2.4. OpenShift Container Platform의 방화벽 설정

OpenShift Container Platform을 설치하기 전에 OpenShift Container Platform에 필요한 사이트에 대한 액세스 권한을 부여하도록 방화벽을 설정해야 합니다. 방화벽을 사용하는 경우 OpenShift Container Platform이 작동하는 데 필요한 사이트에 액세스할 수 있도록 방화벽을 추가로 설정합니다.

연결이 끊긴 환경의 경우 Red Hat과 Oracle의 콘텐츠를 미러링해야 합니다. 이 환경에서는 방화벽을 특정 포트 및 레지스트리에 노출하기 위한 방화벽 규칙을 생성해야 합니다.

참고

환경에 OpenShift Container Platform 클러스터 앞에 전용 로드 밸런서가 있는 경우 방화벽과 로드 밸런서 간의 허용 목록을 검토하여 클러스터에 대한 원하지 않는 네트워크 제한을 방지합니다.

프로세스

방화벽 허용 목록에 대해 다음 레지스트리 URL을 설정합니다.

URL	포트	함수
`registry.redhat.io`	443	코어 컨테이너 이미지를 제공합니다.
`access.redhat.com`	443	컨테이너 클라이언트에서 `registry.access.redhat.com` 에서 가져온 이미지를 확인하는 데 필요한 서명 저장소를 호스팅합니다. 방화벽 환경에서 이 리소스가 허용 목록에 있는지 확인합니다.
`registry.access.redhat.com`	443	코어 컨테이너 이미지를 포함하여 Red Hat Ecosystem Catalog에 저장된 모든 컨테이너 이미지를 호스팅합니다.
`quay.io`	443	코어 컨테이너 이미지를 제공합니다.
`cdn.quay.io`	443	코어 컨테이너 이미지를 제공합니다.
`cdn01.quay.io`	443	코어 컨테이너 이미지를 제공합니다.
`cdn02.quay.io`	443	코어 컨테이너 이미지를 제공합니다.
`cdn03.quay.io`	443	코어 컨테이너 이미지를 제공합니다.
`cdn04.quay.io`	443	코어 컨테이너 이미지를 제공합니다.
`cdn05.quay.io`	443	코어 컨테이너 이미지를 제공합니다.
`cdn06.quay.io`	443	코어 컨테이너 이미지를 제공합니다.
`sso.redhat.com`	443	`https://console.redhat.com` 사이트에서 `sso.redhat.com`의 인증을 사용합니다.

허용 목록에 cdn.quay.io 및 cdn0[1-6].quay.io 대신 와일드카드 *.quay.io 및 *.openshiftapps.com 을 사용할 수 있습니다.
와일드카드 *.access.redhat.com 을 사용하여 구성을 단순화하고 registry.access.redhat.com 을 포함한 모든 하위 도메인이 허용되는지 확인할 수 있습니다.
허용 목록에 quay.io와 같은 사이트를 추가할 때 *.quay.io와 같은 와일드카드 항목을 거부 목록에 추가하지 마십시오. 대부분의 경우 이미지 레지스트리는 CDN(Content deliver network)을 사용하여 이미지를 제공합니다. 방화벽 블록에 액세스하면 초기 다운로드 요청이 cdn01.quay.io 와 같은 호스트 이름으로 리디렉션될 때 이미지 다운로드가 거부됩니다.

방화벽의 허용 목록에 빌드에 필요한 언어 또는 프레임워크에 대한 리소스를 제공하는 모든 사이트를 포함하도록 설정합니다.

Telemetry를 비활성화하지 않은 경우 Red Hat Insights에 액세스하려면 다음 URL에 대한 액세스 권한을 부여해야합니다

URL	포트	함수
`cert-api.access.redhat.com`	443	Telemetry 필수
`api.access.redhat.com`	443	Telemetry 필수
`infogw.api.openshift.com`	443	Telemetry 필수
`console.redhat.com`	443	Telemetry 및 `insights-operator` 필수

방화벽의 허용 목록에 다음 레지스트리 URL을 포함하도록 설정합니다.

URL	포트	함수
`api.openshift.com`	443	클러스터 토큰과 클러스터에 업데이트를 사용할 수 있는지 확인하는 데 필요합니다.
`rhcos.mirror.openshift.com`	443	RHCOS (Red Hat Enterprise Linux CoreOS) 이미지를 다운로드하는 데 필요합니다.

방화벽의 허용 목록에 다음 외부 URL을 포함하도록 설정합니다. 각 리포지토리 URL은 OCI 컨테이너를 호스팅합니다. 성능 문제를 줄이기 위해 이미지를 가능한 한 적은 수의 저장소로 미러링하는 것이 좋습니다.

URL	포트	함수
`k8s.gcr.io`	port	커뮤니티 기반 이미지 레지스트리의 컨테이너 이미지를 호스팅하는 Kubernetes 레지스트리입니다. 이 이미지 레지스트리는 사용자 정의 GCR(Google Container Registry) 도메인에서 호스팅됩니다.
`ghcr.io`	port	Open Container Initiative 이미지를 저장하고 관리할 수 있는 GitHub 이미지 레지스트리입니다. 개인, 내부 및 공용 패키지를 게시, 설치 및 삭제하려면 액세스 토큰이 필요합니다.
`storage.googleapis.com`	443	릴리스 이미지 서명 소스입니다 (Cluster Version Operator에는 단일 기능 소스만 필요)
`registry.k8s.io`	port	`k8s.gcr.io` 이미지 레지스트리가 다른 플랫폼 및 공급 업체를 지원하지 않기 때문에 `k8s.gcr.io` 이미지 레지스트리를 대체합니다.

2.4. OpenShift Container Platform의 방화벽 설정

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Red Hat legal and privacy links

Red Hat legal and privacy links