4.4. OpenShift Container Platform의 방화벽 설정

프로세스

1. 방화벽의 허용 목록에 다음 레지스트리 URL을 설정합니다.

   Expand

   URL	포트	함수
   registry.redhat.io	443	코어 컨테이너 이미지를 제공합니다.
   access.redhat.com	443	registry.access.redhat.com 에서 가져온 이미지를 검증하는 데 필요한 컨테이너 클라이언트에 필요한 서명 저장소를 호스팅합니다. 방화벽 환경에서는 이 리소스가 허용 목록에 있는지 확인하세요.
   registry.access.redhat.com	443	핵심 컨테이너 이미지를 포함하여 Red Hat Ecosystem Catalog에 저장된 모든 컨테이너 이미지를 호스팅합니다.
   quay.io	443	코어 컨테이너 이미지를 제공합니다.
   cdn.quay.io	443	코어 컨테이너 이미지를 제공합니다.
   cdn01.quay.io	443	코어 컨테이너 이미지를 제공합니다.
   cdn02.quay.io	443	코어 컨테이너 이미지를 제공합니다.
   cdn03.quay.io	443	코어 컨테이너 이미지를 제공합니다.
   cdn04.quay.io	443	코어 컨테이너 이미지를 제공합니다.
   cdn05.quay.io	443	코어 컨테이너 이미지를 제공합니다.
   cdn06.quay.io	443	코어 컨테이너 이미지를 제공합니다.
   sso.redhat.com	443	https://console.redhat.com 사이트에서 sso.redhat.com의 인증을 사용합니다.
   icr.io	443	IBM Cloud Pak 컨테이너 이미지를 제공합니다. 이 도메인은 IBM Cloud Paks를 사용하는 경우에만 필요합니다.
   cp.icr.io	443	IBM Cloud Pak 컨테이너 이미지를 제공합니다. 이 도메인은 IBM Cloud Paks를 사용하는 경우에만 필요합니다.

   Show more
   • 허용 목록에서 cdn.quay.io 및 cdn0[1-6].quay.io 대신 와일드카드 *.quay.io를 사용할 수 있습니다.
   • 와일드카드 *.access.redhat.com을 사용하면 구성을 간소화하고 registry.access.redhat.com을 포함한 모든 하위 도메인이 허용되도록 할 수 있습니다.
   • 허용 목록에 quay.io와 같은 사이트를 추가할 때 *.quay.io와 같은 와일드카드 항목을 거부 목록에 추가하지 마십시오. 대부분의 경우 이미지 레지스트리는 CDN(Content deliver network)을 사용하여 이미지를 제공합니다. 방화벽이 액세스를 차단하는 경우 초기 다운로드 요청이 cdn01.quay.io 와 같은 호스트 이름으로 리디렉션되면 이미지 다운로드가 거부됩니다.
2. 빌드에 필요한 언어나 프레임워크에 대한 리소스를 제공하는 모든 사이트를 포함하도록 방화벽의 허용 목록을 설정합니다.

3. Telemetry를 비활성화하지 않은 경우 Red Hat Insights에 액세스하려면 다음 URL에 대한 액세스 권한을 부여해야합니다

   Expand

   URL	포트	함수
   cert-api.access.redhat.com	443	Telemetry 필수
   api.access.redhat.com	443	Telemetry 필수
   infogw.api.openshift.com	443	Telemetry 필수
   console.redhat.com	443	Telemetry 및 insights-operator 필수

   Show more

4. Alibaba Cloud, Amazon Web Services(AWS), Microsoft Azure 또는 Google Cloud Platform(GCP)을 사용하여 클러스터를 호스팅하는 경우 해당 클라우드에 대한 클라우드 공급자 API 및 DNS를 제공하는 URL에 대한 액세스 권한을 부여해야 합니다.

   Expand

   클라우드	URL	포트	함수
   Alibaba	*.aliyuncs.com	443	Alibaba Cloud 서비스 및 리소스에 액세스하는 데 필요합니다. 사용하는 지역에 허용되는 정확한 엔드포인트를 찾으려면 Alibaba endpoints_config.go 파일을 검토하세요.
   AWS	aws.amazon.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	*.amazonaws.com 또는 AWS API에 와일드카드를 사용하지 않기로 선택한 경우 허용 목록에 다음 URL을 포함해야 합니다.	443	AWS 서비스 및 리소스에 액세스하는데 필요합니다. 사용하는 리전에 허용되는 정확한 엔드포인트를 찾으려면 AWS 설명서의 AWS 서비스 엔드포인트를 검토하세요.
   	ec2.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	events.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	iam.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	route53.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	*.s3.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	*.s3.<aws_region>.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	*.s3.dualstack.<aws_region>.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	sts.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	sts.<aws_region>.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	tagging.us-east-1.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다. 클러스터가 배포된 지역에 관계없이 이 엔드포인트는 항상 us-east-1 입니다.
   	ec2.<aws_region>.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	elasticloadbalancing.<aws_region>.amazonaws.com	443	AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
   	servicequotas.<aws_region>.amazonaws.com	443	필수 항목입니다. 서비스 배포에 대한 할당량을 확인하는 데 사용됩니다.
   	tagging.<aws_region>.amazonaws.com	443	AWS 리소스에 대한 메타데이터를 태그 형태로 할당할 수 있습니다.
   	*.cloudfront.net	443	CloudFront에 대한 액세스를 제공하는 데 사용됩니다. AWS 보안 토큰 서비스(STS)와 개인 S3 버킷을 사용하는 경우 CloudFront에 대한 액세스 권한을 제공해야 합니다.
   GCP	*.googleapis.com	443	GCP 서비스 및 리소스에 액세스하는 데 필요합니다. API에 허용되는 엔드포인트를 찾으려면 GCP 문서에서 Cloud Endpoints를 검토하세요.
   	accounts.google.com	443	GCP 계정에 액세스하는 데 필요합니다.
   Microsoft Azure	management.azure.com	443	Microsoft Azure 서비스 및 리소스에 액세스하는 데 필요합니다. Microsoft Azure 설명서에서 Microsoft Azure REST API 참조를 검토하여 API에 허용되는 엔드포인트를 찾으세요.
   	*.blob.core.windows.net	443	Ignition 파일을 다운로드하는 데 필요합니다.
   	login.microsoftonline.com	443	Microsoft Azure 서비스 및 리소스에 액세스하는 데 필요합니다. Microsoft Azure 설명서에서 Azure REST API 참조를 검토하여 API에 허용되는 엔드포인트를 찾으세요.

   Show more

5. 다음 URL을 허용 목록에 추가하십시오.

   Expand

   URL	포트	함수
   *.apps.<cluster_name>.<base_domain>	443	설치 중에 ingress 와일드 카드를 설정하지 않으면 기본 클러스터 라우트에 액세스하는데 필요합니다.
   api.openshift.com	443	클러스터 토큰과 클러스터에 업데이트를 사용할 수 있는지 확인하는 데 필요합니다.
   console.redhat.com	443	클러스터 토큰에 필요합니다.
   mirror.openshift.com	443	미러링된 설치 콘텐츠 및 이미지에 액세스하는 데 필요합니다. Cluster Version Operator에는 단일 기능 소스만 필요하지만 이 사이트는 릴리스 이미지 서명의 소스이기도합니다.
   quayio-production-s3.s3.amazonaws.com	443	AWS에서 Quay 이미지 콘텐츠에 액세스하는데 필요합니다.
   rhcos.mirror.openshift.com	443	Red Hat Enterprise Linux CoreOS(RHCOS) 이미지를 다운로드하는 데 필요합니다.
   sso.redhat.com	443	https://console.redhat.com 사이트에서 sso.redhat.com의 인증을 사용합니다.
   storage.googleapis.com/openshift-release	443	릴리스 이미지 서명 소스입니다 (Cluster Version Operator에는 단일 기능 소스만 필요)

   Show more

   Operator는 상태 확인을 수행하기 위해 경로 액세스가 필요합니다. 특히 인증 및 웹 콘솔 Operator는 두 경로에 연결하여 경로가 작동하는지 확인합니다. 클러스터 관리자이고 * .apps. <cluster_name>.<base_domain>을 허용하지 않으려면 다음 경로를 허용하십시오.

   • oauth-openshift.apps.<cluster_name>.<base_domain>
   • canary-openshift-ingress-canary.apps.<cluster_name>.<base_domain>
   • console-openshift-console.apps. <cluster_name>.<base_domain> 또는 필드가 비어 있지 않은 경우 consoles.operator/cluster 객체의 spec.route.hostname 필드에 지정된 호스트 이름입니다.

6. 선택적 타사 콘텐츠에 대해 다음 URL을 허용 목록에 추가합니다.

   Expand

   URL	포트	함수
   registry.connect.redhat.com	443	모든 타사 이미지 및 인증된 Operator에 필요합니다.
   rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com	443	registry.connect.redhat.com에서 호스팅되는 컨테이너 이미지에 대한 액세스 제공
   oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com	443	Sonatype Nexus, F5 Big IP Operator에 필요합니다.

   Show more

7. 기본 NTP(Red Hat Network Time Protocol) 서버를 사용하는 경우 다음 URL을 허용합니다.

   • 1.rhel.pool.ntp.org
   • 2.rhel.pool.ntp.org
   • 3.rhel.pool.ntp.org