2.7. AWS 防火墙先决条件
如果使用防火墙来控制 OpenShift Dedicated 的出口流量,您必须配置防火墙,以授予以下特定域和端口组合的访问权限。OpenShift Dedicated 需要此访问权限来提供完全托管的 OpenShift 服务。
先决条件
- 您已在 AWS Virtual Private Cloud (VPC)中配置了 Amazon S3 网关端点。需要此端点才能完成从集群到 Amazon S3 服务的请求。
流程
允许列出用于安装和下载软件包和工具的以下 URL:
域 端口 功能 registry.redhat.io
443
提供核心容器镜像。
quay.io
443
提供核心容器镜像。
cdn01.quay.io
443
提供核心容器镜像。
cdn02.quay.io
443
提供核心容器镜像。
cdn03.quay.io
443
提供核心容器镜像。
sso.redhat.com
443
必需。
https://console.redhat.com/openshift
站点使用来自sso.redhat.com
的身份验证下载 pull secret,并使用 Red Hat SaaS 解决方案来简化订阅、集群清单、计费报告等的监控。quay-registry.s3.amazonaws.com
443
提供核心容器镜像。
quayio-production-s3.s3.amazonaws.com
443
提供核心容器镜像。
openshift.org
443
提供 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像。
registry.access.redhat.com
443
托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外,registry 提供了对
odo
CLI 工具的访问,可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。access.redhat.com
443
必需。托管容器客户端在从
registry.access.redhat.com
中拉取镜像时验证镜像所需的签名存储。registry.connect.redhat.com
443
所有第三方镜像和认证 Operator 都需要。
console.redhat.com
443
必需。允许集群和 OpenShift Console Manager 之间的交互以启用功能,如调度升级。
sso.redhat.com
443
https://console.redhat.com/openshift
站点使用来自sso.redhat.com
的身份验证pull.q1w2.quay.rhcloud.com
443
当 quay.io 不可用时,提供核心容器镜像作为回退。
.q1w2.quay.rhcloud.com
443
当 quay.io 不可用时,提供核心容器镜像作为回退。
www.okd.io
443
openshift.org
站点通过www.okd.io
重定向。www.redhat.com
443
sso.redhat.com
站点通过www.redhat.com
重定向。aws.amazon.com
443
iam.amazonaws.com
和sts.amazonaws.com
站点通过aws.amazon.com
重定向。catalog.redhat.com
443
registry.access.redhat.com
和https://registry.redhat.io
站点通过catalog.redhat.com
重定向。dvbwgdztaeq9o.cloudfront.net
[1]443
ROSA 用于带有管理的 OIDC 配置的 STS 实现。
-
如果
cloudfront.net
前面有一个主要云前端中断需要重定向资源,则字母数字字符的字符串可能会改变。
-
如果
将以下遥测 URL 列入允许列表:
域 端口 功能 cert-api.access.redhat.com
443
遥测是必需的。
api.access.redhat.com
443
遥测是必需的。
infogw.api.openshift.com
443
遥测是必需的。
console.redhat.com
443
遥测和 Red Hat Insights 需要。
cloud.redhat.com/api/ingress
443
遥测和 Red Hat Insights 需要。
observatorium-mst.api.openshift.com
443
受管 OpenShift 遥测的需要。
observatorium.api.openshift.com
443
受管 OpenShift 遥测的需要。
受管集群需要启用遥测功能,以便红帽可以更快地对问题做出反应,更好地支持客户,并更好地了解产品升级对集群的影响。有关红帽如何使用远程健康监控数据的更多信息,请参阅附加资源部分 关于远程健康监控 的信息。
允许以下 Amazon Web Services (AWS) API URl:
域 端口 功能 .amazonaws.com
443
需要此项以访问 AWS 服务和资源。
或者,如果您选择不为 Amazon Web Services (AWS) API 使用通配符,则必须允许列出以下 URL:
域 端口 功能 ec2.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
events.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
iam.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
route53.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
sts.amazonaws.com
443
用于在 AWS 环境中安装和管理集群,用于配置为使用 AWS STS 的全局端点。
sts.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群,用于配置为使用 AWS STS 的区域端点的集群。如需更多信息,请参阅 AWS STS 区域端点。
tagging.us-east-1.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。此端点始终为 us-east-1,无论集群要部署到的区域。
ec2.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
elasticloadbalancing.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
tagging.<aws_region>.amazonaws.com
443
允许以标签的形式分配 AWS 资源的元数据。
将以下 OpenShift URL 列入允许列表:
域 端口 功能 mirror.openshift.com
443
用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源,但 Cluster Version Operator (CVO) 只需要一个可正常工作的源。
storage.googleapis.com/openshift-release
(推荐)443
mirror.openshift.com/ 的替代站点。用于下载集群用来从 quay.io 中拉取哪些镜像的平台发行版本签名。
api.openshift.com
443
用于检查集群是否有可用的更新。
将以下站点可靠性工程 (SRE) 和管理 URL 列入允许:
域 端口 功能 api.pagerduty.com
443
此警报服务由 in-cluster alertmanager 用来发送通知 Red Hat SRE 的事件来执行操作的警报。
events.pagerduty.com
443
此警报服务由 in-cluster alertmanager 用来发送通知 Red Hat SRE 的事件来执行操作的警报。
api.deadmanssnitch.com
443
OpenShift Dedicated 用来发送定期 ping 的警报服务,以指示集群是否可用并在运行。
nosnch.in
443
OpenShift Dedicated 用来发送定期 ping 的警报服务,以指示集群是否可用并在运行。
.osdsecuritylogs.splunkcloud.com
或inputs1.osdsecuritylogs.splunkcloud.com
inputs2.osdsecuritylogs.splunkcloud.com
inputs4.osdsecuritylogs.splunkcloud.com
inputs5.osdsecuritylogs.splunkcloud.com
inputs6.osdsecuritylogs.splunkcloud.com
inputs7.osdsecuritylogs.splunkcloud.com
inputs8.osdsecuritylogs.splunkcloud.com
inputs9.osdsecuritylogs.splunkcloud.com
inputs10.osdsecuritylogs.splunkcloud.com
inputs11.osdsecuritylogs.splunkcloud.com
inputs12.osdsecuritylogs.splunkcloud.com
inputs13.osdsecuritylogs.splunkcloud.com
inputs14.osdsecuritylogs.splunkcloud.com
inputs15.osdsecuritylogs.splunkcloud.com
9997
mvapich
-forwarder-operator
使用为一个日志转发端点,供 Red Hat SRE 用于基于日志的警报。http-inputs-osdsecuritylogs.splunkcloud.com
443
必需。mvapich
-forwarder-operator
使用为一个日志转发端点,供 Red Hat SRE 用于基于日志的警报。sftp.access.redhat.com
(推荐)22
must-gather-operator
使用的 SFTP 服务器上传诊断日志,以帮助排除集群中的问题。将以下 URL 列入允许的可选第三方内容:
域 端口 功能 registry.connect.redhat.com
443
所有第三方镜像和认证操作器是必需的。
rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com
443
提供对托管在
registry.connect.redhat.com
上的容器镜像的访问oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com
443
对于 Sonatype Nexus, F5 Big IP operator 是必需的。
- 将提供构建所需语言或框架资源的任何站点列入允许列表。
- 允许允许任何依赖于 OpenShift 中使用的语言和框架的出站 URL。如需防火墙或代理上允许的推荐 URL 列表,请参阅 允许的 OpenShift 出站 URL。
其他资源