタリングについて を参照してください。
2.7.3.3. Amazon Web Services (AWS) API のドメイン
| ドメイン | ポート | 機能 |
|---|---|---|
|
| 443 |
必須。AWS Secure Token Service (STS) リージョンエンドポイントにアクセスするために使用されます。 |
- これは、AWS Virtual Private Cloud (VPC) 内のプライベートインターフェイスエンドポイントをリージョンの AWS STS エンドポイントに設定することによっても実現できます。
2.7.3.4. ワークロードのドメイン
ワークロードによっては、プログラミング言語やフレームワークのリソースを提供する他のサイトへのアクセスが必要になる場合があります。
- ビルドに必要なリソースを提供するサイトへのアクセスを許可します。
- ワークロードに必要な送信 URL へのアクセスを許可します (例: OpenShift Outbound URLs to Allow)。
2.7.3.5. サードパーティーのコンテンツを有効にするためのオプションのドメイン
| ドメイン | ポート | 機能 |
|---|---|---|
|
| 443 | オプション: すべてのサードパーティーのイメージと認定 Operator に必要です。 |
|
| 443 |
オプション: |
|
| 443 | オプション: Sonatype Nexus、F5 Big IP Operator に必要です。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}