IBM Cloud Docs
ファイアウォールを介した Container Registry へのアクセス

ファイアウォールを介した Container Registry へのアクセス

ワーカー ノードが IBM Cloud® Container Registry と通信することを許可するには、ワーカー ノードから IBM Cloud Container Registryリージョン への送信ネットワーク トラフィックを許可する必要があります。

IBM Cloud Kubernetes Service または Red Hat® OpenShift® on IBM Cloud®を使用している場合、デフォルトでは Container Registry への接続はプライベートです。 そのため、 Container Registryへのパブリック・アクセスを許可する必要はありません。 プライベート接続について詳しくは、 icr.io レジストリーへのプライベート・ネットワーク接続 を参照してください。

以下の表にリストされているドメインで レイヤー 7 ファイアウォール を使用することにより、 Container Registry への接続を許可するようにファイアウォールを構成できます。

公衆インターネット経由で IBM Cloud Container Registry にアクセスする場合、IPアドレスに基づく許可リストの制限を設けてはならない。 許可リストの公開が心配な場合は、IBM Cloud Container Registryへのプライベートアクセスを、プライベートIBM Cloudネットワークを使用して設定することができます。Container Registryへの接続のセキュリティ を参照してください。 IPアドレスのリストは頻繁に変更される可能性があるため、提供されていません。

以下の地域サブドメインに加え、配信の最適化のために他のサブドメインにリダイレクトできるように、ワーカーノードから icr.io のすべてのサブドメインの 443 ポートへのトラフィックも許可する必要があります。 TCP port 443 FROM <each_worker_node_publicIP> TO *.icr.io を許可する必要があります。ここで、 <each_worker_node_publicIP> は各ワーカー・ノードのパブリック IP アドレスです。 非推奨のドメイン・ネームを使用する場合は、それらのドメインも許可する必要があります。

Container Registryトラフィックのアドレス。
リージョン レジストリー・アドレス 非推奨のアドレス
グローバル icr.io registry.bluemix.net
アジア太平洋北部 jp.icr.io 適用外
アジア太平洋南部 au.icr.io registry.au-syd.bluemix.net
中欧 de.icr.io registry.eu-de.bluemix.net
マドリッド es.icr.io 適用外
大阪 jp2.icr.io 適用外
サンパウロ br.icr.io 適用外
トロント ca.icr.io 適用外
英国南部 uk.icr.io registry.eu-gb.bluemix.net
米国南部 us.icr.io registry.ng.bluemix.net

公衆ネットワークからのアクセス Container Registry

パブリックネットワークを使用してドメイン icr.io を使用して Container Registry にアクセスする場合は、ファイアウォール ルールに以下のドメインを追加する必要があります:

  • dd0.icr.io
  • dd2.icr.io
  • dd4.icr.io
  • dd6.icr.io

中国にいるユーザーは、以下のドメインも許可しなければならない:

  • dd1-icr.ibm-zh.com
  • dd3-icr.ibm-zh.com
  • dd5-icr.ibm-zh.com
  • dd7-icr.ibm-zh.com

また、 *.icr.io*.ibm-zh.com のように、許可リストのドメインにワイルドカード文字を追加することもできます。