联网注意事项
IBM® Maximo® Application Suite 其内部通信(即在 Red Hat OpenShift Container Platform 中运行的Pod之间的连接)使用 Red Hat® OpenShift® Container Platform 提供的网络配置。
但您还需要:- 从集群到外部端点的连接,除非您正在运行气郄式部署。
- 连接到集群,以便 Web 浏览器访问 Maximo Application Suite 控制平面和应用程序,或者连接到 IoT 设备以连接到 Maximo Application Suite。
- 从 Web 浏览器到外部因特网端点的连接
IBM Maximo Application Suite 缺省网络策略
IBM Maximo Application Suite 使用网络隔离来隔离 Red Hat OpenShift 项目( IBM Cloud® Kubernetes Service 命名空间 Maximo Application Suite 的项目(命名空间)进行隔离。 Maximo Application Suite中的网络策略无法自定义,其配置为在整个产品中启用最小权限访问,默认策略为全部拒绝。 将创建特定规则以仅在必要时授予入口和出口。
要列出 Maximo Application Suite 安装中的所有网络策略,请运行以下命令:
oc -n {namespace} get networkpolicies要查看单个网络策略,请运行以下命令:
oc -n {namespace} get networkpolicies {policyname} -o yaml有关更多信息,请参阅 了解网络
Red Hat OpenShift Container Platform 集群与外部端点的连接(“允许列表”)
如果不是在气隙环境中运行部署,则安装及其先决条件需要在运行时访问某些外部端点。 Maximo Application Suite 安装及其先决条件需要在运行时访问某些外部端点。 通常情况下,可通过使用域名从端口443 HTTPS 访问这些终端。 授予对这些端点的访问权的过程称为 允许列表。
- 所列出的域名均存在于 Red Hat OpenShift Container Platform 当前使用的 DNS 中。
- 请确保在 Red Hat OpenShift Container Platform 集群与公共互联网之间设置的任何防火墙,都允许 Red Hat OpenShift Container Platform 节点通过 TCP/IP 协议连接到这些外部网站的 443 端口。
- 这些 IP 地址可能会随时间变化,因此值得检查此处显示的值是否仍然正确。 您可以使用
nslookup或dig命令来检查值。 - 出于可用性原因,单个域名可能映射到多个 IP 地址,因此如果必须在 IP 地址级别进行配置,那么需要确保它们都可访问。
容器注册表
容器注册表用于分发 Maximo Application Suite 及其部分依赖项的代码。 最初安装 Maximo Application Suite时,它将尝试使用购买 Maximo Application Suite时授予的权利密钥从容器注册表中提取代码。 如果稍后需要重新启动 Pod ,那么它可能会再次从外部注册表中提取其代码。 如果您无权访问这些注册表端点,那么您会看到 Pod 无法启动并给出 Image Pull 错误。 如果您迂到这些错误, Pod 的规范将向您显示它尝试从何处提取其图像。
cp.icr.ioquay.ioregistry.redhat.iodocker.iogcr.ioghcr.ionvcr.ioregistry.connect.redhat.comregistry.redhat.iogalaxy.ansible.compkg-containers.githubusercontent.com
- IBM Cloud Container Registry -
cp.icr.ioMaximo Application Suite和 SLS 使用 IBM Cloud Container Registry。 这具有域名
cp.icr.io,然后映射到icr.io,因此您需要确保这两个名称在 DNS 中都可用。以下是dig cp.icr.io的输出。 您可以看到端点具有用于高可用性的 3 IP 地址。 您的防火墙需要允许访问所有三个防火墙。cp.icr.io. 68 IN CNAME icr.io. icr.io. 6 IN A 169.60.98.86 icr.io. 6 IN A 169.62.37.246 icr.io. 6 IN A 169.63.104.236 quay.io注册表。Maximo Application Suite 的某些依赖项以及 Red Hat OpenShift Container Platform 本身都会使用此功能。
它具有以下 IP 地址:quay.io. 17 IN A 50.16.140.223 quay.io. 17 IN A 54.156.10.58 quay.io. 17 IN A 3.216.152.103 quay.io. 17 IN A 3.221.13.191 quay.io. 17 IN A 3.233.133.41 quay.io. 17 IN A 34.224.196.162 quay.io. 17 IN A 35.172.159.14 quay.io. 17 IN A 44.197.21.192与 IBM Cloud Container Registry一样,您应确保防火墙(如果需要 IP 地址)允许访问所有这些地址。
您可能发现还需要允许访问
*.quay.io或特定子域 (例如cdn.quay.io或cdn01.quay.io)registry.redhat.io注册表。该注册表中保存了一些 Red Hat OpenShift Container Platform 的图像和运营商目录条目。
这使用 Akamai 内容分发网络, IP 地址可能因您的地理位置而异。 使用此命令可查找与您相关的地址。dig registry.redhat.io ; <<>> DiG 9.10.6 <<>> registry.redhat.io ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42254 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;registry.redhat.io. IN A ;; ANSWER SECTION: registry.redhat.io. 29 IN CNAME registry.redhat.io.edgekey.net. registry.redhat.io.edgekey.net. 2032 IN CNAME e14353.g.akamaiedge.net. e14353.g.akamaiedge.net. 17 IN A 2.18.104.196在此示例中,使用的 IP 地址为
2.18.104.196。gcr.io注册表会提取一个清单文件。
公用网络访问
如果您使用公共网络访问 IBM Cloud Container Registry,并使用域 cp.icr.io 和 icr.io ,请将以下主机名添加到防火墙规则中:
dd0.icr.iodd2.icr.iodd4.icr.iodd6.icr.io
如果您位于中国,请将以下主机名添加到防火墙规则中:
dd1-icr.ibm-zh.comdd3-icr.ibm-zh.comdd5-icr.ibm-zh.comdd7-icr.ibm-zh.com
*.icr.io 和 *.ibm-zh.com。其他 Red Hat OpenShift 端点
如果要安装自己的 Red Hat OpenShift 集群,那么需要确保它有权访问 Red Hat OpenShift 集群 Manager。 该组件由 Red Hat OpenShift Container Platform 安装程序使用,同时还提供订阅管理功能并收集遥测数据。 如果有人已为您搭建了 Red Hat OpenShift 集群 ,那么这一步应该已经完成了。
您可能需要访问其他一些域。 本《 业务程序文件》 中提到了它们,其中包括
*.openshiftapps.comsso.redhat.comcert-api.access.redhat.comapi.access.redhat.comregistry.access.redhat.cominfogw.api.openshift.comconsole.redhat.com
DRO 端点
在您的 Red Hat OpenShift Container Platform 实例中运行的 IBM 数据报告操作员 (DRO)会连接到 IBM Cloud 上运行的端点。 端点 DNS 名称为 swc.saas.ibm.com,IP 地址为 198.41.0.4。
更多信息,请参阅数据报告操作员。