ファイアウォールを介した Container Registry へのアクセス
ワーカー ノードが IBM Cloud® Container Registry と通信することを許可するには、ワーカー ノードから IBM Cloud Container Registryリージョン への送信ネットワーク トラフィックを許可する必要があります。
IBM Cloud Kubernetes Service または Red Hat® OpenShift® on IBM Cloud®を使用している場合、デフォルトでは Container Registry への接続はプライベートです。 そのため、 Container Registryへのパブリック・アクセスを許可する必要はありません。 プライベート接続について詳しくは、 icr.io
レジストリーへのプライベート・ネットワーク接続 を参照してください。
以下の表にリストされているドメインで レイヤー 7 ファイアウォール を使用することにより、 Container Registry への接続を許可するようにファイアウォールを構成できます。
公衆インターネット経由で IBM Cloud Container Registry にアクセスする場合、IPアドレスに基づく許可リストの制限を設けてはならない。 許可リストの公開が心配な場合は、IBM Cloud Container Registryへのプライベートアクセスを、プライベートIBM Cloudネットワークを使用して設定することができます。Container Registryへの接続のセキュリティ を参照してください。 IPアドレスのリストは頻繁に変更される可能性があるため、提供されていません。
以下の地域サブドメインに加え、配信の最適化のために他のサブドメインにリダイレクトできるように、ワーカーノードから icr.io
のすべてのサブドメインの 443
ポートへのトラフィックも許可する必要があります。 TCP port 443 FROM <each_worker_node_publicIP> TO *.icr.io
を許可する必要があります。ここで、 <each_worker_node_publicIP>
は各ワーカー・ノードのパブリック IP アドレスです。 非推奨のドメイン・ネームを使用する場合は、それらのドメインも許可する必要があります。
リージョン | レジストリー・アドレス | 非推奨のアドレス |
---|---|---|
グローバル | icr.io |
registry.bluemix.net |
アジア太平洋北部 | jp.icr.io |
適用外 |
アジア太平洋南部 | au.icr.io |
registry.au-syd.bluemix.net |
中欧 | de.icr.io |
registry.eu-de.bluemix.net |
マドリッド | es.icr.io |
適用外 |
大阪 | jp2.icr.io |
適用外 |
サンパウロ | br.icr.io |
適用外 |
トロント | ca.icr.io |
適用外 |
英国南部 | uk.icr.io |
registry.eu-gb.bluemix.net |
米国南部 | us.icr.io |
registry.ng.bluemix.net |
公衆ネットワークからのアクセス Container Registry
パブリックネットワークを使用してドメイン icr.io
を使用して Container Registry にアクセスする場合は、ファイアウォール ルールに以下のドメインを追加する必要があります:
dd0.icr.io
dd2.icr.io
dd4.icr.io
dd6.icr.io
中国にいるユーザーは、以下のドメインも許可しなければならない:
dd1-icr.ibm-zh.com
dd3-icr.ibm-zh.com
dd5-icr.ibm-zh.com
dd7-icr.ibm-zh.com
また、 *.icr.io
や *.ibm-zh.com
のように、許可リストのドメインにワイルドカード文字を追加することもできます。