Requisiti del firewall per IBM Fusion HCI
IBM Fusion HCI richiede l'accesso in uscita a siti esterni per accedere ai registri delle immagini e inviare i dati di telemetria a IBM e al sito web di Fusion Red Hat®. Questo accesso in uscita può essere facoltativamente instradato attraverso un server proxy. Configurare le regole del firewall del data center o l'elenco di controllo degli accessi proxy (ACL) per soddisfare i requisiti di IBM Fusion HCI.
Accesso in entrata per OpenShift cluster
Di seguito sono elencati gli accessi in entrata per il OpenShift® cluster.
| URL | Porta | Funzione |
|---|---|---|
| Server API e applicazioni | TCP : 443 e 6443 | Richiesto per la comunicazione con OpenShift Server API e applicazioni URL |
Accesso in uscita per i registri di immagini Red Hat OpenShift e IBM Fusion HCI
Di seguito è elencato l'accesso in uscita per i registri di immagini Red Hat OpenShift e IBM Fusion HCI.
| URL | Porta | Funzione |
|---|---|---|
icr.io |
443 | Origine del catalogo dei servizi di base IBM Entitled Registry e IBM Cloud Paks |
cp.icr.io |
443 | Origine del catalogo dei servizi di base IBM Entitled Registry e IBM Cloud Paks |
gcr.io |
443 | Immagini dal Container Registry di Google Cloud |
registry.redhat.io |
443 | Fornisce le immagini del contenitore principale |
*.quay.ioNota: se il carattere jolly non è consentito, aggiungere
cdn01.quay.io cdn02.quay.io cdn03.quay.io |
443 | Fornisce le immagini del contenitore principale |
*.openshiftapps.comNota: se il firewall non accetta i caratteri jolly, utilizzare l' URL completo.
|
443 | Fornisce immagini Red Hat Enterprise Linux CoreOS (RHCOS) |
cert-api.access.redhat.com |
443 | Richiesto per la telemetria |
access.redhat.com |
443 | Richiesto per la telemetria |
api.access.redhat.com |
443 | Richiesto per la telemetria |
infogw.api.openshift.com |
443 | Richiesto per la telemetria |
console.redhat.com/api/ingress |
443 | Richiesto per Telemetria e per insights-operator |
cloud.redhat.com/api/ingress |
443 | Richiesto per Telemetria e per insights-operator |
mirror.openshift.com |
443 | Richiesto per accedere al contenuto e alle immagini di installazione con mirroring. Questo sito è anche un'origine delle firme delle immagini di rilascio, anche se l'operatore della versione cluster ha bisogno solo di una singola origine funzionante. |
storage.googleapis.com/openshift-release |
443 | Un'origine delle firme dell'immagine di release, sebbene l'operatore della versione cluster abbia bisogno solo di una singola origine funzionante. |
.apps.<cluster_name>.<base_domain> |
443 | Richiesto per accedere agli instradamenti cluster predefiniti a meno che non si imposti un carattere jolly Ingress durante l'installazione. |
quayio-production-s3.s3.amazonaws.com |
443 | Richiesto per accedere al contenuto dell'immagine Quay in AWS. |
api.openshift.com |
443 | Richiesto sia per il token del cluster che per verificare se sono disponibili aggiornamenti per il cluster. |
art-rhcos-ci.s3.amazonaws.com |
443 | Richiesto per scaricare le immagini Red Hat Enterprise Linux CoreOS (RHCOS). |
console.redhat.com/openshift |
443 | Obbligatorio per il tuo token del cluster. |
cloud.redhat.com/openshift |
443 | Obbligatorio per il tuo token del cluster. |
registry.access.redhat.com |
443 | Obbligatorio per la CLI odo . |
sso.redhat.com |
443 | Il sito https://console.redhat.com/openshift utilizza l'autenticazione da sso.redhat.com |
Nota: puoi utilizzare il carattere jolly
Le voci dalla riga 4 alla fine provengono dalla documentazione Red Hat OpenShift . Per l'elenco attuale da Red Hat OpenShift, vedere https://docs.redhat.com/en/documentation/openshift_container_platform/4.18/html/installation_configuration/configuring-firewall.*.quay.io e *.openshiftapps.com invece di cdn0[1-3].quay.io e rhcos-redirector.apps.art.xq1c.p1.openshiftapps.com nel tuo allowlist.Nota: se si utilizza un registro di immagini privato per eseguire il mirroring delle immagini Red Hat OpenShift e IBM Fusion HCI, impostare l'host e la porta del registro (
<your registry host><your registry port> ).Importante: dopo essere andati online, non rimuovere le impostazioni del firewall o passare da online a offline; altrimenti, il cluster potrebbe essere inattivo. È necessaria una connessione ininterrotta al repository sia online che offline.
Nodo di assistenza e supporto remoto
Per il nodo di servizio, assicurarsi che la porta 22 del firewall sia allocata per l'accesso SSH.
Il supporto remoto funziona perfettamente con la maggior parte dei firewall. Di solito, le connessioni di assistenza remota sono possibili senza alcuna riconfigurazione del firewall. Richiede l'accesso alle porte in uscita a entrambe le estremità di una connessione, quindi normalmente non è necessario aprire buchi nei firewall. Il supporto remoto supporta anche la configurazione di un proxy per la comunicazione.
Call Home
Configurare le regole firewall del data center o l'ACL (access control list) del proxy per consentire la funzione di richiesta di servizio e supporto manuale e automatizzata per comunicare con i server. Per configurare il firewall, considerare i seguenti punti per la pianificazione e i prerequisiti:
- L'IP di origine per le connessioni in uscita di Call Home è il nodo di controllo OpenShift nodo di controllo.
- Il nome host, l'IP e i dettagli della porta dei server Call Home:
Tabella 1. Indirizzi IP dei server di casa IBM Nome host Indirizzo IP Porti Protocollo esupport.ibm.com 192.148.6.11 443 https ecurep.ibm.com 192.109.81.21 443 https Importante: Sebbene la tabella fornisca indicazioni sugli indirizzi IP, verificare le pagine seguenti per avere informazioni aggiornate: Indirizzi IP e https://www.ibm.com/support/pages/node/6853429.
Metro-DR
La tabella seguente elenca gli accessi in uscita da un cluster HCI IBM Fusion per Metro sync DR:
La seguente porta UDP deve essere consentita solo quando c'è un dispositivo NAT tra i due siti.
| Indirizzo IP | Protocollo TCP o UDP o IP | Dettagli aggiuntivi |
|---|---|---|
| <TieBreaker > | TCP: 1191 e 12345 | Richiesto per lo storage IBM Fusion HCI per parlare con lo storage tiebreaker |
| < altra rete di storage del sito> | TCP: 1191 e 12345 | Richiesto per la distribuzione del cluster esteso tra i siti. |
| < Altro sito Red Hat OpenShift network> | UDP : 4500 | Richiesto per il traffico di incapsulamento IPsec. |
| < Altro sito Red Hat OpenShift network> | Protocollo IP ESP: 50 | Richiesto per il tunnel IPsec. |
| <API e IP delle applicazioni dell'altro sito> | TCP : 443 e 6443 | Necessario per OpenShift e lo stack software di gestione IBM Fusion siano sincronizzati. |
| < altra rete di storage del sito> | ICMP (ICMP ECHO (ping)) | Richiesto per la distribuzione del cluster esteso tra i siti. |
| Indirizzo IP | Protocollo TCP o UDP o IP | Dettagli aggiuntivi |
|---|---|---|
| <Altri nodi master del sito> | UDP : 4490 | Richiesto per il rilevamento dell'attraversamento NAT. |
La seguente tabella elenca l'accesso in uscita da tiebreaker VM per Metro Sync DR:
Per ulteriori informazioni sui dettagli del firewall, vedere Prerequisiti generali di Metro-DR.
| Indirizzo IP | TCP | Dettagli aggiuntivi |
|---|---|---|
| < Rete di storage IBM Fusion di entrambi i siti | TCP: 1191 e 12345 | Necessario per far parlare lo storage tiebreaker con lo storage HCI di IBM Fusion. |
- Scala (PIL) porti effimeri
L'intervallo delle porte effimere viene impostato automaticamente su 60000-61000. Le porte del firewall devono essere aperte in base all'intervallo di porte effimere definito. Se comandi come mmlsmgr e mmcrfs si bloccano, significa che l'intervallo di porte effimere non è configurato correttamente.Intervallo Protocollo Nome servizio Componenti coinvolti nella comunicazione 60000 - 61000 TCP Intervallo porte effimere GPFS Intra-cluster