3.7. GCP 防火墙先决条件

流程

1. 将以下 URL 添加到 allowlist 中，用于安装和下载软件包和工具：

   域	端口	功能
   registry.redhat.io	443	提供核心容器镜像。
   quay.io	443	提供核心容器镜像。
   cdn01.quay.io cdn02.quay.io cdn03.quay.io cdn04.quay.io cdn05.quay.io cdn06.quay.io	443	提供核心容器镜像。
   sso.redhat.com	443	必需。https://console.redhat.com/openshift 站点使用 sso.redhat.com 中的身份验证下载 pull secret，并使用 Red Hat SaaS 解决方案来帮助监控您的订阅、集群清单、计费报告等。
   quayio-production-s3.s3.amazonaws.com	443	提供核心容器镜像。
   pull.q1w2.quay.rhcloud.com	443	提供核心容器镜像。
   registry.access.redhat.com	443	托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外，registry 提供了对 odo CLI 工具的访问，可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。
   registry.connect.redhat.com	443	所有第三方镜像和认证 Operator 都需要。
   console.redhat.com	443	必需。允许集群和 Red Hat OpenShift Cluster Manager 之间的交互启用功能，如调度升级。
   sso.redhat.com	443	https://console.redhat.com/openshift 站点使用来自 sso.redhat.com的身份验证
   catalog.redhat.com	443	registry.access.redhat.com 和 https://registry.redhat.io 站点通过 catalog.redhat.com 重定向。

2. 将以下遥测 URL 添加到允许列表中：

   域	端口	功能
   cert-api.access.redhat.com	443	遥测是必需的。
   api.access.redhat.com	443	遥测是必需的。
   infogw.api.openshift.com	443	遥测是必需的。
   console.redhat.com	443	遥测和 Red Hat Insights 需要。
   observatorium-mst.api.openshift.com	443	受管 OpenShift 遥测的需要。
   observatorium.api.openshift.com	443	受管 OpenShift 遥测的需要。

   注意

   受管集群需要启用遥测功能，以便红帽可以更快地对问题做出反应，更好地支持客户，并更好地了解产品升级对集群的影响。有关红帽如何使用远程健康监控数据的更多信息，请参阅附加资源部分中的关于远程健康监控的信息。

3. 将以下 OpenShift Dedicated URL 添加到 allowlist 中：

   域	端口	功能
   mirror.openshift.com	443	用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源。
   api.openshift.com	443	用于检查集群是否有可用的更新。

4. 在允许列表中添加以下站点可靠性工程(SRE)和管理 URL：

   域	端口	功能
   api.pagerduty.com	443	此警报服务由 in-cluster alertmanager 用来发送通知 Red Hat SRE 的事件来执行操作的警报。
   events.pagerduty.com	443	此警报服务由 in-cluster alertmanager 用来发送通知 Red Hat SRE 的事件来执行操作的警报。
   api.deadmanssnitch.com	443	OpenShift Dedicated 用来发送定期 ping 的警报服务，以指示集群是否可用并在运行。
   nosnch.in	443	OpenShift Dedicated 用来发送定期 ping 的警报服务，以指示集群是否可用并在运行。
   *.osdsecuritylogs.splunkcloud.com 或者 inputs1.osdsecuritylogs.splunkcloud.com inputs2.osdsecuritylogs.splunkcloud.com inputs4.osdsecuritylogs.splunkcloud.com inputs5.osdsecuritylogs.splunkcloud.com inputs6.osdsecuritylogs.splunkcloud.com inputs7.osdsecuritylogs.splunkcloud.com inputs8.osdsecuritylogs.splunkcloud.com inputs9.osdsecuritylogs.splunkcloud.com inputs10.osdsecuritylogs.splunkcloud.com inputs11.osdsecuritylogs.splunkcloud.com inputs12.osdsecuritylogs.splunkcloud.com inputs13.osdsecuritylogs.splunkcloud.com inputs14.osdsecuritylogs.splunkcloud.com inputs15.osdsecuritylogs.splunkcloud.com	9997	mvapich -forwarder-operator 使用为一个日志转发端点，供 Red Hat SRE 用于基于日志的警报。
   http-inputs-osdsecuritylogs.splunkcloud.com	443	mvapich -forwarder-operator 使用为一个日志转发端点，供 Red Hat SRE 用于基于日志的警报。
   sftp.access.redhat.com (推荐)	22	must-gather-operator 使用的 SFTP 服务器上传诊断日志，以帮助排除集群中的问题。

5. 将 Google Cloud Platform (GCP) API 端点的以下 URL 添加到 allowlist 中：

   域	端口	功能
   accounts.google.com	443	用于访问您的 GCP 帐户。
   *.googleapis.com 或者 storage.googleapis.com iam.googleapis.com serviceusage.googleapis.com cloudresourcemanager.googleapis.com compute.googleapis.com oauth2.googleapis.com dns.googleapis.com iamcredentials.googleapis.com	443	用于访问 GCP 服务和资源。请参阅 GCP 文档中的 Cloud Endpoints，以确定您的 API 所允许的端点。

   注意

   必需的 Google API 可使用 私有 Google Access restricted 虚拟 IP (VIP) 公开，但 Service Usage API (serviceusage.googleapis.com)除外。要绕过这一点，您必须使用 Private Google Access 私有 VIP 公开 Service Usage API。