3.7. 网络先决条件
3.7.1. 最小带宽 复制链接链接已复制到粘贴板!
在集群部署期间,OpenShift Dedicated 需要集群基础架构和公共互联网或专用网络位置之间的 120 Mbps 带宽,以提供部署工件和资源。当网络连接比 120 Mbps 慢时(例如,当通过代理进行连接时)集群安装过程会超时,部署会失败。
集群部署后,网络要求由您的工作负载决定。但是,最小带宽 120 Mbps 有助于确保及时地升级集群和操作程序。
3.7.2. 防火墙先决条件 复制链接链接已复制到粘贴板!
如果使用防火墙来控制 OpenShift Dedicated 的出口流量,您必须配置防火墙,以授予以下特定域和端口组合的访问权限。OpenShift Dedicated 需要此访问权限来提供完全托管的 OpenShift 服务。
先决条件
- 您已在 AWS Virtual Private Cloud (VPC)中配置了 Amazon S3 网关端点。需要此端点才能完成从集群到 Amazon S3 服务的请求。
流程
允许列出用于安装和下载软件包和工具的以下 URL:
Expand 域 端口 功能 registry.redhat.io
443
提供核心容器镜像。
quay.io
443
提供核心容器镜像。
cdn01.quay.io
443
提供核心容器镜像。
cdn02.quay.io
443
提供核心容器镜像。
cdn03.quay.io
443
提供核心容器镜像。
cdn04.quay.io
443
提供核心容器镜像。
cdn05.quay.io
443
提供核心容器镜像。
cdn06.quay.io
443
提供核心容器镜像。
sso.redhat.com
443
必需。
https://console.redhat.com/openshift
站点使用sso.redhat.com
中的身份验证下载 pull secret,并使用 Red Hat SaaS 解决方案来帮助监控您的订阅、集群清单、计费报告等。quay-registry.s3.amazonaws.com
443
提供核心容器镜像。
quayio-production-s3.s3.amazonaws.com
443
提供核心容器镜像。
registry.access.redhat.com
443
托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外,registry 提供了对
odo
CLI 工具的访问,可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。access.redhat.com
443
必需。在从
registry.access.redhat.com
中拉取镜像时,托管容器客户端需要验证镜像所需的签名存储。registry.connect.redhat.com
443
所有第三方镜像和认证 Operator 都需要。
console.redhat.com
443
必需。允许集群和 OpenShift Console Manager 之间的交互以启用功能,如调度升级。
sso.redhat.com
443
https://console.redhat.com/openshift
站点使用来自sso.redhat.com
的身份验证pull.q1w2.quay.rhcloud.com
443
当 quay.io 不可用时,提供核心容器镜像作为回退。
catalog.redhat.com
443
registry.access.redhat.com
和https://registry.redhat.io
站点通过catalog.redhat.com
重定向。oidc.op1.openshiftapps.com
443
OpenShift Dedicated 用于带有受管 OIDC 配置的 STS 实现。
将以下遥测 URL 列入允许列表:
Expand 域 端口 功能 cert-api.access.redhat.com
443
遥测是必需的。
api.access.redhat.com
443
遥测是必需的。
infogw.api.openshift.com
443
遥测是必需的。
console.redhat.com
443
遥测和 Red Hat Insights 需要此项。
observatorium-mst.api.openshift.com
443
受管 OpenShift 遥测的需要。
observatorium.api.openshift.com
443
受管 OpenShift 遥测的需要。
受管集群需要启用遥测功能,以便红帽可以更快地对问题做出反应,更好地支持客户,并更好地了解产品升级对集群的影响。有关如何使用红帽远程健康监控数据的更多信息,请参阅附加资源部分中的 关于远程健康监控 功能。
允许以下 Amazon Web Services (AWS) API URl:
Expand 域 端口 功能 .amazonaws.com
443
需要此项以访问 AWS 服务和资源。
或者,如果您选择不为 Amazon Web Services (AWS) API 使用通配符,则必须允许列出以下 URL:
Expand 域 端口 功能 ec2.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
events.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
iam.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
route53.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
sts.amazonaws.com
443
用于在 AWS 环境中安装和管理集群,用于配置为使用 AWS STS 的全局端点。
sts.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群,用于配置为使用 AWS STS 的区域端点的集群。如需更多信息,请参阅 AWS STS 区域端点。
tagging.us-east-1.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。此端点始终为 us-east-1,无论集群要部署到的区域。
ec2.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
elasticloadbalancing.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
tagging.<aws_region>.amazonaws.com
443
允许以标签的形式分配 AWS 资源的元数据。
将以下 OpenShift URL 列入允许列表:
Expand 域 端口 功能 mirror.openshift.com
443
用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源。
api.openshift.com
443
用于检查集群是否有可用的更新。
将以下站点可靠性工程 (SRE) 和管理 URL 列入允许:
Expand 域 端口 功能 api.pagerduty.com
443
此警报服务供 in-cluster alertmanager 发送警报通知 Red Hat SRE 的事件来执行操作。
events.pagerduty.com
443
此警报服务供 in-cluster alertmanager 发送警报通知 Red Hat SRE 的事件来执行操作。
api.deadmanssnitch.com
443
OpenShift Dedicated 用来发送定期 ping 的警报服务,以指示集群是否可用并在运行。
nosnch.in
443
OpenShift Dedicated 用来发送定期 ping 的警报服务,以指示集群是否可用并在运行。
http-inputs-osdsecuritylogs.splunkcloud.com
443
必需。
splunk-forwarder-operator
使用为一个日志转发端点,供 Red Hat SRE 用于基于日志的警报。sftp.access.redhat.com
(推荐)22
must-gather-operator
使用的 SFTP 服务器上传诊断日志,以帮助排除集群中的问题。