Translated message

A translation of this page exists in English.

コンテナーイメージのプルに関するファイアウォールの変更 (2024/2025 年)

更新 -

Red Hat コンテナーイメージレジストリーが変更されています。つまり、Red Hat レジストリーからイメージをプルする可能性がある docker/podman ユーザーは、場合によっては、ファイアウォール設定を調整する必要があります。この調整は 2025 年 4 月 1 日 までに必ず行ってください。

変更対象

Quay.io は、サイト信頼性と全体的な可用性を高めるために、3 つのエンドポイントを追加します。その結果、ファイアウォールシステム内に許可/ブロックリストを実装しているお客様は、これらの 3 つの追加エンドポイントを含めるようにリストを調整する必要があります。

  • cdn04.quay.io
  • cdn05.quay.io
  • cdn06.quay.io

コンテナーイメージをプルする際の問題を回避するには、これらのホスト名へのアウトバウンド TCP 接続 (ポート 80 および 443) を許可する必要があります。

  • cdn.quay.io
  • cdn01.quay.io
  • cdn02.quay.io
  • cdn03.quay.io
  • cdn04.quay.io
  • cdn05.quay.io
  • cdn06.quay.io

この変更は、特に registry.redhat.io または registry.access.redhat.com へのアウトバウンド接続を許可するファイアウォール設定に対して行う必要があります。この変更を適用した後も、これまでと同様に registry.redhat.io および registry.access.redhat.com からイメージをプルできます。引き続き Red Hat コンテナーイメージをプルするために、Quay.io ログインや Quay.io レジストリーとの直接対話は必要ありません。

この変更は、Red Hat レジストリーからイメージをプルする可能性のあるすべての製品に必要です。これまでに OpenShift インストール手順 を実行したことがある場合、または Quay.io レジストリーを使用する必要があった場合、これらのホストへのアウトバウンド接続は、ファイアウォール設定ですでに許可されている場合があります。Red Hat Ansible Automation Platform (AAP) や Red Hat Satellite など、Red Hat レジストリーからコンテナーイメージを同期またはダウンロードする他の製品では、上記のホストへのアウトバウンドアクセスを許可するために、関連するファイアウォールまたはプロキシーへの変更が必要になる場合があります。

ファイアウォールルールを設定する際は、IP アドレスの代わりにホスト名を使用することが推奨されます。詳細は、こちら のアーティクル記事を参照してください。

トラブルシューティングの詳細

Red Hat レジストリー、registry.redhat.io および registry.access.redhat.com は、HTTP 302 リダイレクト応答でヘッダーを返します。これにより、Quay.io CDN 内の特定のコンテンツのみへのアクセスが短期間許可されます。このメカニズムにより、イメージコンテンツを Quay.io CDN ホストから直接プルすることはできません。代わりに、コンテナーレジストリーを使用してプルする必要があります。Red Hat レジストリーは、Red Hat コンテナーイメージへのアクセスのみを提供します。

上記のホスト名へのアウトバウンド接続を許可すると、使用しているファイアウォールの特性に応じて、以下の問題が解決される可能性があります。

  • イメージをプルすると、接続が拒否される
  • イメージをプルする際に I/O タイムアウトが発生する
  • OpenShift または Kubernetes クラスター内でイメージをプルする際の ImagePullBackOff ステータス

以下は、さまざまなファイアウォール設定での "podman pull" で表示される可能性があるエラーの例です。

Raw
Trying to pull [...]...
WARN[0033] Failed, retrying in 1s ... (1/3). Error: copying system image from manifest list: parsing image configuration: Get "https://cdn05.quay.io/sha256/[...]": dial tcp [...]: connect: connection refused
WARN[0065] Failed, retrying in 1s ... (2/3). Error: copying system image from manifest list: parsing image configuration: Get "https://cdn05.quay.io/sha256/[...]": dial tcp [...]: connect: connection refused
WARN[0099] Failed, retrying in 1s ... (3/3). Error: copying system image from manifest list: parsing image configuration: Get "https://cdn05.quay.io/sha256/[...]": dial tcp [...]: connect: connection refused
Error: copying system image from manifest list: parsing image configuration: Get "https://cdn05.quay.io/sha256/[...]": dial tcp [...]: connect: connection refused

サポートが必要な場合

Red Hat アカウントチームまたは Red Hat パートナーのサポートを受けることができます。あるいは、Red Hat サポートチーム (https://access.redhat.com/support/) までお問い合わせください。

Comments