1.6. AWS ファイアウォールの前提条件
PrivateLink で展開された ROSA クラスターのみが、ファイアウォールを使用して出力トラフィックを制御できます。
このセクションでは、Red Hat OpenShift Service on AWS クラスターからの出力トラフィックを制御できるようにするために必要な詳細を提供します。ファイアウォールを使用して出力トラフィックを制御している場合は、以下のドメインとポートの組み合わせへのアクセスを許可するようにファイアウォールを設定する必要があります。Red Hat OpenShift Service on AWS は、フルマネージド Open Shift サービスを提供するためにこのアクセスを必要とします。
手順
パッケージとツールのインストールおよびダウンロードに使用される以下の URL を許可リストに指定します。
ドメイン ポート 機能 registry.redhat.io443
コアコンテナーイメージを指定します。
quay.io443
コアコンテナーイメージを指定します。
*.quay.io443
コアコンテナーイメージを指定します。
sso.redhat.com443、80
必須。
https://console.redhat.com/openshiftサイトでは、sso.redhat.comからの認証を使用してプルシークレットをダウンロードし、Red Hat SaaS ソリューションを使用してサブスクリプション、クラスターインベントリー、チャージバックレポートなどのモニタリングを行います。quay-registry.s3.amazonaws.com443
コアコンテナーイメージを指定します。
ocm-quay-production-s3.s3.amazonaws.com443
コアコンテナーイメージを指定します。
quayio-production-s3.s3.amazonaws.com443
コアコンテナーイメージを指定します。
cart-rhcos-ci.s3.amazonaws.com443
Red Hat Enterprise Linux CoreOS (RHCOS) イメージを提供します。
openshift.org443
Red Hat Enterprise Linux CoreOS (RHCOS) イメージを提供します。
registry.access.redhat.com443
Red Hat Ecosytem Catalog に保存されているすべてのコンテナーイメージをホストします。さらに、レジストリーは、開発者が OpenShift および Kubernetes でビルドするのに役立つ
odoCLI ツールへのアクセスを提供します。registry.connect.redhat.com443、80
すべてのサードパーティーのイメージと認定 Operator に必要です。
console.redhat.com443、80
必須。クラスターと OpenShift Console Manager との間の対話が、スケジューリングアップグレードなどの機能を有効にすることを許可します。
sso.redhat.com443
https://console.redhat.com/openshiftサイトは、sso.redhat.comからの認証を使用します。pull.q1w2.quay.rhcloud.com443
quay.io が利用できない場合のフォールバックとして、コアコンテナーイメージを提供します。
.q1w2.quay.rhcloud.com443
quay.io が利用できない場合のフォールバックとして、コアコンテナーイメージを提供します。
www.okd.io443
openshift.orgサイトはwww.okd.ioにリダイレクトされます。www.redhat.com443、80
sso.redhat.comサイトはwww.redhat.comにリダイレクトされます。aws.amazon.com443
iam.amazonaws.comおよびsts.amazonaws.comサイトはaws.amazon.comにリダイレクトされます。catalog.redhat.com443
registry.access.redhat.comおよびhttps://registry.redhat.ioサイトはcatalog.redhat.comにリダイレクトされます。-
ファイアウォール環境では、
access.redhat.comリソースが許可リストにあることを確認します。このリソースは、コンテナークライアントがregistry.access.redhat.comからイメージをプルする際にイメージを検証するために必要な署名ストアをホストします。
quay.ioなどのサイトを許可リストに追加する場合は、*.quay.ioなどのワイルドカードエントリーを拒否リストに加えないでください。ほとんどの場合、イメージレジストリーはコンテンツ配信ネットワーク (CDN) を使用してイメージを提供します。ファイアウォールがアクセスをブロックすると、初回のダウンロード要求がcdn01.quay.ioなどのホスト名にリダイレクトされると、イメージのダウンロードが拒否されます。cdn01.quay.ioなどの CDN ホスト名は、許可リストに.quay.ioなどのワイルドカードエントリーを追加する場合に説明されます。-
ファイアウォール環境では、
次のテレメトリー URL を許可リストします。
ドメイン ポート 機能 cert-api.access.redhat.com443
テレメトリーで必要です。
api.access.redhat.com443
テレメトリーで必要です。
infogw.api.openshift.com443
テレメトリーで必要です。
console.redhat.com443
テレメトリーと Red Hat Insights で必要です。
cloud.redhat.com/api/ingress443
テレメトリーと Red Hat Insights で必要です。
observatorium-mst.api.openshift.com443
Managed OpenShift 固有のテレメトリーに使用されます。
observatorium.api.openshift.com443
Managed OpenShift 固有のテレメトリーに使用されます。
マネージドクラスターでは、テレメトリーを有効にして、Red Hat が問題に迅速に対応し、顧客をより適切にサポートし、製品のアップグレードがクラスターに与える影響をよりよく理解できるようにする必要があります。Red Hat によるリモートヘルスモニタリングデータの使用方法の詳細は、リモートヘルスモニタリングについて を参照してください。
次の Amazon Web Services (AWS) API URl を許可リストします。
ドメイン ポート 機能 .amazonaws.com443
AWS サービスおよびリソースへのアクセスに必要です。
または、Amazon Web Services (AWS) API にワイルドカードを使用しない場合は、次の URL を許可リストに追加する必要があります。
ドメイン ポート 機能 ec2.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
events.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
iam.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
route53.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
sts.amazonaws.com443
AWS STS のグローバルエンドポイントを使用するように設定されたクラスターの場合は、AWS 環境にクラスターをインストールおよび管理するために使用されます。
sts.<aws_region>.amazonaws.com443
AWS STS の地域化されたエンドポイントを使用するように設定されたクラスターの場合は、AWS 環境にクラスターをインストールおよび管理するために使用されます。詳細は、AWS STS の地域化されたエンドポイント を参照してください。
tagging.us-east-1.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。このエンドポイントは、クラスターが展開されているリージョンに関係なく、常に us-east-1 です。
ec2.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
elasticloadbalancing.<aws_region>.amazonaws.com443
AWS 環境でのクラスターのインストールや管理に使用されます。
servicequotas.<aws_region>.amazonaws.com443、80
必須。サービスをデプロイするためのクォータを確認するのに使用されます。
tagging.<aws_region>.amazonaws.com443、80
タグの形式で AWS リソースに関するメタデータを割り当てることができます。
以下の OpenShift URL を許可リストします。
ドメイン ポート 機能 mirror.openshift.com443
ミラーリングされたインストールのコンテンツおよびイメージへのアクセスに使用されます。Cluster Version Operator (CVO) には単一の機能ソースのみが必要ですが、このサイトはリリースイメージ署名のソースでもあります。
storage.googleapis.com/openshift-release(推奨)443
mirror.openshift.com/ の代替サイト。quay.io からプルするイメージを把握するのにクラスターが使用するプラットフォームリリース署名をダウンロードするのに使用されます。
api.openshift.com443
クラスターに更新が利用可能かどうかを確認するのに使用されます。
次のサイトリライアビリティーエンジニアリング (SRE) および管理 URL を許可リストします。
ドメイン ポート 機能 api.pagerduty.com443
このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知についてのアラートが送信されます。
events.pagerduty.com443
このアラートサービスは、クラスター内の alertmanager が使用します。これにより、Red Hat SRE に対してイベントの SRE 通知についてのアラートが送信されます。
api.deadmanssnitch.com443
Red Hat OpenShift Service on AWS がクラスターが使用可能で実行中であるかどうかを示す定期的な ping を送信するために使用するアラートサービス。
nosnch.in443
Red Hat OpenShift Service on AWS がクラスターが使用可能で実行中であるかどうかを示す定期的な ping を送信するために使用するアラートサービス。
*.osdsecuritylogs.splunkcloud.comまたはinputs1.osdsecuritylogs.splunkcloud.cominputs2.osdsecuritylogs.splunkcloud.cominputs4.osdsecuritylogs.splunkcloud.cominputs5.osdsecuritylogs.splunkcloud.cominputs6.osdsecuritylogs.splunkcloud.cominputs7.osdsecuritylogs.splunkcloud.cominputs8.osdsecuritylogs.splunkcloud.cominputs9.osdsecuritylogs.splunkcloud.cominputs10.osdsecuritylogs.splunkcloud.cominputs11.osdsecuritylogs.splunkcloud.cominputs12.osdsecuritylogs.splunkcloud.cominputs13.osdsecuritylogs.splunkcloud.cominputs14.osdsecuritylogs.splunkcloud.cominputs15.osdsecuritylogs.splunkcloud.com9997
splunk-forwarder-operatorによって使用され、ログベースのアラートについて Red Hat SRE が使用するロギング転送エンドポイントとして使用されます。http-inputs-osdsecuritylogs.splunkcloud.com443
必須。
splunk-forwarder-operatorによって使用され、ログベースのアラートについて Red Hat SRE が使用するロギング転送エンドポイントとして使用されます。sftp.access.redhat.com(推奨)22
must-gather-operatorが、クラスターに関する問題のトラブルシューティングに役立つ診断ログをアップロードするのに使用される SFTP サーバー。Amazon Web Services (AWS) API のワイルドカードを許可しなかった場合は、内部 OpenShift レジストリーに使用される S3 バケットも許可する必要があります。そのエンドポイントを取得するには、クラスターが正常にプロビジョニングされた後に次のコマンドを実行します。
$ oc -n openshift-image-registry get pod -l docker-registry=default -o json | jq '.items[].spec.containers[].env[] | select(.name=="REGISTRY_STORAGE_S3_BUCKET")'
S3 エンドポイントは '<cluster-name>-<random-string>-image-registry-<cluster-region>-<random-string>.s3.dualstack.<cluster-region>.amazonaws.com' の形式である必要があります。
- ビルドに必要な言語またはフレームワークのリソースを提供するサイトを許可リストに指定します。
- OpenShift で使用される言語およびフレームワークに依存するアウトバウンド URL を許可リストに指定します。ファイアウォールまたはプロキシーで許可できる推奨 URL の一覧は、OpenShift Outbound URLs to Allow を参照してください。