Red Hat Summit2.5. OpenShift Container Platform의 방화벽 설정
OpenShift Container Platform을 설치하기 전에 OpenShift Container Platform에 필요한 사이트에 대한 액세스 권한을 부여하도록 방화벽을 설정해야 합니다. 방화벽을 사용하는 경우 OpenShift Container Platform이 작동하는 데 필요한 사이트에 액세스할 수 있도록 방화벽에 추가 구성을 적용하세요.
연결이 끊긴 환경의 경우 Red Hat과 Oracle 모두에서 콘텐츠를 미러링해야 합니다. 이 환경에서는 방화벽을 특정 포트와 레지스트리에 노출하기 위해 방화벽 규칙을 만들어야 합니다.
OpenShift Container Platform 클러스터 앞에 전용 로드 밸런서가 있는 환경인 경우 방화벽과 로드 밸런서 간의 허용 목록을 검토하여 클러스터에 대한 원치 않는 네트워크 제한을 방지하세요.
프로세스
방화벽의 허용 목록에 다음 레지스트리 URL을 설정합니다.
Expand URL 포트 함수 registry.redhat.io443
코어 컨테이너 이미지를 제공합니다.
access.redhat.com443
registry.access.redhat.com에서 가져온 이미지를 검증하는 데 필요한 컨테이너 클라이언트에 필요한 서명 저장소를 호스팅합니다. 방화벽 환경에서는 이 리소스가 허용 목록에 있는지 확인하세요.registry.access.redhat.com443
핵심 컨테이너 이미지를 포함하여 Red Hat Ecosystem Catalog에 저장된 모든 컨테이너 이미지를 호스팅합니다.
quay.io443
코어 컨테이너 이미지를 제공합니다.
cdn.quay.io443
코어 컨테이너 이미지를 제공합니다.
cdn01.quay.io443
코어 컨테이너 이미지를 제공합니다.
cdn02.quay.io443
코어 컨테이너 이미지를 제공합니다.
cdn03.quay.io443
코어 컨테이너 이미지를 제공합니다.
cdn04.quay.io443
코어 컨테이너 이미지를 제공합니다.
cdn05.quay.io443
코어 컨테이너 이미지를 제공합니다.
cdn06.quay.io443
코어 컨테이너 이미지를 제공합니다.
sso.redhat.com443
https://console.redhat.com사이트에서sso.redhat.com의 인증을 사용합니다.icr.io443
IBM Cloud Pak 컨테이너 이미지를 제공합니다. 이 도메인은 IBM Cloud Paks를 사용하는 경우에만 필요합니다.
cp.icr.io443
IBM Cloud Pak 컨테이너 이미지를 제공합니다. 이 도메인은 IBM Cloud Paks를 사용하는 경우에만 필요합니다.
-
허용 목록에서
cdn.quay.io및cdn0[1-6].quay.io대신 와일드카드*.quay.io를사용할 수 있습니다. -
와일드카드
*.access.redhat.com을사용하면 구성을 간소화하고registry.access.redhat.com을포함한 모든 하위 도메인이 허용되도록 할 수 있습니다. -
허용 목록에
quay.io와 같은 사이트를 추가할 때*.quay.io와 같은 와일드카드 항목을 거부 목록에 추가하지 마십시오. 대부분의 경우 이미지 레지스트리는 CDN(Content deliver network)을 사용하여 이미지를 제공합니다. 방화벽이 액세스를 차단하는 경우 초기 다운로드 요청이cdn01.quay.io와 같은 호스트 이름으로 리디렉션되면 이미지 다운로드가 거부됩니다.
-
허용 목록에서
- 빌드에 필요한 언어나 프레임워크에 대한 리소스를 제공하는 모든 사이트를 포함하도록 방화벽의 허용 목록을 설정합니다.
Telemetry를 비활성화하지 않은 경우 Red Hat Insights에 액세스하려면 다음 URL에 대한 액세스 권한을 부여해야합니다
Expand URL 포트 함수 cert-api.access.redhat.com443
Telemetry 필수
api.access.redhat.com443
Telemetry 필수
infogw.api.openshift.com443
Telemetry 필수
console.redhat.com443
Telemetry 및
insights-operator필수다음 레지스트리 URL을 포함하도록 방화벽의 허용 목록을 설정하세요.
Expand URL 포트 함수 api.openshift.com443
클러스터 토큰과 클러스터에 업데이트를 사용할 수 있는지 확인하는 데 필요합니다.
rhcos.mirror.openshift.com443
Red Hat Enterprise Linux CoreOS(RHCOS) 이미지를 다운로드하는 데 필요합니다.
다음 외부 URL을 포함하도록 방화벽의 허용 목록을 설정하세요. 각 저장소 URL은 OCI 컨테이너를 호스팅합니다. 성능 문제를 줄이려면 이미지를 최소한의 저장소에 미러링하는 것을 고려하세요.
Expand URL 포트 함수 k8s.gcr.ioport
커뮤니티 기반 이미지 레지스트리를 위한 컨테이너 이미지를 호스팅하는 Kubernetes 레지스트리입니다. 이 이미지 레지스트리는 사용자 지정 Google 컨테이너 레지스트리(GCR) 도메인에 호스팅됩니다.
ghcr.ioport
Open Container Initiative 이미지를 저장하고 관리할 수 있는 GitHub 이미지 레지스트리입니다. 비공개, 내부 및 공개 패키지를 게시, 설치 및 삭제하려면 액세스 토큰이 필요합니다.
storage.googleapis.com443
릴리스 이미지 서명 소스입니다 (Cluster Version Operator에는 단일 기능 소스만 필요)
registry.k8s.ioport
k8s.gcr.io이미지 레지스트리가 다른 플랫폼 및 공급 업체를 지원하지 않기 때문에k8s.gcr.io이미지 레지스트리를 대체합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}