红帽全球峰会2.7. 网络先决条件
2.7.1. 最小带宽
在集群部署期间,Red Hat OpenShift Service on AWS 需要集群基础架构和公共互联网或专用网络位置之间的 120 Mbps 带宽,以提供部署工件和资源。当网络连接比 120 Mbps 慢时(例如,当通过代理进行连接时)集群安装过程会超时,部署会失败。
集群部署后,网络要求由您的工作负载决定。但是,最小带宽 120 Mbps 有助于确保及时地升级集群和操作程序。
2.7.2. AWS 防火墙先决条件
如果您使用防火墙来控制来自 Red Hat OpenShift Service on AWS 集群的出口流量,您必须配置防火墙以授予以下特定域和端口组合的访问权限。Red Hat OpenShift Service on AWS 需要此访问权限来提供完全托管的 OpenShift 服务。
先决条件
- 您已在 AWS Virtual Private Cloud (VPC)中配置了 Amazon S3 网关端点。需要此端点才能完成从集群到 Amazon S3 服务的请求。
流程
允许列出用于安装和下载软件包和工具的以下 URL:
Expand 域 端口 功能 registry.redhat.io443
提供核心容器镜像。
quay.io443
提供核心容器镜像。
cdn01.quay.io443
提供核心容器镜像。
cdn02.quay.io443
提供核心容器镜像。
cdn03.quay.io443
提供核心容器镜像。
cdn04.quay.io443
提供核心容器镜像。
cdn05.quay.io443
提供核心容器镜像。
cdn06.quay.io443
提供核心容器镜像。
sso.redhat.com443
必需。
https://console.redhat.com/openshift站点使用sso.redhat.com中的身份验证下载 pull secret,并使用 Red Hat SaaS 解决方案来帮助监控您的订阅、集群清单、计费报告等。quay-registry.s3.amazonaws.com443
提供核心容器镜像。
quayio-production-s3.s3.amazonaws.com443
提供核心容器镜像。
registry.access.redhat.com443
托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外,registry 提供了对
odoCLI 工具的访问,可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。access.redhat.com443
必需。在从
registry.access.redhat.com中拉取镜像时,托管容器客户端需要验证镜像所需的签名存储。registry.connect.redhat.com443
所有第三方镜像和认证 Operator 都需要。
console.redhat.com443
必需。允许集群和 OpenShift Console Manager 之间的交互以启用功能,如调度升级。
sso.redhat.com443
https://console.redhat.com/openshift站点使用来自sso.redhat.com的身份验证pull.q1w2.quay.rhcloud.com443
当 quay.io 不可用时,提供核心容器镜像作为回退。
catalog.redhat.com443
registry.access.redhat.com和https://registry.redhat.io站点通过catalog.redhat.com重定向。oidc.op1.openshiftapps.com443
Red Hat OpenShift Service on AWS 用来使用受管 OIDC 配置实现 STS。
将以下遥测 URL 列入允许列表:
Expand 域 端口 功能 cert-api.access.redhat.com443
遥测是必需的。
api.access.redhat.com443
遥测是必需的。
infogw.api.openshift.com443
遥测是必需的。
console.redhat.com443
遥测和 Red Hat Insights 需要此项。
observatorium-mst.api.openshift.com443
受管 OpenShift 遥测的需要。
observatorium.api.openshift.com443
受管 OpenShift 遥测的需要。
受管集群需要启用遥测功能,以便红帽可以更快地对问题做出反应,更好地支持客户,并更好地了解产品升级对集群的影响。有关如何使用红帽远程健康监控数据的更多信息,请参阅附加资源部分中的 关于远程健康监控 功能。
允许以下 Amazon Web Services (AWS) API URl:
Expand 域 端口 功能 .amazonaws.com443
需要此项以访问 AWS 服务和资源。
或者,如果您选择不为 Amazon Web Services (AWS) API 使用通配符,则必须允许列出以下 URL:
Expand 域 端口 功能 ec2.amazonaws.com443
用于在 AWS 环境中安装和管理集群。
events.<aws_region>.amazonaws.com443
用于在 AWS 环境中安装和管理集群。
iam.amazonaws.com443
用于在 AWS 环境中安装和管理集群。
route53.amazonaws.com443
用于在 AWS 环境中安装和管理集群。
sts.amazonaws.com443
用于在 AWS 环境中安装和管理集群,用于配置为使用 AWS STS 的全局端点。
sts.<aws_region>.amazonaws.com443
用于在 AWS 环境中安装和管理集群,用于配置为使用 AWS STS 的区域端点的集群。如需更多信息,请参阅 AWS STS 区域端点。
tagging.us-east-1.amazonaws.com443
用于在 AWS 环境中安装和管理集群。此端点始终为 us-east-1,无论集群要部署到的区域。
ec2.<aws_region>.amazonaws.com443
用于在 AWS 环境中安装和管理集群。
elasticloadbalancing.<aws_region>.amazonaws.com443
用于在 AWS 环境中安装和管理集群。
tagging.<aws_region>.amazonaws.com443
允许以标签的形式分配 AWS 资源的元数据。
将以下 OpenShift URL 列入允许列表:
Expand 域 端口 功能 mirror.openshift.com443
用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源。
api.openshift.com443
用于检查集群是否有可用的更新。
将以下站点可靠性工程 (SRE) 和管理 URL 列入允许:
Expand 域 端口 功能 api.pagerduty.com443
此警报服务供 in-cluster alertmanager 发送警报通知 Red Hat SRE 的事件来执行操作。
events.pagerduty.com443
此警报服务供 in-cluster alertmanager 发送警报通知 Red Hat SRE 的事件来执行操作。
api.deadmanssnitch.com443
Red Hat OpenShift Service on AWS 使用的警报服务发送定期 ping 来指示集群是否可用并运行。
nosnch.in443
Red Hat OpenShift Service on AWS 使用的警报服务发送定期 ping 来指示集群是否可用并运行。
http-inputs-osdsecuritylogs.splunkcloud.com443
必需。
splunk-forwarder-operator使用为一个日志转发端点,供 Red Hat SRE 用于基于日志的警报。sftp.access.redhat.com(推荐)22
must-gather-operator使用的 SFTP 服务器上传诊断日志,以帮助排除集群中的问题。
2.7.3. Red Hat OpenShift Service on AWS 的防火墙先决条件
- 如果您使用防火墙来控制 AWS 上的 Red Hat OpenShift Service 的出口流量,您的 Virtual Private Cloud (VPC)必须能够从集群完成请求到 Amazon S3 服务,例如通过 Amazon S3 网关。
- 您还必须配置防火墙以授予以下域和端口组合的访问权限。
2.7.3.1. 安装软件包和工具的域
| 域 | 端口 | 功能 |
|---|---|---|
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 | 提供核心容器镜像。 |
|
| 443 |
必需。托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外,registry 提供了对 |
|
| 443 |
必需。在从 |
|
| 443 | 必需。用于检查集群的可用更新。 |
|
| 443 | 必需。用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源,但 Cluster Version Operator (CVO) 只需要一个可正常工作的源。 |
2.7.3.2. 遥测的域
| 域 | 端口 | 功能 |
|---|---|---|
|
| 443 | 遥测是必需的。 |
|
| 443 | 必需。允许集群和 OpenShift Console Manager 之间的交互以启用功能,如调度升级。 |
|
| 443 |
必需。 |
受管集群需要启用遥测功能,以便红帽可以更快地对问题做出反应,更好地支持客户,并更好地了解产品升级对集群的影响。有关如何使用红帽远程健康监控数据的更多信息,请参阅关于远程健康监控。
2.7.3.3. Amazon Web Services (AWS) API 的域
| 域 | 端口 | 功能 |
|---|---|---|
|
| 443 |
必需。用于访问 AWS 安全令牌服务(STS)区域端点。确保将 < |
- 这也可以通过在 AWS Virtual Private Cloud (VPC)到区域 AWS STS 端点中配置私有接口端点来实现。
2.7.3.4. 工作负载的域
您的工作负载可能需要访问为编程语言或框架提供资源的其他站点。
- 允许访问提供构建所需资源的站点。
- 允许访问工作负载所需的出站 URL,如 OpenShift 出站 URL 允许。
2.7.3.5. 可选域以启用第三方内容
| 域 | 端口 | 功能 |
|---|---|---|
|
| 443 | 可选。所有第三方镜像和认证操作器是必需的。 |
|
| 443 |
可选。提供对托管在 |
|
| 443 | 可选。对于 Sonatype Nexus, F5 Big IP operator 是必需的。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}