使用 STS 部署 ROSA 的详细要求 | 准备您的环境 | AWS 上的 Red Hat OpenShift 服务

Red Hat OpenShift Service on AWS (ROSA) 提供了一种模型，允许 Red Hat 将集群部署到客户现有的 Amazon Web Service (AWS) 账户中。

AWS 安全令牌服务 (STS) 是在 Red Hat OpenShift Service on AWS (ROSA) 上安装和交互式管理集群的推荐凭据模式，因为它提供了增强的安全性。

使用 STS 安装 ROSA 之前，请确保满足以下 AWS 先决条件。

使用 AWS STS 创建 ROSA 集群时，也会创建一个关联的 AWS OpenID Connect (OIDC) 身份提供程序。此 OIDC 提供程序配置依赖于位于 `us-east-1` AWS 区域的公钥。即使这些集群部署在其他区域，具有 AWS SCP 的客户也必须允许使用 `us-east-1` AWS 区域。

编辑

使用 STS 部署时的客户要求

在部署使用 AWS 安全令牌服务 (STS) 的 Red Hat OpenShift Service on AWS (ROSA) 集群之前，必须完成以下先决条件。

编辑

账户

您必须确保 AWS 限制足以支持在您的 AWS 账户中预置的 Red Hat OpenShift Service on AWS。在 CLI 中运行 `rosa verify quota` 命令可以验证您是否拥有运行集群所需的配额。

配额验证会检查您的 AWS 配额，但它不会将您的使用情况与您的 AWS 配额进行比较。有关更多信息，请参阅“其他资源”中的“限制和可扩展性”链接。

如果应用并强制执行 SCP 策略，则这些策略不得比集群所需的 نقش و سیاست ها 更严格。
您的 AWS 账户不应转移到 Red Hat。
您不应对 Red Hat 活动施加超出定义的 نقش و سیاست ها 的其他 AWS 使用限制。施加限制会严重阻碍 Red Hat 响应事件的能力。
您可以在同一个 AWS 账户中部署原生 AWS 服务。
您的账户必须设置服务链接角色，因为弹性负载均衡 (ELB) 需要此角色。如果您以前没有在 AWS 账户中创建负载均衡器，请参阅“其他资源”中的“创建弹性负载均衡 (ELB) 服务链接角色”链接，了解有关为您的 ELB 创建服务链接角色的信息。

建议您（但不是必须）在与托管 Red Hat OpenShift Service on AWS 和其他 Red Hat 支持服务的 VPC 分开的虚拟专用云 (VPC) 中部署资源。

其他资源

编辑

访问要求

Red Hat 必须对客户提供的 AWS 账户具有 AWS 控制台访问权限。Red Hat 会保护和管理此访问权限。
您不应使用 AWS 账户来提升您在 Red Hat OpenShift Service on AWS (ROSA) 集群中的权限。
在 ROSA CLI (`rosa`) 或 OpenShift 集群管理器控制台中可用的操作不得直接在您的 AWS 账户中执行。
您无需预先配置域名即可部署 ROSA 集群。如果您希望使用自定义域名，请参阅其他资源以获取信息。

其他资源

请参阅为应用程序配置自定义域名

编辑

支持要求

Red Hat 建议客户至少拥有来自 AWS 的商业支持。
Red Hat 可能会获得客户的许可，代表他们请求 AWS 支持。
Red Hat 可能会获得客户的许可，请求增加客户账户中的 AWS 资源限制。
Red Hat 以相同的方式管理所有 Red Hat OpenShift Service on AWS 集群的限制、局限性、期望和默认值，除非本要求部分另有说明。

编辑

安全要求

Red Hat 必须从允许列出的 IP 地址访问 EC2 主机和 API 服务器。
Red Hat 必须允许出站访问已记录的域名。有关指定域名，请参阅“AWS 防火墙先决条件”部分。

其他资源

AWS 防火墙先决条件

编辑

使用 OpenShift 集群管理器所需的条件

以下章节描述了对OpenShift 集群管理器的要求。如果您只使用 CLI 工具，则可以忽略这些要求。

要使用 OpenShift 集群管理器，您必须链接您的 AWS 账户。此链接概念也称为账户关联。

编辑

AWS 账户关联

在 AWS 上的 Red Hat OpenShift 服务 (ROSA) 集群配置任务需要使用您的 Amazon 资源名称 (ARN) 将ocm-role和user-role IAM 角色链接到您的 AWS 账户。

ocm-role ARN 存储在您的 Red Hat 组织中的标签中，而user-role ARN 存储在您的 Red Hat 用户账户中的标签内。Red Hat 使用这些 ARN 标签来确认用户是有效的账户持有人，并且拥有执行 AWS 账户中必要任务的正确权限。

编辑

链接您的 AWS 账户

您可以使用 Red Hat OpenShift Service on AWS (ROSA) CLI，rosa，将您的 AWS 账户链接到现有的 IAM 角色。

先决条件

您拥有一个 AWS 账户。
您正在使用OpenShift 集群管理器创建集群。
您拥有安装 AWS 全账户角色所需的权限。有关更多信息，请参阅本节的“附加资源”。
您已在安装主机上安装并配置了最新的 AWS (aws) 和 ROSA (rosa) CLI。
您已创建了ocm-role和user-role IAM 角色，但尚未将它们链接到您的 AWS 账户。您可以通过运行以下命令来检查您的 IAM 角色是否已链接
```
$ rosa list ocm-role
```
```
$ rosa list user-role
```
如果两个角色的“已链接”列中显示“是”，则您已将角色链接到 AWS 账户。

步骤

从 CLI 中，使用您的 Amazon 资源名称 (ARN) 将您的ocm-role资源链接到您的 Red Hat 组织

您必须拥有 Red Hat 组织管理员权限才能运行rosa link命令。将ocm-role资源与您的 AWS 账户链接后，组织中的所有用户都可以看到它。
```
$ rosa link ocm-role --role-arn <arn>
```
示例输出
```
I: Linking OCM role
? Link the '<AWS ACCOUNT ID>` role with organization '<ORG ID>'? Yes
I: Successfully linked role-arn '<AWS ACCOUNT ID>' with organization account '<ORG ID>'
```

从 CLI 中，使用您的 Amazon 资源名称 (ARN) 将您的user-role资源链接到您的 Red Hat 用户账户

$ rosa link user-role --role-arn <arn>

示例输出

I: Linking User role
? Link the 'arn:aws:iam::<ARN>:role/ManagedOpenShift-User-Role-125' role with organization '<AWS ID>'? Yes
I: Successfully linked role-arn 'arn:aws:iam::<ARN>:role/ManagedOpenShift-User-Role-125' with organization account '<AWS ID>'

其他资源

有关创建集群所需的 IAM 角色列表，请参阅全账户 IAM 角色和策略参考。

编辑

将多个 AWS 账户与您的 Red Hat 组织关联

您可以将多个 AWS 账户与您的 Red Hat 组织关联。关联多个账户可以让您从您的 Red Hat 组织在任何关联的 AWS 账户上创建 Red Hat OpenShift Service on AWS (ROSA) 集群。

使用此功能，您可以通过使用多个 AWS 配置文件作为区域绑定环境在不同的 AWS 区域创建集群。

先决条件

您拥有一个 AWS 账户。
您正在使用OpenShift 集群管理器创建集群。
您拥有安装 AWS 全账户角色所需的权限。
您已在安装主机上安装并配置了最新的 AWS (aws) 和 ROSA (rosa) CLI。
您已创建了ocm-role和user-role IAM 角色。

步骤

要关联其他 AWS 账户，请首先在您的本地 AWS 配置中创建一个配置文件。然后，通过在附加的 AWS 账户中创建ocm-role、用户和账户角色，将该账户与您的 Red Hat 组织关联。

要在其他区域创建角色，请在运行rosa create命令时指定--profile <aws-profile>参数，并将<aws_profile>替换为附加账户配置文件名称

创建 OpenShift 集群管理器角色时指定 AWS 账户配置文件
```
$ rosa create --profile <aws_profile> ocm-role
```

创建用户角色时指定 AWS 账户配置文件

$ rosa create --profile <aws_profile> user-role

创建账户角色时指定 AWS 账户配置文件

$ rosa create --profile <aws_profile> account-roles

如果您未指定配置文件，则使用默认的 AWS 配置文件。

编辑

在选择加入区域中部署集群的要求

AWS 选择加入区域是默认情况下未启用的区域。如果您想要部署使用 AWS 安全令牌服务 (STS) 在选择加入区域中运行的 Red Hat OpenShift Service on AWS (ROSA) 集群，则必须满足以下要求

必须在您的 AWS 账户中启用该区域。有关启用选择加入区域的更多信息，请参阅 AWS 文档中的管理 AWS 区域。
您的 AWS 账户中的安全令牌版本必须设置为版本 2。您不能对选择加入区域使用版本 1 安全令牌。

由于令牌长度增加，更新到安全令牌版本 2 会影响存储令牌的系统。有关更多信息，请参阅AWS 关于设置 STS 首选项的文档。

编辑

设置 AWS 安全令牌版本

如果您想要在 AWS 选择加入区域中使用 AWS 安全令牌服务 (STS) 创建 Red Hat OpenShift Service on AWS (ROSA) 集群，则必须将 AWS 账户中的安全令牌版本设置为版本 2。

先决条件

您已在安装主机上安装并配置了最新的 AWS CLI。

步骤

列出 AWS CLI 配置中定义的 AWS 账户的 ID
```
$ aws sts get-caller-identity --query Account --output json
```
确保输出与相关 AWS 账户的 ID 匹配。

列出在您的 AWS 账户中设置的安全令牌版本

$ aws iam get-account-summary --query SummaryMap.GlobalEndpointTokenVersion --output json

示例输出

要将 AWS 账户中所有区域的安全令牌版本更新为版本 2，请运行以下命令
```
$ aws iam set-security-token-service-preferences --global-endpoint-token-version v2Token
```
由于令牌长度增加，更新到安全令牌版本 2 会影响存储令牌的系统。有关更多信息，请参阅AWS 关于设置 STS 首选项的文档。

Red Hat 管理的 AWS IAM 参考

使用 STS 部署模型，Red Hat 不再负责创建和管理 Amazon Web Services (AWS) IAM 策略、IAM 用户或 IAM 角色。有关创建这些角色和策略的信息，请参阅以下关于 IAM 角色的部分。

要使用ocm CLI，您必须拥有ocm-role和user-role资源。请参阅OpenShift 集群管理器 IAM 角色资源。
如果您只有一个集群，请参阅全账户 IAM 角色和策略参考。
对于每个集群，您必须拥有必要的运营商角色。请参阅特定于集群的运营商 IAM 角色参考。

预配的 AWS 基础设施

这是在已部署的 Red Hat OpenShift Service on AWS (ROSA) 集群上预配的 Amazon Web Services (AWS) 组件概述。有关所有预配的 AWS 组件的更详细列表，请参阅OpenShift Container Platform 文档。

编辑

EC2 实例

在 AWS 公有云中部署 ROSA 的控制平面和数据平面功能需要 AWS EC2 实例。

控制平面和基础设施节点的实例类型可能因工作节点数量而异。至少会部署以下 EC2 实例：

三个m5.2xlarge控制平面节点
两个r5.xlarge基础设施节点
两个m5.xlarge可定制工作节点

有关工作节点数量的进一步指导，请参阅本页“附加资源”部分中列出的“限制和可扩展性”主题中的初始规划注意事项信息。

Amazon Elastic Block Store 存储

Amazon Elastic Block Store (Amazon EBS) 块存储用于本地节点存储和持久卷存储。

每个 EC2 实例的卷需求

控制平面卷
- 大小：350GB
- 类型：gp3
- 每秒输入/输出操作数：1000
基础设施卷
- 大小：300GB
- 类型：gp3
- 每秒输入/输出操作数：900
工作节点卷
- 大小：300GB
- 类型：gp3
- 每秒输入/输出操作数：900

在 OpenShift Container Platform 4.11 发布之前部署的集群默认使用 gp2 类型存储。

弹性负载均衡

最多两个用于 API 的网络负载均衡器和最多两个用于应用程序路由器的经典负载均衡器。更多信息，请参见AWS 的 ELB 文档。

S3 存储

镜像注册表由 AWS S3 存储支持。定期执行资源修剪以优化 S3 使用和集群性能。

需要两个桶，每个桶的典型大小为 2TB。

VPC

客户应预计每个集群一个 VPC。此外，VPC 需要以下配置

子网：对于具有单个可用区的集群，有两个子网；对于具有多个可用区的集群，有六个子网。

公共子网通过互联网网关直接连接到互联网。私有子网通过网络地址转换 (NAT) 网关连接到互联网。
路由表：每个私有子网一个路由表，每个集群一个附加表。
互联网网关：每个集群一个互联网网关。
NAT 网关：每个公共子网一个 NAT 网关。

图 1. VPC 架构示例

安全组

AWS 安全组在协议和端口访问级别提供安全性；它们与 EC2 实例和弹性负载均衡 (ELB) 负载均衡器相关联。每个安全组都包含一组规则，这些规则过滤进出一个或多个 EC2 实例的流量。您必须确保网络上所需的 OpenShift 安装端口已打开，并配置为允许主机之间访问。

表 1. 默认安全组所需的端口
组	类型	IP 协议	端口范围
MasterSecurityGroup	`AWS::EC2::SecurityGroup`	`icmp`	`0`
		`tcp`	`22`
		`tcp`	`6443`
		`tcp`	`22623`
WorkerSecurityGroup	`AWS::EC2::SecurityGroup`	`icmp`	`0`
WorkerSecurityGroup	`AWS::EC2::SecurityGroup`	`tcp`	`22`
BootstrapSecurityGroup	`AWS::EC2::SecurityGroup`	`tcp`	`22`
BootstrapSecurityGroup	`AWS::EC2::SecurityGroup`	`tcp`	`19531`

其他自定义安全组

使用现有的非托管 VPC 创建集群时，可以在集群创建期间添加其他自定义安全组。自定义安全组受以下限制：

您必须在创建集群之前在 AWS 中创建自定义安全组。更多信息，请参见适用于 Linux 实例的 Amazon EC2 安全组。
您必须将自定义安全组与集群将安装到的 VPC 关联。您的自定义安全组不能与其他 VPC 关联。
如果您添加了其他自定义安全组，则可能需要为您的 VPC 请求更多配额。有关 ROSA 的 AWS 配额要求的信息，请参阅《准备环境》中的《所需的 AWS 服务配额》。有关请求 AWS 配额增加的信息，请参见请求配额增加。

网络先决条件

编辑

最小带宽

在集群部署期间，AWS 上的 Red Hat OpenShift 服务需要在集群资源和公共互联网资源之间至少具有 120 Mbps 的带宽。当网络连接速度低于 120 Mbps 时（例如，通过代理连接时），集群安装过程将超时并导致部署失败。

部署后，网络需求将由您的工作负载决定。但是，至少 120 Mbps 的带宽有助于确保及时进行集群和运营商升级。

AWS 防火墙先决条件

如果您使用防火墙来控制来自 AWS 上 Red Hat OpenShift 服务的出站流量，则必须将防火墙配置为授予对以下某些域和端口组合的访问权限。AWS 上的 Red Hat OpenShift 服务需要此访问权限才能提供完全托管的 OpenShift 服务。

编辑

ROSA Classic

只有使用 PrivateLink 部署的 ROSA 集群才能使用防火墙来控制出站流量。

先决条件

您已在 AWS 虚拟私有云 (VPC) 中配置了 Amazon S3 网关端点。此端点是完成从集群到 Amazon S3 服务的请求所必需的。

步骤

允许访问以下用于安装和下载软件包和工具的 URL：

域名端口功能

域名	端口	功能
`registry.redhat.io`	443	提供核心容器镜像。
`quay.io`	443	提供核心容器镜像。
`cdn01.quay.io`	443	提供核心容器镜像。
`cdn02.quay.io`	443	提供核心容器镜像。
`cdn03.quay.io`	443	提供核心容器镜像。
`sso.redhat.com`	443	必需。`https://console.redhat.com/openshift` 站点使用来自 `sso.redhat.com` 的身份验证来下载拉取密钥并使用 Red Hat SaaS 解决方案来促进对您的订阅、集群清单、收费报表等的监控。
`quay-registry.s3.amazonaws.com`	443	提供核心容器镜像。
`quayio-production-s3.s3.amazonaws.com`	443	提供核心容器镜像。
`openshift.org`	443	提供 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像。
`registry.access.redhat.com`	443	托管存储在 Red Hat 生态系统目录中的所有容器镜像。此外，该注册表还提供对 `odo` CLI 工具的访问，该工具可帮助开发人员在 OpenShift 和 Kubernetes 上构建。
`access.redhat.com`	443	必需。托管签名存储，容器客户端在从 `registry.access.redhat.com` 拉取镜像时需要此存储来验证镜像。
`registry.connect.redhat.com`	443	所有第三方镜像和认证的 Operators 都需要。
`console.redhat.com`	443	必需。允许集群和 OpenShift 控制台管理器之间进行交互，以启用功能，例如调度升级。
`sso.redhat.com`	443	`https://console.redhat.com/openshift` 站点使用来自 `sso.redhat.com` 的身份验证。
`pull.q1w2.quay.rhcloud.com`	443	当 quay.io 不可用时，提供核心容器镜像作为后备。
`.q1w2.quay.rhcloud.com`	443	当 quay.io 不可用时，提供核心容器镜像作为后备。
`www.okd.io`	443	`openshift.org` 站点通过 `www.okd.io` 重定向。
`www.redhat.com`	443	`sso.redhat.com` 站点通过 `www.redhat.com` 重定向。
`aws.amazon.com`	443	`iam.amazonaws.com` 和 `sts.amazonaws.com` 站点通过 `aws.amazon.com` 重定向。
`catalog.redhat.com`	443	`registry.access.redhat.com` 和 `https://registry.redhat.io` 站点通过 `catalog.redhat.com` 重定向。
`dvbwgdztaeq9o.cloudfront.net` ^[1]	443	ROSA 用于具有托管 OIDC 配置的 STS 实现。
`time-a-g.nist.gov`	123 ^[2]	允许用于 FedRAMP 的 NTP 流量。
`time-a-wwv.nist.gov`	123 ^[2]	允许用于 FedRAMP 的 NTP 流量。
`time-a-b.nist.gov`	123 ^[2]	允许用于 FedRAMP 的 NTP 流量。

registry.redhat.io

443

提供核心容器镜像。

quay.io

443

提供核心容器镜像。

cdn01.quay.io

443

提供核心容器镜像。

cdn02.quay.io

443

提供核心容器镜像。

cdn03.quay.io

443

提供核心容器镜像。

sso.redhat.com

443

必需。https://console.redhat.com/openshift 站点使用来自 sso.redhat.com 的身份验证来下载拉取密钥并使用 Red Hat SaaS 解决方案来促进对您的订阅、集群清单、收费报表等的监控。

quay-registry.s3.amazonaws.com

443

提供核心容器镜像。

quayio-production-s3.s3.amazonaws.com

443

提供核心容器镜像。

openshift.org

443

提供 Red Hat Enterprise Linux CoreOS (RHCOS) 镜像。

registry.access.redhat.com

443

托管存储在 Red Hat 生态系统目录中的所有容器镜像。此外，该注册表还提供对 odo CLI 工具的访问，该工具可帮助开发人员在 OpenShift 和 Kubernetes 上构建。

access.redhat.com

443

必需。托管签名存储，容器客户端在从 registry.access.redhat.com 拉取镜像时需要此存储来验证镜像。

registry.connect.redhat.com

443

所有第三方镜像和认证的 Operators 都需要。

console.redhat.com

443

必需。允许集群和 OpenShift 控制台管理器之间进行交互，以启用功能，例如调度升级。

sso.redhat.com

443

https://console.redhat.com/openshift 站点使用来自 sso.redhat.com 的身份验证。

pull.q1w2.quay.rhcloud.com

443

当 quay.io 不可用时，提供核心容器镜像作为后备。

.q1w2.quay.rhcloud.com

443

当 quay.io 不可用时，提供核心容器镜像作为后备。

www.okd.io

443

openshift.org 站点通过 www.okd.io 重定向。

www.redhat.com

443

sso.redhat.com 站点通过 www.redhat.com 重定向。

aws.amazon.com

443

iam.amazonaws.com 和 sts.amazonaws.com 站点通过 aws.amazon.com 重定向。

catalog.redhat.com

443

registry.access.redhat.com 和 https://registry.redhat.io 站点通过 catalog.redhat.com 重定向。

dvbwgdztaeq9o.cloudfront.net ^[1]

443

ROSA 用于具有托管 OIDC 配置的 STS 实现。

time-a-g.nist.gov

123 ^[2]

允许用于 FedRAMP 的 NTP 流量。

time-a-wwv.nist.gov

123 ^[2]

允许用于 FedRAMP 的 NTP 流量。

time-a-b.nist.gov

123 ^[2]

允许用于 FedRAMP 的 NTP 流量。

如果出现导致需要重定向资源的重大 Cloudfront 故障，cloudfront.net之前的字母数字字符字符串可能会发生变化。
TCP 和 UDP 端口。

允许访问以下遥测 URL

域名端口功能

域名	端口	功能
`cert-api.access.redhat.com`	443	遥测所需。
`api.access.redhat.com`	443	遥测所需。
`infogw.api.openshift.com`	443	遥测所需。
`console.redhat.com`	443	遥测和 Red Hat Insights 所需。
`cloud.redhat.com/api/ingress`	443	遥测和 Red Hat Insights 所需。
`observatorium-mst.api.openshift.com`	443	托管 OpenShift 特定的遥测所需。
`observatorium.api.openshift.com`	443	托管 OpenShift 特定的遥测所需。

cert-api.access.redhat.com

443

遥测所需。

api.access.redhat.com

443

遥测所需。

infogw.api.openshift.com

443

遥测所需。

console.redhat.com

443

遥测和 Red Hat Insights 所需。

cloud.redhat.com/api/ingress

443

遥测和 Red Hat Insights 所需。

observatorium-mst.api.openshift.com

443

托管 OpenShift 特定的遥测所需。

observatorium.api.openshift.com

443

托管 OpenShift 特定的遥测所需。

托管集群需要启用遥测，以便 Red Hat 能够更快地响应问题，更好地支持客户，并更好地了解产品升级如何影响集群。有关 Red Hat 如何使用远程健康监控数据的更多信息，请参阅“附加资源”部分中的《关于远程健康监控》。

允许访问以下亚马逊网络服务 (AWS) API URL

域名端口功能

域名	端口	功能
`.amazonaws.com`	443	访问 AWS 服务和资源所需。

.amazonaws.com

443

访问 AWS 服务和资源所需。

或者，如果您选择不为亚马逊网络服务 (AWS) API 使用通配符，则必须允许访问以下 URL

域名端口功能

域名	端口	功能
`ec2.amazonaws.com`	443	用于在 AWS 环境中安装和管理集群。
`events.<aws_region>.amazonaws.com`	443	用于在 AWS 环境中安装和管理集群。
`iam.amazonaws.com`	443	用于在 AWS 环境中安装和管理集群。
`route53.amazonaws.com`	443	用于在 AWS 环境中安装和管理集群。
`sts.amazonaws.com`	443	用于在 AWS 环境中安装和管理集群，适用于配置为使用 AWS STS 全局端点的集群。
`sts.<aws_region>.amazonaws.com`	443	用于在 AWS 环境中安装和管理集群，适用于配置为使用 AWS STS 区域端点的集群。有关更多信息，请参阅AWS STS 区域端点。
`tagging.us-east-1.amazonaws.com`	443	用于在 AWS 环境中安装和管理集群。无论集群部署在哪个区域，此端点始终为 us-east-1。
`ec2.<aws_region>.amazonaws.com`	443	用于在 AWS 环境中安装和管理集群。
`elasticloadbalancing.<aws_region>.amazonaws.com`	443	用于在 AWS 环境中安装和管理集群。
`tagging.<aws_region>.amazonaws.com`	443	允许以标签形式分配有关 AWS 资源的元数据。

ec2.amazonaws.com

443

用于在 AWS 环境中安装和管理集群。

events.<aws_region>.amazonaws.com

443

用于在 AWS 环境中安装和管理集群。

iam.amazonaws.com

443

用于在 AWS 环境中安装和管理集群。

route53.amazonaws.com

443

用于在 AWS 环境中安装和管理集群。

sts.amazonaws.com

443

用于在 AWS 环境中安装和管理集群，适用于配置为使用 AWS STS 全局端点的集群。

sts.<aws_region>.amazonaws.com

443

用于在 AWS 环境中安装和管理集群，适用于配置为使用 AWS STS 区域端点的集群。有关更多信息，请参阅AWS STS 区域端点。

tagging.us-east-1.amazonaws.com

443

用于在 AWS 环境中安装和管理集群。无论集群部署在哪个区域，此端点始终为 us-east-1。

ec2.<aws_region>.amazonaws.com

443

用于在 AWS 环境中安装和管理集群。

elasticloadbalancing.<aws_region>.amazonaws.com

443

用于在 AWS 环境中安装和管理集群。

tagging.<aws_region>.amazonaws.com

443

允许以标签形式分配有关 AWS 资源的元数据。

允许访问以下 OpenShift URL

域名端口功能

域名	端口	功能
`mirror.openshift.com`	443	用于访问镜像安装内容和镜像。此站点也是发布镜像签名的来源，尽管集群版本运算符 (CVO) 只需要一个可用的来源。
`storage.googleapis.com/openshift-release`（推荐）	443	mirror.openshift.com/ 的替代站点。用于下载平台发布签名，集群使用这些签名来确定要从 quay.io 拉取哪些镜像。
`api.openshift.com`	443	用于检查集群是否有可用的更新。

mirror.openshift.com

443

用于访问镜像安装内容和镜像。此站点也是发布镜像签名的来源，尽管集群版本运算符 (CVO) 只需要一个可用的来源。

storage.googleapis.com/openshift-release（推荐）

443

mirror.openshift.com/ 的替代站点。用于下载平台发布签名，集群使用这些签名来确定要从 quay.io 拉取哪些镜像。

api.openshift.com

443

用于检查集群是否有可用的更新。

允许访问以下站点可靠性工程 (SRE) 和管理 URL

域名端口功能

域名	端口	功能
`api.pagerduty.com`	443	此警报服务由集群内 alertmanager 使用，用于发送警报，通知 Red Hat SRE 需要采取措施的事件。
`events.pagerduty.com`	443	此警报服务由集群内 alertmanager 使用，用于发送警报，通知 Red Hat SRE 需要采取措施的事件。
`api.deadmanssnitch.com`	443	Red Hat OpenShift Service on AWS 使用的警报服务，用于发送定期 ping 以指示集群是否可用并正在运行。
`nosnch.in`	443	Red Hat OpenShift Service on AWS 使用的警报服务，用于发送定期 ping 以指示集群是否可用并正在运行。
`.osdsecuritylogs.splunkcloud.com` 或 `inputs1.osdsecuritylogs.splunkcloud.com` `inputs2.osdsecuritylogs.splunkcloud.com` `inputs4.osdsecuritylogs.splunkcloud.com` `inputs5.osdsecuritylogs.splunkcloud.com` `inputs6.osdsecuritylogs.splunkcloud.com` `inputs7.osdsecuritylogs.splunkcloud.com` `inputs8.osdsecuritylogs.splunkcloud.com` `inputs9.osdsecuritylogs.splunkcloud.com` `inputs10.osdsecuritylogs.splunkcloud.com` `inputs11.osdsecuritylogs.splunkcloud.com` `inputs12.osdsecuritylogs.splunkcloud.com` `inputs13.osdsecuritylogs.splunkcloud.com` `inputs14.osdsecuritylogs.splunkcloud.com` `inputs15.osdsecuritylogs.splunkcloud.com`	9997	`splunk-forwarder-operator` 用作日志转发端点，供 Red Hat SRE 用于基于日志的警报。
`http-inputs-osdsecuritylogs.splunkcloud.com`	443	必需。`splunk-forwarder-operator` 用作日志转发端点，供 Red Hat SRE 用于基于日志的警报。
`sftp.access.redhat.com`（推荐）	22	`must-gather-operator` 使用的 SFTP 服务器，用于上传诊断日志以帮助解决集群问题。

api.pagerduty.com

443

此警报服务由集群内 alertmanager 使用，用于发送警报，通知 Red Hat SRE 需要采取措施的事件。

events.pagerduty.com

443

此警报服务由集群内 alertmanager 使用，用于发送警报，通知 Red Hat SRE 需要采取措施的事件。

api.deadmanssnitch.com

443

Red Hat OpenShift Service on AWS 使用的警报服务，用于发送定期 ping 以指示集群是否可用并正在运行。

nosnch.in

443

Red Hat OpenShift Service on AWS 使用的警报服务，用于发送定期 ping 以指示集群是否可用并正在运行。

.osdsecuritylogs.splunkcloud.com 或 inputs1.osdsecuritylogs.splunkcloud.com inputs2.osdsecuritylogs.splunkcloud.com inputs4.osdsecuritylogs.splunkcloud.com inputs5.osdsecuritylogs.splunkcloud.com inputs6.osdsecuritylogs.splunkcloud.com inputs7.osdsecuritylogs.splunkcloud.com inputs8.osdsecuritylogs.splunkcloud.com inputs9.osdsecuritylogs.splunkcloud.com inputs10.osdsecuritylogs.splunkcloud.com inputs11.osdsecuritylogs.splunkcloud.com inputs12.osdsecuritylogs.splunkcloud.com inputs13.osdsecuritylogs.splunkcloud.com inputs14.osdsecuritylogs.splunkcloud.com inputs15.osdsecuritylogs.splunkcloud.com

9997

splunk-forwarder-operator 用作日志转发端点，供 Red Hat SRE 用于基于日志的警报。

http-inputs-osdsecuritylogs.splunkcloud.com

443

必需。splunk-forwarder-operator 用作日志转发端点，供 Red Hat SRE 用于基于日志的警报。

sftp.access.redhat.com（推荐）

must-gather-operator 使用的 SFTP 服务器，用于上传诊断日志以帮助解决集群问题。

允许访问以下可选的第三方内容 URL

域名端口功能

域名	端口	功能
`registry.connect.redhat.com`	443	所有第三方镜像和认证运营商都需要。
`rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com`	443	提供对托管在 `registry.connect.redhat.com` 上的容器镜像的访问。
`oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com`	443	Sonatype Nexus、F5 Big IP 运营商所需。

registry.connect.redhat.com

443

所有第三方镜像和认证运营商都需要。

rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com

443

提供对托管在 registry.connect.redhat.com 上的容器镜像的访问。

oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com

443

Sonatype Nexus、F5 Big IP 运营商所需。

允许访问构建所需的任何语言或框架提供的任何站点。
允许访问任何依赖于 OpenShift 中使用的语言和框架的出站 URL。有关建议在防火墙或代理上允许的 URL 列表，请参阅OpenShift 出站 URL 允许列表。

编辑

ROSA 与 HCP

先决条件

您已在 AWS 虚拟私有云 (VPC) 中配置了 Amazon S3 网关端点。此端点是完成从集群到 Amazon S3 服务的请求所必需的。

步骤

允许访问以下用于下载和安装包和工具的 URL

域名端口功能

域名	端口	功能
`quay.io`	443	提供核心容器镜像。
`cdn01.quay.io`	443	提供核心容器镜像。
`cdn02.quay.io`	443	提供核心容器镜像。
`cdn03.quay.io`	443	提供核心容器镜像。
`quayio-production-s3.s3.amazonaws.com`	443	提供核心容器镜像。
`registry.redhat.io`	443	提供核心容器镜像。
`registry.access.redhat.com`	443	必需。托管存储在 Red Hat 生态系统目录中的所有容器镜像。此外，注册表还提供对`odo` CLI 工具的访问，该工具可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。
`access.redhat.com`	443	必需。托管签名存储，容器客户端在从 `registry.access.redhat.com` 拉取镜像时需要此存储来验证镜像。
`api.openshift.com`	443	必需。用于检查集群是否有可用的更新。
`mirror.openshift.com`	443	必需。用于访问镜像安装内容和镜像。此站点也是发布镜像签名的来源，尽管集群版本运算符 (CVO) 只需要一个可用的来源。

quay.io

443

提供核心容器镜像。

cdn01.quay.io

443

提供核心容器镜像。

cdn02.quay.io

443

提供核心容器镜像。

cdn03.quay.io

443

提供核心容器镜像。

quayio-production-s3.s3.amazonaws.com

443

提供核心容器镜像。

registry.redhat.io

443

提供核心容器镜像。

registry.access.redhat.com

443

必需。托管存储在 Red Hat 生态系统目录中的所有容器镜像。此外，注册表还提供对odo CLI 工具的访问，该工具可帮助开发人员在 OpenShift 和 Kubernetes 上进行构建。

access.redhat.com

443

必需。托管签名存储，容器客户端在从 registry.access.redhat.com 拉取镜像时需要此存储来验证镜像。

api.openshift.com

443

必需。用于检查集群是否有可用的更新。

mirror.openshift.com

443

必需。用于访问镜像安装内容和镜像。此站点也是发布镜像签名的来源，尽管集群版本运算符 (CVO) 只需要一个可用的来源。

允许访问以下遥测 URL

域名端口功能

域名	端口	功能
`infogw.api.openshift.com`	443	遥测所需。
`console.redhat.com`	443	必需。允许集群和 OpenShift 控制台管理器之间进行交互，以启用功能，例如调度升级。
`sso.redhat.com`	443	必需。`https://console.redhat.com/openshift` 网站使用来自 `sso.redhat.com` 的身份验证来下载拉取密钥并使用 Red Hat SaaS 解决方案来促进对订阅、集群清单、收费报告等的监控。

infogw.api.openshift.com

443

遥测所需。

console.redhat.com

443

必需。允许集群和 OpenShift 控制台管理器之间进行交互，以启用功能，例如调度升级。

sso.redhat.com

443

必需。https://console.redhat.com/openshift 网站使用来自 sso.redhat.com 的身份验证来下载拉取密钥并使用 Red Hat SaaS 解决方案来促进对订阅、集群清单、收费报告等的监控。

允许访问以下亚马逊网络服务 (AWS) API URL

域名端口功能

域名	端口	功能
`sts.<aws_region>.amazonaws.com` ^[1]	443	必需。用于访问 AWS 安全令牌服务 (STS) 区域端点。确保将 `<aws-region>` 替换为集群部署所在的区域。
`sts.amazonaws.com` ^[2]	443	参见脚注。用于访问 AWS 安全令牌服务 (STS) 全局端点。

sts.<aws_region>.amazonaws.com ^[1]

443

必需。用于访问 AWS 安全令牌服务 (STS) 区域端点。确保将 <aws-region> 替换为集群部署所在的区域。

sts.amazonaws.com ^[2]

443

参见脚注。用于访问 AWS 安全令牌服务 (STS) 全局端点。

这也可以通过在您的 AWS 虚拟私有云 (VPC) 中将私有接口端点配置到区域 AWS STS 端点来实现。
只有在运行 4.14.18 或 4.15.4 之前的 OpenShift 版本时，才需要允许 AWS STS 全局端点。ROSA HCP 4.14.18+、4.15.4+ 和 4.16.0+ 版本使用 AWS STS 区域端点。

允许访问以下可选的第三方内容 URL

域名端口功能

域名	端口	功能
`registry.connect.redhat.com`	443	可选。所有第三方镜像和认证运营商都需要。
`rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com`	443	可选。提供对托管在 `registry.connect.redhat.com` 上的容器镜像的访问。
`oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com`	443	可选。Sonatype Nexus、F5 Big IP 运营商所需。

registry.connect.redhat.com

443

可选。所有第三方镜像和认证运营商都需要。

rhc4tp-prod-z8cxf-image-registry-us-east-1-evenkyleffocxqvofrk.s3.dualstack.us-east-1.amazonaws.com

443

可选。提供对托管在 registry.connect.redhat.com 上的容器镜像的访问。

oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com

443

可选。Sonatype Nexus、F5 Big IP 运营商所需。

允许访问构建所需的任何语言或框架提供的任何站点。
允许访问任何依赖于 OpenShift 中使用的语言和框架的出站 URL。有关建议在防火墙或代理上允许的 URL 列表，请参阅OpenShift 出站 URL 允许列表。

其他资源

关于远程健康监控

后续步骤

查看所需的 AWS 服务配额