2장. 방화벽 설정


방화벽을 사용하는 경우 OpenShift Container Platform이 작동하는데 필요한 사이트에 액세스할 수 있도록 방화벽을 설정해야 합니다. 일부 사이트에 대한 액세스 권한을 부여하고 Red Hat Insights, Telemetry 서비스, 클러스터를 호스팅하는 클라우드 및 특정 빌드 전략을 사용하는 경우 추가 액세스 권한을 부여해야 합니다.

2.1. OpenShift Container Platform의 방화벽 설정

OpenShift Container Platform을 설치하기 전에 OpenShift Container Platform에 필요한 사이트에 대한 액세스 권한을 부여하도록 방화벽을 설정해야 합니다.

작업자 노드에 비해 컨트롤러 노드에서만 실행되는 서비스에 대한 특별한 구성 고려 사항은 없습니다.

참고

환경에 OpenShift Container Platform 클러스터 앞에 전용 로드 밸런서가 있는 경우 방화벽과 로드 밸런서 간의 허용 목록을 검토하여 클러스터에 대한 원하지 않는 네트워크 제한을 방지합니다.

프로세스

  1. 다음 레지스트리 URL을 허용 목록에 추가합니다.

    URL포트함수

    registry.redhat.io

    443

    코어 컨테이너 이미지를 제공합니다.

    access.redhat.com

    443

    컨테이너 클라이언트에서 registry.access.redhat.com 에서 가져온 이미지를 확인하는 데 필요한 서명 저장소를 호스팅합니다. 방화벽 환경에서 이 리소스가 허용 목록에 있는지 확인합니다.

    registry.access.redhat.com

    443

    코어 컨테이너 이미지를 포함하여 Red Hat Ecosystem Catalog에 저장된 모든 컨테이너 이미지를 호스팅합니다.

    quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn01.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn02.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn03.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn04.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn05.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn06.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    sso.redhat.com

    443

    https://console.redhat.com 사이트에서 sso.redhat.com의 인증을 사용합니다.

    • 허용 목록에 cdn.quay.iocdn0[1-6].quay.io 대신 와일드카드 *.quay.io*.openshiftapps.com 을 사용할 수 있습니다.
    • 와일드카드 *.access.redhat.com 을 사용하여 구성을 단순화하고 registry.access.redhat.com 을 포함한 모든 하위 도메인이 허용되는지 확인할 수 있습니다.
    • 허용 목록에 quay.io와 같은 사이트를 추가할 때 *.quay.io와 같은 와일드카드 항목을 거부 목록에 추가하지 마십시오. 대부분의 경우 이미지 레지스트리는 CDN(Content deliver network)을 사용하여 이미지를 제공합니다. 방화벽 블록에 액세스하면 초기 다운로드 요청이 cdn01.quay.io 와 같은 호스트 이름으로 리디렉션될 때 이미지 다운로드가 거부됩니다.
  2. 빌드에 필요한 언어 또는 프레임 워크에 대한 리소스를 제공하는 사이트를 허용 목록에 추가합니다.
  3. Telemetry를 비활성화하지 않은 경우 Red Hat Insights에 액세스하려면 다음 URL에 대한 액세스 권한을 부여해야합니다

    URL포트함수

    cert-api.access.redhat.com

    443

    Telemetry 필수

    api.access.redhat.com

    443

    Telemetry 필수

    infogw.api.openshift.com

    443

    Telemetry 필수

    console.redhat.com

    443

    Telemetry 및 insights-operator 필수

  4. 클러스터를 호스팅하기 위해 RuntimeClass Cloud, AWS(Amazon Web Services), Microsoft Azure 또는 Google Cloud Platform(GCP)을 사용하는 경우 클라우드 공급자 API 및 DNS를 제공하는 URL에 대한 액세스 권한을 부여해야 합니다.

    클라우드URL포트함수

    Alibaba

    *.aliyuncs.com

    443

    Alibaba Cloud 서비스 및 리소스에 액세스하는 데 필요합니다. Alibaba endpoints_config.go file을 검토하여 사용하는 리전에서 허용할 정확한 엔드포인트를 확인합니다.

    AWS

    *.amazonaws.com

    또는 AWS API에 와일드카드를 사용하지 않도록 선택하는 경우 다음 URL을 허용해야 합니다.

    443

    AWS 서비스 및 리소스에 액세스하는데 필요합니다. 사용하는 리전에서 허용되는 특정 엔드 포인트를 확인하려면 AWS 설명서에서 AWS 서비스 엔드 포인트를 참조하십시오.

    ec2.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    events.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    iam.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    route53.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    *.s3.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    *.s3.<aws_region>.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    *.s3.dualstack.<aws_region>.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    sts.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    sts.<aws_region>.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    tagging.us-east-1.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다. 이 끝점은 클러스터가 배포된 리전에 관계없이 항상 us-east-1 입니다.

    ec2.<aws_region>.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    elasticloadbalancing.<aws_region>.amazonaws.com

    443

    AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.

    servicequotas.<aws_region>.amazonaws.com

    443

    필수 항목입니다. 서비스 배포 할당량을 확인하는 데 사용됩니다.

    tagging.<aws_region>.amazonaws.com

    443

    태그 형식으로 AWS 리소스에 대한 메타데이터를 할당할 수 있습니다.

    GCP

    *.googleapis.com

    443

    GCP 서비스 및 리소스에 액세스하는 데 필요합니다. API에서 허용하는 엔드 포인트를 확인하려면 GCP 설명서에서 Cloud Endpoints를 참조하십시오.

    accounts.google.com

    443

    GCP 계정에 액세스하는 데 필요합니다.

    Azure

    management.azure.com

    443

    Azure 서비스 및 리소스에 액세스하는데 필요합니다. API에서 허용할 엔드포인트를 확인하려면 Azure 설명서에서 Azure REST API 참조를 확인하십시오.

    *.blob.core.windows.net

    443

    Ignition 파일을 다운로드하는 데 필요합니다.

    login.microsoftonline.com

    443

    Azure 서비스 및 리소스에 액세스하는데 필요합니다. API에서 허용할 엔드포인트를 확인하려면 Azure 설명서에서 Azure REST API 참조를 확인하십시오.

  5. 다음 URL을 허용 목록에 추가하십시오.

    URL포트함수

    *.apps.<cluster_name>.<base_domain>

    443

    설치 중에 ingress 와일드 카드를 설정하지 않으면 기본 클러스터 라우트에 액세스하는데 필요합니다.

    api.openshift.com

    443

    클러스터 토큰과 클러스터에 업데이트를 사용할 수 있는지 확인하는 데 필요합니다.

    console.redhat.com

    443

    클러스터 토큰에 필요합니다.

    mirror.openshift.com

    443

    미러링된 설치 콘텐츠 및 이미지에 액세스하는 데 필요합니다. Cluster Version Operator에는 단일 기능 소스만 필요하지만 이 사이트는 릴리스 이미지 서명의 소스이기도합니다.

    quayio-production-s3.s3.amazonaws.com

    443

    AWS에서 Quay 이미지 콘텐츠에 액세스하는데 필요합니다.

    rhcos.mirror.openshift.com

    443

    RHCOS (Red Hat Enterprise Linux CoreOS) 이미지를 다운로드하는 데 필요합니다.

    sso.redhat.com

    443

    https://console.redhat.com 사이트에서 sso.redhat.com의 인증을 사용합니다.

    storage.googleapis.com/openshift-release

    443

    릴리스 이미지 서명 소스입니다 (Cluster Version Operator에는 단일 기능 소스만 필요)

    Operator는 상태 확인을 수행하기 위해 경로 액세스가 필요합니다. 특히 인증 및 웹 콘솔 Operator는 두 경로에 연결하여 경로가 작동하는지 확인합니다. 클러스터 관리자이고 * .apps. <cluster_name>.<base_domain>을 허용하지 않으려면 다음 경로를 허용하십시오.

    • oauth-openshift.apps.<cluster_name>.<base_domain>
    • console-openshift-console.apps. <cluster_name>.<base_domain> 또는 필드가 비어 있지 않은 경우 consoles.operator/cluster 객체의 spec.route.hostname 필드에 지정된 호스트 이름입니다.
  6. 선택적 타사 콘텐츠에 대해 다음 URL을 허용 목록에 추가합니다.

    URL포트함수

    registry.connect.redhat.com

    443

    모든 타사 이미지 및 인증된 Operator에 필요합니다.

    rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com

    443

    registry.connect.redhat.com에서 호스팅되는 컨테이너 이미지에 대한 액세스 제공

    oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com

    443

    Sonatype Nexus, F5 Big IP Operator에 필요합니다.

  7. 기본 NTP(Red Hat Network Time Protocol) 서버를 사용하는 경우 다음 URL을 허용합니다.

    • 1.rhel.pool.ntp.org
    • 2.rhel.pool.ntp.org
    • 3.rhel.pool.ntp.org
참고

기본 Red Hat NTP 서버를 사용하지 않는 경우 플랫폼의 NTP 서버를 확인하고 방화벽에서 허용합니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.