2.4. 配置防火墙


如果使用防火墙,您必须进行配置,以便 OpenShift Container Platform 能访问正常运作所需要的网站。您必须始终授予一些站点的访问权限,如果使用 Red Hat Insights、Telemetry 服务、托管集群的云以及某些构建策略,则还要授予更多站点的访问权限。

2.4.1. 为 OpenShift Container Platform 配置防火墙

在安装 OpenShift Container Platform 之前,您必须配置防火墙,以授予 OpenShift Container Platform 所需站点的访问权限。

流程

  1. 将以下 registry URL 列入白名单:

    URL功能

    registry.redhat.io

    提供核心容器镜像

    *.quay.io

    提供核心容器镜像

    sso.redhat.com

    https://cloud.redhat.com/openshift 站点使用 sso.redhat.com 提供的身份验证

  2. 将提供构建所需语言或框架的资源的任何站点列入白名单。
  3. 如果不禁用 Telemetry,您必须授予对以下 URL 的访问权限,以便能访问 Red Hat Insights:

    URL功能

    cert-api.access.redhat.com

    Telemetry 所需

    api.access.redhat.com

    Telemetry 所需

    infogw.api.openshift.com

    Telemetry 所需

    https://cloud.redhat.com/api/ingress

    Telemetry 和 insights-operator 需要

  4. 如果使用 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP) 来托管您的集群,您必须授予对提供该云的云供应商 API 和 DNS 的 URL 的访问权限:

    URL功能

    AWS

    *.amazonaws.com

    需要此项以访问 AWS 服务和资源。请参阅 AWS 文档中 AWS Service Endpoints,以确定您使用的区域所允许的具体端点。

    GCP

    *.googleapis.com

    需要此项以访问 GCP 服务和资源。请参阅 GCP 文档中的 Cloud Endpoints,以确定您的 API 所允许的端点。

    accounts.google.com

    需要此项以访问您的 GCP 帐户。

    Azure

    management.azure.com

    需要此项以访问 Azure 服务和资源。请参阅 Azure 文档中的Azure REST API 参考,以确定您的 API 所允许的端点。

  5. 将以下 URL 列入白名单:

    URL功能

    mirror.openshift.com

    需要此项以访问镜像安装内容和镜像

    *.apps.<cluster_name>.<base_domain>

    需要此项以访问默认的集群路由,除非您在安装过程中设置了入口通配符

    quay-registry.s3.amazonaws.com

    需要此项以访问 AWS 中的 Quay 镜像内容

    api.openshift.com

    需要此项以检查集群是否有可用的更新

    art-rhcos-ci.s3.amazonaws.com

    需要此项以下载 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像

    api.openshift.com

    集群令牌所需

    cloud.redhat.com/openshift

    集群令牌所需

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.