2.7. AWS 防火墙先决条件

流程

1. 允许列出用于安装和下载软件包和工具的以下 URL：

   域	端口	功能
   registry.redhat.io	443	提供核心容器镜像。
   quay.io	443	提供核心容器镜像。
   cdn01.quay.io	443	提供核心容器镜像。
   cdn02.quay.io	443	提供核心容器镜像。
   cdn03.quay.io	443	提供核心容器镜像。
   sso.redhat.com	443	必需。https://console.redhat.com/openshift 站点使用来自 sso.redhat.com 的身份验证下载 pull secret，并使用 Red Hat SaaS 解决方案来简化订阅、集群清单、计费报告等的监控。
   quay-registry.s3.amazonaws.com	443	提供核心容器镜像。
   quayio-production-s3.s3.amazonaws.com	443	提供核心容器镜像。
   openshift.org	443	提供 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像。
   registry.access.redhat.com	443	托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外，registry 提供了对 odo CLI 工具的访问，可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。
   access.redhat.com	443	必需。托管容器客户端在从 registry.access.redhat.com 中拉取镜像时验证镜像所需的签名存储。
   registry.connect.redhat.com	443	所有第三方镜像和认证 Operator 都需要。
   console.redhat.com	443	必需。允许集群和 OpenShift Console Manager 之间的交互以启用功能，如调度升级。
   sso.redhat.com	443	https://console.redhat.com/openshift 站点使用来自 sso.redhat.com的身份验证
   pull.q1w2.quay.rhcloud.com	443	当 quay.io 不可用时，提供核心容器镜像作为回退。
   .q1w2.quay.rhcloud.com	443	当 quay.io 不可用时，提供核心容器镜像作为回退。
   www.okd.io	443	openshift.org 站点通过 www.okd.io 重定向。
   www.redhat.com	443	sso.redhat.com 站点通过 www.redhat.com 重定向。
   aws.amazon.com	443	iam.amazonaws.com 和 sts.amazonaws.com 站点通过 aws.amazon.com 重定向。
   catalog.redhat.com	443	registry.access.redhat.com 和 https://registry.redhat.io 站点通过 catalog.redhat.com 重定向。
   dvbwgdztaeq9o.cloudfront.net [1]	443	ROSA 用于带有管理的 OIDC 配置的 STS 实现。

   1. 如果 cloudfront.net 前面有一个主要云前端中断需要重定向资源，则字母数字字符的字符串可能会改变。

2. 将以下遥测 URL 列入允许列表：

   域	端口	功能
   cert-api.access.redhat.com	443	遥测是必需的。
   api.access.redhat.com	443	遥测是必需的。
   infogw.api.openshift.com	443	遥测是必需的。
   console.redhat.com	443	遥测和 Red Hat Insights 需要。
   cloud.redhat.com/api/ingress	443	遥测和 Red Hat Insights 需要。
   observatorium-mst.api.openshift.com	443	受管 OpenShift 遥测的需要。
   observatorium.api.openshift.com	443	受管 OpenShift 遥测的需要。

   受管集群需要启用遥测功能，以便红帽可以更快地对问题做出反应，更好地支持客户，并更好地了解产品升级对集群的影响。有关红帽如何使用远程健康监控数据的更多信息，请参阅附加资源部分 关于远程健康监控 的信息。

3. 允许以下 Amazon Web Services (AWS) API URl：

   域	端口	功能
   .amazonaws.com	443	需要此项以访问 AWS 服务和资源。

   或者，如果您选择不为 Amazon Web Services (AWS) API 使用通配符，则必须允许列出以下 URL：

   域	端口	功能
   ec2.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   events.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   iam.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   route53.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   sts.amazonaws.com	443	用于在 AWS 环境中安装和管理集群，用于配置为使用 AWS STS 的全局端点。
   sts.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群，用于配置为使用 AWS STS 的区域端点的集群。如需更多信息，请参阅 AWS STS 区域端点。
   tagging.us-east-1.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。此端点始终为 us-east-1，无论集群要部署到的区域。
   ec2.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   elasticloadbalancing.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   servicequotas.<aws_region>.amazonaws.com	443	必需。用于确认用于部署该服务的配额。
   tagging.<aws_region>.amazonaws.com	443	允许以标签的形式分配 AWS 资源的元数据。

4. 将以下 OpenShift URL 列入允许列表：

   域	端口	功能
   mirror.openshift.com	443	用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源，但 Cluster Version Operator (CVO) 只需要一个可正常工作的源。
   storage.googleapis.com/openshift-release (推荐)	443	mirror.openshift.com/ 的替代站点。用于下载集群用来从 quay.io 中拉取哪些镜像的平台发行版本签名。
   api.openshift.com	443	用于检查集群是否有可用的更新。

5. 将以下站点可靠性工程 (SRE) 和管理 URL 列入允许：

   域	端口	功能
   api.pagerduty.com	443	此警报服务由 in-cluster alertmanager 用来发送通知 Red Hat SRE 的事件来执行操作的警报。
   events.pagerduty.com	443	此警报服务由 in-cluster alertmanager 用来发送通知 Red Hat SRE 的事件来执行操作的警报。
   api.deadmanssnitch.com	443	OpenShift Dedicated 用来发送定期 ping 的警报服务，以指示集群是否可用并在运行。
   nosnch.in	443	OpenShift Dedicated 用来发送定期 ping 的警报服务，以指示集群是否可用并在运行。
   .osdsecuritylogs.splunkcloud.com 或 inputs1.osdsecuritylogs.splunkcloud.cominputs2.osdsecuritylogs.splunkcloud.cominputs4.osdsecuritylogs.splunkcloud.cominputs5.osdsecuritylogs.splunkcloud.cominputs6.osdsecuritylogs.splunkcloud.cominputs7.osdsecuritylogs.splunkcloud.cominputs8.osdsecuritylogs.splunkcloud.cominputs9.osdsecuritylogs.splunkcloud.cominputs10.osdsecuritylogs.splunkcloud.cominputs11.osdsecuritylogs.splunkcloud.cominputs12.osdsecuritylogs.splunkcloud.cominputs13.osdsecuritylogs.splunkcloud.cominputs14.osdsecuritylogs.splunkcloud.cominputs15.osdsecuritylogs.splunkcloud.com	9997	mvapich -forwarder-operator 使用为一个日志转发端点，供 Red Hat SRE 用于基于日志的警报。
   http-inputs-osdsecuritylogs.splunkcloud.com	443	必需。mvapich -forwarder-operator 使用为一个日志转发端点，供 Red Hat SRE 用于基于日志的警报。
   sftp.access.redhat.com (推荐)	22	must-gather-operator 使用的 SFTP 服务器上传诊断日志，以帮助排除集群中的问题。

6. 将以下 URL 列入允许的可选第三方内容：

   域	端口	功能
   registry.connect.redhat.com	443	所有第三方镜像和认证操作器是必需的。
   rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com	443	提供对托管在 registry.connect.redhat.com上的容器镜像的访问
   oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com	443	对于 Sonatype Nexus, F5 Big IP operator 是必需的。

7. 将提供构建所需语言或框架资源的任何站点列入允许列表。
8. 允许允许任何依赖于 OpenShift 中使用的语言和框架的出站 URL。如需防火墙或代理上允许的推荐 URL 列表，请参阅 允许的 OpenShift 出站 URL。