1.6. AWS 방화벽 사전 요구 사항
PrivateLink를 사용하여 배포된 ROSA 클러스터만 방화벽을 사용하여 송신 트래픽을 제어할 수 있습니다.
이 섹션에서는 AWS 클러스터의 Red Hat OpenShift Service에서 송신 트래픽을 제어하는 데 필요한 세부 정보를 제공합니다. 방화벽을 사용하여 송신 트래픽을 제어하는 경우 아래의 도메인 및 포트 조합에 대한 액세스 권한을 부여하도록 방화벽을 구성해야 합니다. AWS의 Red Hat OpenShift Service에는 완전히 관리되는 OpenShift 서비스를 제공하기 위해 이 액세스 권한이 필요합니다.
절차
패키지 및 툴을 설치 및 다운로드하는 데 사용되는 다음 URL을 허용 목록에 추가하십시오.
domain 포트 함수 registry.redhat.io
443
코어 컨테이너 이미지를 제공합니다.
quay.io
443
코어 컨테이너 이미지를 제공합니다.
*.quay.io
443
코어 컨테이너 이미지를 제공합니다.
sso.redhat.com
443, 80
필수 항목입니다.
https://console.redhat.com/openshift
사이트에서는sso.redhat.com
의 인증을 사용하여 풀 시크릿을 다운로드하고 Red Hat SaaS 솔루션을 사용하여 서브스크립션, 클러스터 인벤토리, 예상 보고 등을 쉽게 모니터링할 수 있습니다.quay-registry.s3.amazonaws.com
443
코어 컨테이너 이미지를 제공합니다.
ocm-quay-production-s3.s3.amazonaws.com
443
코어 컨테이너 이미지를 제공합니다.
quayio-production-s3.s3.amazonaws.com
443
코어 컨테이너 이미지를 제공합니다.
cart-rhcos-ci.s3.amazonaws.com
443
RHCOS(Red Hat Enterprise Linux CoreOS) 이미지를 제공합니다.
openshift.org
443
RHCOS(Red Hat Enterprise Linux CoreOS) 이미지를 제공합니다.
registry.access.redhat.com
443
개발자가 OpenShift 및 Kubernetes에서 빌드하는 데 도움이 되는
odo
CLI 툴에 대한 액세스를 제공합니다.console.redhat.com
443, 80
필수 항목입니다. 클러스터와 OpenShift Console Manager 간의 상호 작용을 통해 예약 업그레이드와 같은 기능을 활성화할 수 있습니다.
sso.redhat.com
443
https://console.redhat.com/openshift
사이트에서sso.redhat.com
의 인증을 사용합니다.pull.q1w2.quay.rhcloud.com
443
quay.io를 사용할 수 없는 경우 코어 컨테이너 이미지를 폴백으로 제공합니다.
.q1w2.quay.rhcloud.com
443
quay.io를 사용할 수 없는 경우 코어 컨테이너 이미지를 폴백으로 제공합니다.
www.okd.io
443
openshift.org
사이트는www.okd.io
을 통해 리디렉션됩니다.www.redhat.com
443, 80
sso.redhat.com
사이트는www.redhat.com
을 통해 리디렉션됩니다.aws.amazon.com
443
iam.amazonaws.com
및sts.amazonaws.com
사이트는aws.amazon.com
을 통해 리디렉션됩니다.catalog.redhat.com
443
registry.access.redhat.com
및https://registry.redhat.io
사이트는catalog.redhat.com
을 통해 리디렉션됩니다.허용 목록에
quay.io
와 같은 사이트를 추가할 때*.quay.io
와 같은 와일드카드 항목을 거부 목록에 추가하지 마십시오. 대부분의 경우 이미지 레지스트리는 CDN(Content deliver network)을 사용하여 이미지를 제공합니다. 방화벽 블록에 액세스하는 경우 초기 다운로드 요청이cdn01.quay.io
와 같은 호스트 이름에 리디렉션될 때 이미지 다운로드가 거부됩니다.cdn01.quay.io
와 같은 CDN 호스트 이름은 허용 목록에.quay.io
와 같은 와일드카드 항목을 추가할 때 적용됩니다.다음 Telemetry URL을 허용 목록에 추가합니다.
domain 포트 함수 cert-api.access.redhat.com
443
Telemetry에 필요합니다.
api.access.redhat.com
443
Telemetry에 필요합니다.
infogw.api.openshift.com
443
Telemetry에 필요합니다.
console.redhat.com
443
Telemetry 및 Red Hat Insights에 필요합니다.
observatorium.api.openshift.com
443
관리형 OpenShift별 Telemetry에 필요합니다.
관리형 클러스터를 사용하려면 Telemetry를 통해 Red Hat이 문제에 보다 신속하게 대응하고, 고객 지원을 개선하며, 제품 업그레이드가 클러스터에 미치는 영향을 보다 잘 이해할 수 있어야 합니다. Red Hat에서 원격 상태 모니터링 데이터를 사용하는 방법에 대한 자세한 내용은 원격 상태 모니터링 정보를 참조하십시오.
다음 AWS(Amazon Web Services) API URls를 나열하십시오.
domain 포트 함수 .amazonaws.com
443
AWS 서비스 및 리소스에 액세스하는데 필요합니다.
또는 AWS(Amazon Web Services) API에 와일드카드를 사용하지 않도록 선택하는 경우 다음 URL을 허용해야 합니다.
domain 포트 함수 ec2.amazonaws.com
443
AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
events.amazonaws.com
443
AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
iam.amazonaws.com
443
AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
route53.amazonaws.com
443
AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
sts.amazonaws.com
443
AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
tagging.us-east-1.amazonaws.com
443
AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다. 이 끝점은 클러스터가 배포된 지역에 관계없이 항상 us-east-1입니다.
ec2.<aws_region>.amazonaws.com
443
AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
elasticloadbalancing.<aws_region>.amazonaws.com
443
AWS 환경에서 클러스터를 설치하고 관리하는 데 사용됩니다.
servicequotas.<aws_region>.amazonaws.com
443, 80
필수 항목입니다. 서비스 배포에 대한 할당량을 확인하는 데 사용됩니다.
tagging.<aws_region>.amazonaws.com
443, 80
태그 형태로 AWS 리소스에 대한 메타데이터를 할당할 수 있습니다.
다음 OpenShift URL을 허용 목록에 추가합니다.
domain 포트 함수 mirror.openshift.com
443
미러링된 설치 콘텐츠 및 이미지에 액세스하는 데 사용됩니다. 이 사이트는 릴리스 이미지 서명의 소스이기도 하지만 CVO(Cluster Version Operator)에는 단일 기능 소스만 필요합니다.
storage.googleapis.com/openshift-release
(권장)443
mirror.openshift.com/에 대한 대체 사이트입니다. 클러스터에서 사용하는 플랫폼 릴리스 서명을 다운로드하여 quay.io에서 가져올 이미지를 확인하는 데 사용됩니다.
api.openshift.com
443
클러스터에 사용 가능한 업데이트가 있는지 확인하는 데 사용됩니다.
Allowlist the following site reliability engineering (SRE) 및 관리 URL:
domain 포트 함수 api.pagerduty.com
443
이 경고 서비스는 클러스터 내 alertmanager가 수행할 이벤트의 Red Hat SRE에 알리는 경고를 보내는 데 사용됩니다.
events.pagerduty.com
443
이 경고 서비스는 클러스터 내 alertmanager가 수행할 이벤트의 Red Hat SRE에 알리는 경고를 보내는 데 사용됩니다.
api.deadmanssnitch.com
443
AWS에서 Red Hat OpenShift Service에서 클러스터가 사용 가능하고 실행 중인지를 나타내는 주기적인 ping을 보내는 데 사용하는 경고 서비스입니다.
nosnch.in
443
AWS에서 Red Hat OpenShift Service에서 클러스터가 사용 가능하고 실행 중인지를 나타내는 주기적인 ping을 보내는 데 사용하는 경고 서비스입니다.
*.osdsecuritylogs.
.osdsecuritylogs.complunkcloud.comcomsplunkcloud.com
OR inputs1inputs2.osdsecuritylogs.splunkcloud
.com
inputs4.
osdsecuritylogs.splunkcloud
.com
inputs5.
osdsecuritylogs.splunkcloud
.com
inputs6.
osdsecuritylogs.splunkcloud
s.com
inputs.splunkcloud
.com storeds.com
plunkcloud.com9997
splunk-forwarder-operator
에서 로그 기반 경고에 사용할 로깅 전달 끝점으로 사용합니다.http-inputs-osdsecuritylogs.splunkcloud.com
443
필수 항목입니다.
splunk-forwarder-operator
에서 로그 기반 경고에 사용할 로깅 전달 끝점으로 사용합니다.SFTP.access.redhat.com
(권장)22
클러스터 문제를 해결하기 위해 진단 로그를 업로드하기 위해
must-gather-operator
에서 사용하는 SFTP 서버입니다.AWS(Amazon Web Services) API에 와일드카드를 허용하지 않은 경우 내부 OpenShift 레지스트리에 사용된 S3 버킷도 허용해야 합니다. 해당 끝점을 검색하려면 클러스터가 성공적으로 프로비저닝된 후 다음 명령을 실행합니다.
$ oc -n openshift-image-registry get pod -l docker-registry=default -o json | jq '.items[].spec.containers[].env[] | select(.name=="REGISTRY_STORAGE_S3_BUCKET")'
S3 끝점은 '<cluster-name>-<random-string>-image-registry-<cluster-region>-<random-string>.s3.dualstack.<cluster-region>.amazonaws.com 형식이어야 합니다.
- 빌드에 필요한 언어 또는 프레임 워크에 대한 리소스를 제공하는 사이트를 허용 목록에 추가합니다.
- OpenShift에 사용된 언어 및 프레임워크에 의존하는 아웃바운드 URL을 허용 목록에 추가합니다. 방화벽 또는 프록시에서 허용되는 권장 URL 목록은 OpenShift Outbound URL을 참조하십시오.