2.4. 为 OpenShift Container Platform 配置防火墙

流程

1. 为您的防火墙的允许列表设置以下 registry URL：

   URL	port	功能
   registry.redhat.io	443	提供核心容器镜像
   access.redhat.com	443	托管签名存储，容器客户端需要验证从 registry.access.redhat.com 中拉取的镜像。在防火墙环境中，确保此资源位于允许列表中。
   registry.access.redhat.com	443	托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像，包括核心容器镜像。
   quay.io	443	提供核心容器镜像
   cdn.quay.io	443	提供核心容器镜像
   cdn01.quay.io	443	提供核心容器镜像
   cdn02.quay.io	443	提供核心容器镜像
   cdn03.quay.io	443	提供核心容器镜像
   cdn04.quay.io	443	提供核心容器镜像
   cdn05.quay.io	443	提供核心容器镜像
   cdn06.quay.io	443	提供核心容器镜像
   sso.redhat.com	443	https://console.redhat.com 站点使用来自 sso.redhat.com 的身份验证

   • 您可以在 allowlist 中使用通配符 Ifquay.io 和 Ifopenshiftapps.com 而不是 cdn.quay.io 和 cdn0[1-6].quay.io。
   • 您可以使用通配符 *.access.redhat.com 来简化配置，并确保所有子域（包括 registry.access.redhat.com ）都被允许。
   • 在 allowlist 中添加站点（如 quay.io ）时，不要向 denylist 添加通配符条目，如 *.quay.io。在大多数情况下，镜像 registry 使用内容交付网络（CDN）来提供镜像。如果防火墙阻止访问，则初始下载请求重定向到一个主机名（如 cdn01.quay.io ）时，镜像下载将被拒绝。
2. 将防火墙的允许列表设置为包含为构建所需的语言或框架提供资源的任何站点。

3. 如果不禁用 Telemetry，您必须授予对以下 URL 的访问权限，以访问 Red Hat Insights：

   URL	port	功能
   cert-api.access.redhat.com	443	Telemetry 所需
   api.access.redhat.com	443	Telemetry 所需
   infogw.api.openshift.com	443	Telemetry 所需
   console.redhat.com	443	Telemetry 和 insights-operator需要

4. 将防火墙的允许列表设置为包含以下 registry URL：

   URL	port	功能
   api.openshift.com	443	集群令牌需要，并检查集群是否有可用的更新。
   rhcos.mirror.openshift.com	443	需要此项以下载 Red Hat Enterprise Linux CoreOS(RHCOS)镜像。

5. 将防火墙的允许列表设置为包含以下外部 URL：每个存储库 URL 都托管 OCI 容器。考虑将镜像镜像到几个存储库，以减少任何性能问题。

   URL	port	功能
   k8s.gcr.io	port	为基于社区的镜像 registry 托管容器镜像的 Kubernetes registry。此镜像 registry 托管在自定义 Google Container Registry (GCR)域中。
   ghcr.io	port	一个 GitHub 镜像 registry，您可以在其中存储和管理开放容器项目镜像。需要访问令牌发布、安装和删除私有、内部和公共软件包。
   storage.googleapis.com	443	发行版本镜像签名源，但 Cluster Version Operator 只需要一个可正常工作的源。
   registry.k8s.io	port	替换 k8s.gcr.io 镜像 registry，因为 k8s.gcr.io 镜像 registry 不支持其他平台和供应商。