1.6. AWS 防火墙先决条件

流程

1. 允许列出用于安装和下载软件包和工具的以下 URL：

   域	端口	功能
   registry.redhat.io	443	提供核心容器镜像。
   quay.io	443	提供核心容器镜像。
   *.quay.io	443	提供核心容器镜像。
   sso.redhat.com	443, 80	必需。https://console.redhat.com/openshift 站点使用 sso.redhat.com 中的身份验证下载 pull secret，并使用 Red Hat SaaS 解决方案来简化订阅、集群清单、销售报告等的监控。
   quay-registry.s3.amazonaws.com	443	提供核心容器镜像。
   ocm-quay-production-s3.s3.amazonaws.com	443	提供核心容器镜像。
   quayio-production-s3.s3.amazonaws.com	443	提供核心容器镜像。
   cart-rhcos-ci.s3.amazonaws.com	443	提供 Red Hat Enterprise Linux CoreOS (RHCOS)镜像。
   openshift.org	443	提供 Red Hat Enterprise Linux CoreOS (RHCOS)镜像。
   registry.access.redhat.com [1]	443	托管存储在 Red Hat Ecosytem Catalog 中的所有容器镜像。另外，registry 提供了对 odo CLI 工具的访问，可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。
   registry.connect.redhat.com	443, 80	所有第三方镜像和认证 Operator 都需要。
   console.redhat.com	443, 80	必需。允许集群和 OpenShift Console Manager 之间的交互以启用功能，如调度升级。
   sso.redhat.com	443	https://console.redhat.com/openshift 站点使用来自 sso.redhat.com的身份验证
   pull.q1w2.quay.rhcloud.com	443	当 quay.io 不可用时，提供核心容器镜像作为回退。
   .q1w2.quay.rhcloud.com	443	当 quay.io 不可用时，提供核心容器镜像作为回退。
   www.okd.io	443	openshift.org 站点通过 www.okd.io 重定向。
   www.redhat.com	443, 80	sso.redhat.com 站点通过 www.redhat.com 重定向。
   aws.amazon.com	443	iam.amazonaws.com 和 sts.amazonaws.com 站点通过 aws.amazon.com 重定向。
   catalog.redhat.com	443	registry.access.redhat.com 和 https://registry.redhat.io 站点通过 catalog.redhat.com 重定向。

   1. 在防火墙环境中，确保 access.redhat.com 资源位于允许列表中。此资源托管容器客户端在从 registry.access.redhat.com 中拉取镜像时验证镜像所需的签名存储。

   当您将 quay.io 等网站添加到 allowlist 中时，不要在您的 denylist 中添加通配符条目，如 *.quay.io。在大多数情况下，镜像 registry 使用内容交付网络（CDN）来提供镜像。如果防火墙阻止访问，那么当初始下载请求重定向到一个主机名（如 cdn01.quay.io ）时，则不能下载镜像。

   当您在允许列表中添加通配符条目（如 .quay.io ）时，将涵盖 CDN 主机名，如 cdn01.quay.io。

2. 将以下遥测 URL 列入允许列表：

   域	端口	功能
   cert-api.access.redhat.com	443	遥测是必需的。
   api.access.redhat.com	443	遥测是必需的。
   infogw.api.openshift.com	443	遥测是必需的。
   console.redhat.com	443	遥测(telemetry)和 Red Hat Insights 需要。
   cloud.redhat.com/api/ingress	443	遥测(telemetry)和 Red Hat Insights 需要。
   observatorium-mst.api.openshift.com	443	受管 OpenShift 遥测需要。
   observatorium.api.openshift.com	443	受管 OpenShift 遥测需要。

   受管集群需要让红帽能够更快速地对问题做出反应，更好地支持客户，并更好地了解产品升级对集群的影响。如需有关如何为红帽使用远程健康监控数据的更多信息，请参阅关于远程健康监控。

3. 允许以下 Amazon Web Services (AWS) API URls：

   域	端口	功能
   .amazonaws.com	443	需要此项以访问 AWS 服务和资源。

   或者，如果您选择不为 Amazon Web Services (AWS) API 使用通配符，则必须允许列出以下 URL：

   域	端口	功能
   ec2.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   events.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   iam.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   route53.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   sts.amazonaws.com	443	用于在 AWS 环境中安装和管理集群，用于配置为使用 AWS STS 的全局端点。
   sts.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群，用于配置为使用 AWS STS 的区域端点的集群。如需更多信息，请参阅 AWS STS 区域端点。
   tagging.us-east-1.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。此端点始终为 us-east-1，无论集群要部署到的区域。
   ec2.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   elasticloadbalancing.<aws_region>.amazonaws.com	443	用于在 AWS 环境中安装和管理集群。
   servicequotas.<aws_region>.amazonaws.com	443, 80	必需。用于确认用于部署该服务的配额。
   tagging.<aws_region>.amazonaws.com	443, 80	允许以标签的形式分配 AWS 资源的元数据。

4. 将以下 OpenShift URL 列入允许列表：

   域	端口	功能
   mirror.openshift.com	443	用于访问镜像安装内容和镜像。此站点也是发行版本镜像签名的来源，但 Cluster Version Operator (CVO)只需要一个可正常工作的源。
   storage.googleapis.com/openshift-release (推荐)	443	mirror.openshift.com/ 的替代站点。用于下载集群用来从 quay.io 中拉取哪些镜像的平台发行版本签名。
   api.openshift.com	443	用于检查集群是否有可用的更新。

5. 将以下站点可靠性工程(SRE)和管理 URL 列入允许：

   域	端口	功能
   api.pagerduty.com	443	集群内 alertmanager 使用此警报发送警报，通知 Red Hat SRE 要对其执行操作的事件通知。
   events.pagerduty.com	443	集群内 alertmanager 使用此警报发送警报，通知 Red Hat SRE 要对其执行操作的事件通知。
   api.deadmanssnitch.com	443	Red Hat OpenShift Service on AWS 用来发送定期 ping 的警报服务，以指示集群是否可用并在运行。
   nosnch.in	443	Red Hat OpenShift Service on AWS 用来发送定期 ping 的警报服务，以指示集群是否可用并在运行。
   *.osdsecuritylogs.splunkcloud.com OR inputs1.osdsecuritylogs.splunkcloud.cominputs2.osdsecuritylogs.splunkcloud.cominputs4.osdsecuritylogs.splunkcloud.cominputs5.osdsecuritylogs.splunkcloud.cominputs6.osdsecuritylogs.splunkcloud.cominputs7.osdsecuritylogs.splunkcloud.cominputs8.osdsecuritylogs.splunkcloud.cominputs9.osdsecuritylogs.splunkcloud.cominputs10.osdsecuritylogs.splunkcloud.cominputs11.osdsecuritylogs.splunkcloud.cominputs12.osdsecuritylogs.splunkcloud.cominputs13.osdsecuritylogs.splunkcloud.cominputs14.osdsecuritylogs.splunkcloud.cominputs15.osdsecuritylogs.splunkcloud.com	9997	splunk-forwarder-operator 使用为一个日志转发端点，供 Red Hat SRE 用于基于日志的警报。
   http-inputs-osdsecuritylogs.splunkcloud.com	443	必需。splunk-forwarder-operator 使用为一个日志转发端点，供 Red Hat SRE 用于基于日志的警报。
   sftp.access.redhat.com (Recommended)	22	must-gather-operator 使用的 SFTP 服务器上传诊断日志，以帮助排除集群中的问题。

6. 如果您不允许为 Amazon Web Services (AWS) API 通配符，还必须允许用于内部 OpenShift registry 的 S3 存储桶。要检索该端点，在集群成功置备后运行以下命令：

   $ oc -n openshift-image-registry get pod -l docker-registry=default -o json | jq '.items[].spec.containers[].env[] | select(.name=="REGISTRY_STORAGE_S3_BUCKET")'

   S3 端点的格式应为：'<cluster-name>-<random-string>-image-registry-<cluster-region>-<random-string>.s3.dualstack.<cluster-region>.amazonaws.com'。

7. 将提供构建所需语言或框架资源的任何站点列入允许列表。
8. 允许允许任何依赖于 OpenShift 中使用的语言和框架的出站 URL。如需防火墙或代理上允许的推荐 URL 列表，请参阅 OpenShift 出站 URL。