2.4. 配置防火墙

如果使用防火墙，您必须进行配置，以便 OpenShift Container Platform 能访问正常运作所需要的网站。您必须始终授予一些站点的访问权限，如果使用 Red Hat Insights、Telemetry 服务、托管集群的云以及某些构建策略，则还要授予更多站点的访问权限。

在安装 OpenShift Container Platform 之前，您必须配置防火墙，以授予 OpenShift Container Platform 所需站点的访问权限。

流程

将以下 registry URL 列入白名单：

URL	功能
`registry.redhat.io`	提供核心容器镜像
`*.quay.io`	提供核心容器镜像
`sso.redhat.com`	`https://cloud.redhat.com/openshift` 站点使用 `sso.redhat.com` 提供的身份验证

如果不禁用 Telemetry，您必须授予对以下 URL 的访问权限，以便能访问 Red Hat Insights：

URL	功能
`cert-api.access.redhat.com`	Telemetry 所需
`api.access.redhat.com`	Telemetry 所需
`infogw.api.openshift.com`	Telemetry 所需
`https://cloud.redhat.com/api/ingress`	Telemetry 和 `insights-operator` 需要

如果使用 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP) 来托管您的集群，您必须授予对提供该云的云供应商 API 和 DNS 的 URL 的访问权限：

云	URL	功能
AWS	`*.amazonaws.com`	需要此项以访问 AWS 服务和资源。请参阅 AWS 文档中 AWS Service Endpoints，以确定您使用的区域所允许的具体端点。
GCP	`*.googleapis.com`	需要此项以访问 GCP 服务和资源。请参阅 GCP 文档中的 Cloud Endpoints，以确定您的 API 所允许的端点。
GCP	`accounts.google.com`	需要此项以访问您的 GCP 帐户。
Azure	`management.azure.com`	需要此项以访问 Azure 服务和资源。请参阅 Azure 文档中的Azure REST API 参考，以确定您的 API 所允许的端点。

将以下 URL 列入白名单：

URL	功能
`mirror.openshift.com`	需要此项以访问镜像安装内容和镜像
`*.apps.<cluster_name>.<base_domain>`	需要此项以访问默认的集群路由，除非您在安装过程中设置了入口通配符
`quay-registry.s3.amazonaws.com`	需要此项以访问 AWS 中的 Quay 镜像内容
`api.openshift.com`	需要此项以检查集群是否有可用的更新
`art-rhcos-ci.s3.amazonaws.com`	需要此项以下载 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像
`api.openshift.com`	集群令牌所需
`cloud.redhat.com/openshift`	集群令牌所需