2.7. AWS 防火墙先决条件

流程

1. 允许列出用于安装和下载软件包和工具的以下 URL：

   域	端口	功能
   registry.redhat.io	443	提供核心容器镜像。
   quay.io	443	提供核心容器镜像。
   cdn01.quay.io	443	提供核心容器镜像。
   cdn02.quay.io	443	提供核心容器镜像。
   cdn03.quay.io	443	提供核心容器镜像。
   cdn04.quay.io	443	提供核心容器镜像。
   cdn05.quay.io	443	提供核心容器镜像。
   cdn06.quay.io	443	提供核心容器镜像。
   sso.redhat.com	443	必需。https://console.redhat.com/openshift 站点使用来自 sso.redhat.com 的身份验证下载 pull secret，并使用 Red Hat SaaS 解决方案来简化订阅、集群清单、计费报告等的监控。
   quay-registry.s3.amazonaws.com	443	提供核心容器镜像。
   quayio-production-s3.s3.amazonaws.com	443	提供核心容器镜像。
   registry.access.redhat.com	443	托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外，registry 提供了对 odo CLI 工具的访问，可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。
   access.redhat.com	443	必需。托管容器客户端在从 registry.access.redhat.com 中拉取镜像时验证镜像所需的签名存储。
   registry.connect.redhat.com	443	所有第三方镜像和认证 Operator 都需要。
   console.redhat.com	443	必需。允许集群和 OpenShift Console Manager 之间的交互以启用功能，如调度升级。
   sso.redhat.com	443	https://console.redhat.com/openshift 站点使用来自 sso.redhat.com的身份验证
   pull.q1w2.quay.rhcloud.com	443	当 quay.io 不可用时，提供核心容器镜像作为回退。
   catalog.redhat.com	443	registry.access.redhat.com 和 https://registry.redhat.io 站点通过 catalog.redhat.com 重定向。
   oidc.op1.openshiftapps.com	443	ROSA 用于带有管理的 OIDC 配置的 STS 实现。

2. 将以下遥测 URL 列入允许列表：

   域	端口	功能
   cert-api.access.redhat.com	443	遥测是必需的。
   api.access.redhat.com	443	遥测是必需的。
   infogw.api.openshift.com	443	遥测是必需的。
   console.redhat.com	443	遥测和 Red Hat Insights 需要。
   observatorium-mst.api.openshift.com	443	受管 OpenShift 遥测的需要。
   observatorium.api.openshift.com	443	受管 OpenShift 遥测的需要。

   受管集群需要启用遥测功能，以便红帽可以更快地对问题做出反应，更好地支持客户，并更好地了解产品升级对集群的影响。有关红帽如何使用远程健康监控数据的更多信息，请参阅附加资源部分 关于远程健康监控 的信息。

3. 允许以下 Amazon Web Services (AWS) API URl：

   域	端口	功能
   .amazonaws.com	443	需要此项以访问 AWS 服务和资源。

   或者，如果您选择不为 Amazon Web Services (AWS) API 使用通配符，则必须允许列出以下 URL：

   域	端口	功能
   ec2.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   events.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   iam.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   route53.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   sts.amazonaws.com	443	用于在 AWS 环境中安装和管理集群，用于配置为使用 AWS STS 的全局端点。
   sts.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群，用于配置为使用 AWS STS 的区域端点的集群。如需更多信息，请参阅 AWS STS 区域端点。
   tagging.us-east-1.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。此端点始终为 us-east-1，无论集群要部署到的区域。
   ec2.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   elasticloadbalancing.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   tagging.<aws_region>.amazonaws.com	443	允许以标签的形式分配 AWS 资源的元数据。

4. 将以下 OpenShift URL 列入允许列表：

   域	端口	功能
   mirror.openshift.com	443	用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源。
   api.openshift.com	443	用于检查集群是否有可用的更新。

5. 将以下站点可靠性工程 (SRE) 和管理 URL 列入允许：

   域	端口	功能
   api.pagerduty.com	443	此警报服务由 in-cluster alertmanager 用来发送通知 Red Hat SRE 的事件来执行操作的警报。
   events.pagerduty.com	443	此警报服务由 in-cluster alertmanager 用来发送通知 Red Hat SRE 的事件来执行操作的警报。
   api.deadmanssnitch.com	443	OpenShift Dedicated 用来发送定期 ping 的警报服务，以指示集群是否可用并在运行。
   nosnch.in	443	OpenShift Dedicated 用来发送定期 ping 的警报服务，以指示集群是否可用并在运行。
   http-inputs-osdsecuritylogs.splunkcloud.com	443	必需。mvapich -forwarder-operator 使用为一个日志转发端点，供 Red Hat SRE 用于基于日志的警报。
   sftp.access.redhat.com (推荐)	22	must-gather-operator 使用的 SFTP 服务器上传诊断日志，以帮助排除集群中的问题。