2.5. 网络先决条件
2.5.1. 最小带宽
在集群部署期间,Red Hat OpenShift Service on AWS 需要集群资源和公共互联网资源之间最少 120 Mbps 带宽。当网络连接比 120 Mbps 慢时(例如,当通过代理进行连接时)集群安装过程会超时,部署会失败。
部署后,网络要求由您的工作负载决定。但是,最小带宽 120 Mbps 有助于确保及时地升级集群和操作程序。
2.5.2. AWS 防火墙先决条件
如果您使用防火墙来控制来自 Red Hat OpenShift Service on AWS 的出口流量,您必须配置防火墙以授予以下特定域和端口组合的访问权限。Red Hat OpenShift Service on AWS 需要此访问权限来提供完全托管的 OpenShift 服务。
2.5.2.1. ROSA Classic
只有使用 PrivateLink 部署的 ROSA 集群才能使用防火墙来控制出口流量。
前提条件
- 您已在 AWS Virtual Private Cloud (VPC)中配置了 Amazon S3 网关端点。需要此端点才能完成从集群到 Amazon S3 服务的请求。
流程
允许列出用于安装和下载软件包和工具的以下 URL:
域 端口 功能 registry.redhat.io
443
提供核心容器镜像。
quay.io
443
提供核心容器镜像。
cdn01.quay.io
443
提供核心容器镜像。
cdn02.quay.io
443
提供核心容器镜像。
cdn03.quay.io
443
提供核心容器镜像。
sso.redhat.com
443
必需。
https://console.redhat.com/openshift
站点使用来自sso.redhat.com
的身份验证下载 pull secret,并使用 Red Hat SaaS 解决方案来简化订阅、集群清单、计费报告等的监控。quay-registry.s3.amazonaws.com
443
提供核心容器镜像。
quayio-production-s3.s3.amazonaws.com
443
提供核心容器镜像。
openshift.org
443
提供 Red Hat Enterprise Linux CoreOS (RHCOS)镜像。
registry.access.redhat.com
443
托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外,registry 提供了对
odo
CLI 工具的访问,可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。access.redhat.com
443
必需。托管容器客户端在从
registry.access.redhat.com
中拉取镜像时验证镜像所需的签名存储。registry.connect.redhat.com
443
所有第三方镜像和认证 Operator 都需要。
console.redhat.com
443
必需。允许集群和 OpenShift Console Manager 之间的交互以启用功能,如调度升级。
sso.redhat.com
443
https://console.redhat.com/openshift
站点使用来自sso.redhat.com
的身份验证pull.q1w2.quay.rhcloud.com
443
当 quay.io 不可用时,提供核心容器镜像作为回退。
.q1w2.quay.rhcloud.com
443
当 quay.io 不可用时,提供核心容器镜像作为回退。
www.okd.io
443
openshift.org
站点通过www.okd.io
重定向。www.redhat.com
443
sso.redhat.com
站点通过www.redhat.com
重定向。aws.amazon.com
443
iam.amazonaws.com
和sts.amazonaws.com
站点通过aws.amazon.com
重定向。catalog.redhat.com
443
registry.access.redhat.com
和https://registry.redhat.io
站点通过catalog.redhat.com
重定向。dvbwgdztaeq9o.cloudfront.net
[1]443
ROSA 用于带有管理的 OIDC 配置的 STS 实现。
time-a-g.nist.gov
123 [2]
允许 FedRAMP 的 NTP 流量。
time-a-wwv.nist.gov
123 [2]
允许 FedRAMP 的 NTP 流量。
time-a-b.nist.gov
123 [2]
允许 FedRAMP 的 NTP 流量。
-
如果
cloudfront.net
前面有一个主要云前端中断需要重定向资源,则字母数字字符的字符串可能会改变。 - TCP 和 UDP 端口。
-
如果
将以下遥测 URL 列入允许列表:
域 端口 功能 cert-api.access.redhat.com
443
遥测是必需的。
api.access.redhat.com
443
遥测是必需的。
infogw.api.openshift.com
443
遥测是必需的。
console.redhat.com
443
遥测和 Red Hat Insights 需要。
cloud.redhat.com/api/ingress
443
遥测和 Red Hat Insights 需要。
observatorium-mst.api.openshift.com
443
受管 OpenShift 遥测需要。
observatorium.api.openshift.com
443
受管 OpenShift 遥测需要。
受管集群需要启用遥测功能,以便红帽可以更快地对问题做出反应,更好地支持客户,并更好地了解产品升级对集群的影响。有关红帽如何使用远程健康监控数据的更多信息,请参阅附加资源部分 关于远程健康监控 的信息。
允许以下 Amazon Web Services (AWS) API URls:
域 端口 功能 .amazonaws.com
443
需要此项以访问 AWS 服务和资源。
或者,如果您选择不为 Amazon Web Services (AWS) API 使用通配符,则必须允许列出以下 URL:
域 端口 功能 ec2.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
events.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
iam.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
route53.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
sts.amazonaws.com
443
用于在 AWS 环境中安装和管理集群,用于配置为使用 AWS STS 的全局端点。
sts.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群,用于配置为使用 AWS STS 的区域端点的集群。如需更多信息,请参阅 AWS STS 区域端点。
tagging.us-east-1.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。此端点始终为 us-east-1,无论集群要部署到的区域。
ec2.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
elasticloadbalancing.<aws_region>.amazonaws.com
443
用于在 AWS 环境中安装和管理集群。
tagging.<aws_region>.amazonaws.com
443
允许以标签的形式分配 AWS 资源的元数据。
将以下 OpenShift URL 列入允许列表:
域 端口 功能 mirror.openshift.com
443
用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源,但 Cluster Version Operator (CVO)只需要一个可正常工作的源。
storage.googleapis.com/openshift-release
(推荐)443
mirror.openshift.com/ 的替代站点。用于下载集群用来从 quay.io 中拉取哪些镜像的平台发行版本签名。
api.openshift.com
443
用于检查集群是否有可用的更新。
将以下站点可靠性工程(SRE)和管理 URL 列入允许:
域 端口 功能 api.pagerduty.com
443
此警报服务由 in-cluster alertmanager 用来发送通知 Red Hat SRE 的事件来执行操作的警报。
events.pagerduty.com
443
此警报服务由 in-cluster alertmanager 用来发送通知 Red Hat SRE 的事件来执行操作的警报。
api.deadmanssnitch.com
443
Red Hat OpenShift Service on AWS 使用的警报服务发送定期 ping 来指示集群是否可用并运行。
nosnch.in
443
Red Hat OpenShift Service on AWS 使用的警报服务发送定期 ping 来指示集群是否可用并运行。
.osdsecuritylogs.categoriescloud.com OR
inputs1.osdsecuritylogs.categoriescloud.com inputs
2.osdsecuritylogs.mvapichcloud.com inputs
4.osdsecuritylogs.categoriescloud.com inputs5.osdsecuritylogs.categoriescloud.com inputs6.osdsecuritylogs.categoriescloud.com inputs
logs.12 inputs10.osdsecuritylogs.osdsecuritylogs.osdsecuritylogs7
inputs8.osdsecuritylogs.zFCPcloud.com inputs9.osdsecurity.osdsecuritylogs.splunkcloud
.com11 inputs10.osdsecuritylogs.osdsecuritycom inputs10.osdsecuritylogs.osdsecuritycom
inputs.osdsecuritylogs.osd.osdsecuritylogs.osdsecuritycom
inputs5.osdsecuritylogs.com inputs10.osdsecuritylogs.cominputs10.osdsecuritylogs.osdsecuritylogs.osdsecuritylogs.osdsecuritylogs.com inputs5.osdsecuritylogs.com inputs5.osdsecuritylogs.com inputs6.
osdsecuritylogs.com inputs6.osdsecuritylogs.com inputs5.osdsecuritylogs.com inputs10.osdsecuritylogs.cominputs8.osdsecuritylogs.com
inputs9.osdsecuritylogs.com inputs5.osdsecuritylogs.com inputs10.osdsecuritylogs.com inputs5.osdsecuritylogs.com inputs10.osdsecuritylogs.com
inputs5.osdsecuritylogs.com inputs5.osdsecuritylogs.com inputs6.osdsecuritylogs.com inputs10.osdsecuritylogs.cominputs10.osdsecuritylogs.com inputs10.osdsecuritylogs.com inputs10.osdsecuritylogs.osd.osdsecuritylogs.com inputs1.osdsecuritylogs.com
inputs1.osdsecuritylogs.com inputs6.osdsecuritylogs.com inputs1.osdsecuritylogs.com inputs1.osdsecuritylogs.cominputs.
osdsecuritylogs.osd.osdsecuritylogs.com inputs4.osdsecuritylogs.com inputs5.osdsecuritylogs.cominputs5.osdsecuritylogs.com
inputs10.osdsecuritylogs.com inputs10.osdsecuritylogs.com inputs4.osdsecuritylogs.cominputs8.osdsecuritylogs.com
inputs8.osdsecuritylogs.com inputs5.osdsecuritylogs.com inputs5.osdsecuritylogs.com inputs6.osdsecuritylogs.cominputs6.osdsecuritylogs.com inputs6.osdsecuritylogs.com inputs6.osdsecuritylogs.com inputs6.osdsecuritylogs.com
inputs9997
mvapich
-forwarder-operator
使用为一个日志转发端点,供 Red Hat SRE 用于基于日志的警报。http-inputs-osdsecuritylogs.splunkcloud.com
443
必需。mvapich
-forwarder-operator
使用为一个日志转发端点,供 Red Hat SRE 用于基于日志的警报。sftp.access.redhat.com
(Recommended)22
must-gather-operator
使用的 SFTP 服务器上传诊断日志,以帮助排除集群中的问题。将以下 URL 列入允许的可选第三方内容:
域 端口 功能 registry.connect.redhat.com
443
所有第三方镜像和认证操作器都需要。
rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com
443
提供对托管在
registry.connect.redhat.com
上的容器镜像的访问oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com
443
对于 Sonatype Nexus, F5 Big IP operator 是必需的。
- 将提供构建所需语言或框架资源的任何站点列入允许列表。
- 允许允许任何依赖于 OpenShift 中使用的语言和框架的出站 URL。如需防火墙或代理上允许的推荐 URL 列表,请参阅 OpenShift 出站 URL。
2.5.2.2. 使用 HCP 的 ROSA
前提条件
- 您已在 AWS Virtual Private Cloud (VPC)中配置了 Amazon S3 网关端点。需要此端点才能完成从集群到 Amazon S3 服务的请求。
流程
允许列出用于下载和安装软件包和工具的以下 URL:
域 端口 功能 quay.io
443
提供核心容器镜像。
cdn01.quay.io
443
提供核心容器镜像。
cdn02.quay.io
443
提供核心容器镜像。
cdn03.quay.io
443
提供核心容器镜像。
quayio-production-s3.s3.amazonaws.com
443
提供核心容器镜像。
registry.redhat.io
443
提供核心容器镜像。
registry.access.redhat.com
443
必需。托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外,registry 提供了对
odo
CLI 工具的访问,可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。access.redhat.com
443
必需。托管容器客户端在从
registry.access.redhat.com
中拉取镜像时验证镜像所需的签名存储。api.openshift.com
443
必需。用于检查集群的可用更新。
mirror.openshift.com
443
必需。用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源,但 Cluster Version Operator (CVO)只需要一个可正常工作的源。
将以下遥测 URL 列入允许列表:
域 端口 功能 infogw.api.openshift.com
443
遥测是必需的。
console.redhat.com
443
必需。允许集群和 OpenShift Console Manager 之间的交互以启用功能,如调度升级。
sso.redhat.com
443
必需。
https://console.redhat.com/openshift
站点使用来自sso.redhat.com
的身份验证下载 pull secret,并使用 Red Hat SaaS 解决方案来简化订阅、集群清单、计费报告等的监控。受管集群需要启用遥测功能,以便红帽可以更快地对问题做出反应,更好地支持客户,并更好地了解产品升级对集群的影响。有关红帽如何使用远程健康监控数据的更多信息,请参阅附加资源部分 关于远程健康监控 的信息。
允许以下 Amazon Web Services (AWS) API URls:
域 端口 功能 sts.<aws_region>.amazonaws.com
[1]443
必需。用于访问 AWS Secure Token Service (STS)区域端点。确保将 <
;aws-region
> 替换为集群部署到的区域。sts.amazonaws.com
[2]443
请参阅 footnote。用于访问 AWS Secure Token Service (STS)全局端点。
- 这也可以通过将 AWS Virtual Private Cloud (VPC)中的私有接口端点配置为区域 AWS STS 端点来实现。
- 只有在 4.14.18 或 4.15.4 之前运行 OpenShift 版本时,才需要 AWS STS 全局端点。ROSA HCP 版本 4.14.18+、4.15.4+ 和 4.16.0+ 使用 AWS STS 区域端点。
将以下 URL 列入允许的可选第三方内容:
域 端口 功能 registry.connect.redhat.com
443
可选。所有第三方镜像和认证操作器都需要。
rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com
443
可选。提供对托管在
registry.connect.redhat.com
上的容器镜像的访问。oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com
443
可选。对于 Sonatype Nexus, F5 Big IP operator 是必需的。
- 将提供构建所需语言或框架资源的任何站点列入允许列表。
- 允许允许任何依赖于 OpenShift 中使用的语言和框架的出站 URL。如需防火墙或代理上允许的推荐 URL 列表,请参阅 OpenShift 出站 URL。
其他资源