IBM Storage Fusion HCI 系统的防火墙要求
IBM Storage Fusion HCI 系统要求对外部站点进行出站访问,以访问映像注册表并向 IBM 和 Red Hat® 发送遥测数据。这种出站访问可选择通过代理服务器路由。 配置数据中心的防火墙规则或代理访问控制列表 (ACL),以满足 IBM Storage Fusion HCI 系统的要求。
对外访问 Red Hat OpenShift 和 IBM Storage Fusion HCI 系统镜像注册表
下面列出了 Red Hat OpenShift® 和 IBM Storage Fusion HCI 系统映像注册表的出站访问。
| URL | 端口 | 函数 |
|---|---|---|
icr.io |
443 | IBM Entitled Registry and IBM Cloud Paks 基础服务目录源 |
cp.icr.io |
443 | IBM Entitled Registry and IBM Cloud Paks 基础服务目录源 |
gcr.io |
443 | 来自 Google Cloud的 Container Registry 的映像 |
registry.redhat.io |
443 | 提供核心容器映像 |
*.quay.io注: 如果不允许使用通配符,请添加
cdn01.quay.io cdn02.quay.io cdn03.quay.io |
443 | 提供核心容器映像 |
*.openshiftapps.com注意: 如果防火墙不接受通配符,请使用完整的 URL。
|
443 | 提供 Red Hat Enterprise Linux CoreOS (RHCOS) 映像 |
cert-api.access.redhat.com |
443 | 对于遥测是必需的 |
access.redhat.com |
443 | 对于遥测是必需的 |
api.access.redhat.com |
443 | 对于遥测是必需的 |
infogw.api.openshift.com |
443 | 对于遥测是必需的 |
console.redhat.com/api/ingress |
443 | 对于 Telemetry 和 insights-operator 是必需的 |
cloud.redhat.com/api/ingress |
443 | 对于 Telemetry 和 insights-operator 是必需的 |
mirror.openshift.com |
443 | 这是访问镜像安装内容和映像所必需的。 此站点也是发行版映像签名的源,尽管集群版本操作程序仅需要一个正常运行的源。 |
storage.googleapis.com/openshift-release |
443 | 发行版映像签名的源,尽管集群版本操作程序仅需要单个正常运行的源。 |
.apps.<cluster_name>.<base_domain> |
443 | 除非在安装期间设置了入口通配符,否则需要访问缺省集群路由。 |
quayio-production-s3.s3.amazonaws.com |
443 | 需要在 AWS中访问 Quay 图像内容。 |
api.openshift.com |
443 | 既需要集群令牌,也需要检查更新是否可用于集群。 |
art-rhcos-ci.s3.amazonaws.com |
443 | 需要下载 Red Hat Enterprise Linux CoreOS (RHCOS) 映像。 |
console.redhat.com/openshift |
443 | 对于集群令牌是必需的。 |
cloud.redhat.com/openshift |
443 | 对于集群令牌是必需的。 |
registry.access.redhat.com |
443 | 对于 odo CLI 是必需的。 |
sso.redhat.com |
443 | https://console.redhat.com/openshift 站点使用来自 sso.redhat.com 的认证 |
注: 您可以在允许列表中使用通配符
第 4 行到最后的条目来自 Red Hat OpenShift 文档。 有关 Red Hat OpenShift 的实际列表,请参阅 https://docs.openshift.com/container-platform/4.15/installing/install_config/configuring-firewall*.quay.io 和 *.openshiftapps.com ,而不是 cdn0[1-3].quay.io 和 rhcos-redirector.apps.art.xq1c.p1.openshiftapps.com 。注意: 如果使用私有镜像注册表镜像 Red Hat OpenShift 和 IBM Storage Fusion HCI 系统镜像,请设置注册表的主机和端口 (
<your registry host><your registry port> )。要点: 联机后,请勿除去防火墙设置或在联机和脱机之间切换; 否则,集群可能会关闭。 联机和脱机都需要与存储库的不间断连接。
- 高速同步 DR
回拔
- 为 IBM 回拨配置数据中心的防火墙规则。 有关回拨设置的更多信息,请参阅 自动服务和支持请求的回拨服务器 IP 地址。
- 请确保检查 IP 地址是否有任何更改,有关 IP 地址的更多信息,请参阅 IP 地址。
- 要配置回拨防火墙,请输入以下服务器详细信息:DNS 名称为 http://www.secure.ecurep.ibm.com
表 1。 secure.esupport.ibm.com DNS 名称 IP 地址 端口 协议 其他详细信息 192.109.81.21 443 https 上载与状态和问题报告关联的批量数据。
配置数据中心的防火墙规则或代理访问控制表 (ACL) ,以允许手动和自动的 "服务和支持" 请求功能与服务器进行通信。 有关回拨 URL 的更多信息,请参阅 自动服务和支持请求的回拨服务器 IP 地址。
高速-DR
下表列出了用于 Metro sync DR 的 IBM Storage Fusion HCI 系统群集的出站访问:
| IP 地址 | TCP 或 UDP 或 IP 协议 | 其他详细信息 |
|---|---|---|
| <TieBreaker IP 地址 | TCP: 1191 和 12345 | IBM Storage Fusion HCI 存储与分隔存储对话所需的设备 |
| <Other site storage network> | TCP: 1191 和 12345 | 对于跨站点的延伸集群部署是必需的。 |
| <Other site Red Hat OpenShift network> | UDP: 4500 | 对于 IPsec 封装流量是必需的。 |
| <Other site Red Hat OpenShift network> | ESP IP 协议: 50 | 需要提供安全功能部件。 |
下表列出了来自高速同步 DR 的仲裁 VM 的出站访问:
有关更多信息防火墙详细信息,请参阅 常规 Metro-DR 先决条件。
| IP 地址 | TCP | 其他详细信息 |
|---|---|---|
| <两个站点的 IBM IBM Storage Fusion 存储网络 | TCP: 1191 和 12345 | 需要使用平分器存储与 IBM Storage Fusion HCI 系统存储对话。 |
- 规模 (GDP) 临时端口
临时端口范围自动设置为 60000-61000。 必须根据定义的临时端口范围打开防火墙端口。 如果 mmlsmgr 和 mmcrfs 之类的命令挂起,那么表明未正确配置临时端口范围。范围 协议 服务名称 通信中涉及的组件 用户选择的范围 TCP GPFS 临时端口范围 集群内