검색
지원콘솔개발자평가판 시작연락처

2.4. OpenShift Container Platform의 방화벽 설정

download PDF

OpenShift Container Platform을 설치하기 전에 OpenShift Container Platform에 필요한 사이트에 대한 액세스 권한을 부여하도록 방화벽을 설정해야 합니다. 방화벽을 사용하는 경우 OpenShift Container Platform이 작동하는 데 필요한 사이트에 액세스할 수 있도록 방화벽을 추가로 설정합니다.

연결이 끊긴 환경의 경우 Red Hat과 Oracle의 콘텐츠를 미러링해야 합니다. 이 환경에서는 방화벽을 특정 포트 및 레지스트리에 노출하기 위한 방화벽 규칙을 생성해야 합니다.

참고

환경에 OpenShift Container Platform 클러스터 앞에 전용 로드 밸런서가 있는 경우 방화벽과 로드 밸런서 간의 허용 목록을 검토하여 클러스터에 대한 원하지 않는 네트워크 제한을 방지합니다.

프로세스

  1. 방화벽 허용 목록에 대해 다음 레지스트리 URL을 설정합니다.

    URL포트함수

    registry.redhat.io

    443

    코어 컨테이너 이미지를 제공합니다.

    access.redhat.com

    443

    컨테이너 클라이언트에서 registry.access.redhat.com 에서 가져온 이미지를 확인하는 데 필요한 서명 저장소를 호스팅합니다. 방화벽 환경에서 이 리소스가 허용 목록에 있는지 확인합니다.

    registry.access.redhat.com

    443

    코어 컨테이너 이미지를 포함하여 Red Hat Ecosystem Catalog에 저장된 모든 컨테이너 이미지를 호스팅합니다.

    quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn01.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn02.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn03.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn04.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn05.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    cdn06.quay.io

    443

    코어 컨테이너 이미지를 제공합니다.

    sso.redhat.com

    443

    https://console.redhat.com 사이트에서 sso.redhat.com의 인증을 사용합니다.

    • 허용 목록에 cdn.quay.iocdn0[1-6].quay.io 대신 와일드카드 *.quay.io*.openshiftapps.com 을 사용할 수 있습니다.
    • 와일드카드 *.access.redhat.com 을 사용하여 구성을 단순화하고 registry.access.redhat.com 을 포함한 모든 하위 도메인이 허용되는지 확인할 수 있습니다.
    • 허용 목록에 quay.io와 같은 사이트를 추가할 때 *.quay.io와 같은 와일드카드 항목을 거부 목록에 추가하지 마십시오. 대부분의 경우 이미지 레지스트리는 CDN(Content deliver network)을 사용하여 이미지를 제공합니다. 방화벽 블록에 액세스하면 초기 다운로드 요청이 cdn01.quay.io 와 같은 호스트 이름으로 리디렉션될 때 이미지 다운로드가 거부됩니다.
  2. 방화벽의 허용 목록에 빌드에 필요한 언어 또는 프레임워크에 대한 리소스를 제공하는 모든 사이트를 포함하도록 설정합니다.

  3. Telemetry를 비활성화하지 않은 경우 Red Hat Insights에 액세스하려면 다음 URL에 대한 액세스 권한을 부여해야합니다

    URL포트함수

    cert-api.access.redhat.com

    443

    Telemetry 필수

    api.access.redhat.com

    443

    Telemetry 필수

    infogw.api.openshift.com

    443

    Telemetry 필수

    console.redhat.com

    443

    Telemetry 및 insights-operator 필수

  4. 방화벽의 허용 목록에 다음 레지스트리 URL을 포함하도록 설정합니다.

    URL포트함수

    api.openshift.com

    443

    클러스터 토큰과 클러스터에 업데이트를 사용할 수 있는지 확인하는 데 필요합니다.

    rhcos.mirror.openshift.com

    443

    RHCOS (Red Hat Enterprise Linux CoreOS) 이미지를 다운로드하는 데 필요합니다.

  5. 방화벽의 허용 목록에 다음 외부 URL을 포함하도록 설정합니다. 각 리포지토리 URL은 OCI 컨테이너를 호스팅합니다. 성능 문제를 줄이기 위해 이미지를 가능한 한 적은 수의 저장소로 미러링하는 것이 좋습니다.

    URL포트함수

    k8s.gcr.io

    port

    커뮤니티 기반 이미지 레지스트리의 컨테이너 이미지를 호스팅하는 Kubernetes 레지스트리입니다. 이 이미지 레지스트리는 사용자 정의 GCR(Google Container Registry) 도메인에서 호스팅됩니다.

    ghcr.io

    port

    Open Container Initiative 이미지를 저장하고 관리할 수 있는 GitHub 이미지 레지스트리입니다. 개인, 내부 및 공용 패키지를 게시, 설치 및 삭제하려면 액세스 토큰이 필요합니다.

    storage.googleapis.com

    443

    릴리스 이미지 서명 소스입니다 (Cluster Version Operator에는 단일 기능 소스만 필요)

    registry.k8s.io

    port

    k8s.gcr.io 이미지 레지스트리가 다른 플랫폼 및 공급 업체를 지원하지 않기 때문에 k8s.gcr.io 이미지 레지스트리를 대체합니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.