IBM Cloud Docs
許可リストで必要なポートとIPアドレスを開く

許可リストで必要なポートとIPアドレスを開く

クラシック・クラスター

この許可リストの情報は、クラシック・クラスタに特有のものである。 VPCクラスタの場合は、 VPCクラスタの許可リストで必要なポートとIPアドレスを開くを 参照してください。

Red Hat® OpenShift® on IBM Cloud® クラスタの許可リストで、特定のポートや IP アドレスをオープンする必要がある場合について説明します。

  • 企業の許可リスト :企業のネットワーク・ポリシーにより、ローカル・システムからプロキシまたはallowlistsを介したパブリック・エンドポイントへのアクセスが禁止されている場合は、ローカル・システムから ibmcloudibmcloud ocibmcloud croccalicoctl のコマンドを実行するためのアクセスを許可する必要があります。
  • ゲートウェイアプライアンスの許可リスト :VRA などの IBM Cloud インフラストラクチャアカウントのパブリックまたはプライベートネットワークに allowlists を設定している場合は、ワーカーノードがマスタ、インフラストラクチャリソース、および他の IBM Cloud サービスと通信できるように、IP 範囲、ポート、およびプロトコルを開く必要があります。 また、クラスター内のアプリを公開するサービスへの着信トラフィックを許可するためにポートを開くこともできます。
  • Calico ネットワーク ポリシーを 使用する必要があります: ネットワーク ポリシーをすべてのワーカー ノードのイグレスを制限する許可リストとして使用する場合は、ワーカー ノードがクラスタが機能するために必要なリソースにアクセスできるようにする必要があります。 Calico
  • その他のサービスまたはネットワークの許可リスト : IBM Cloud、またはオンプレミスネットワークの内部または外部で実行され、許可リストで保護されているサービスへのアクセスをクラスタに許可するには、ワーカーノードのIPアドレスを許可リストに追加する必要があります。

企業の許可リストでポートを開く

企業のネットワーク・ポリシーにより、ローカル・システムからプロキシや許可リストを介したパブリック・エンドポイントへのアクセスが禁止されている場合は、ローカル・システムから ibmcloud ibmcloud oc および コマンド ibmcloud croc コマンドcalicoctl コマンド を実行するためのアクセスを許可する必要があります。

allowlistの後ろから ibmcloudibmcloud ocibmcloud cr のコマンドを実行する

企業のネットワーク・ポリシーにより、ローカル・システムからプロキシやallowlistを介したパブリック・エンドポイントへのアクセスが禁止されている場合、 ibmcloudibmcloud ocibmcloud cr のコマンドを実行するには、 IBM Cloud、 Red Hat OpenShift on IBM Cloud、 IBM Cloud Container Registry のTCPアクセスを許可する必要があります。

  1. 許可リストにポート443の cloud.ibm.com

  2. この API エンドポイントから IBM Cloud にログインして、接続を確認します。

    ibmcloud login -a https://cloud.ibm.com/
    
  3. 許可リストにポート443の containers.cloud.ibm.com

  4. 接続を確認します。 アクセスが正しく構成されている場合は、ゾーンが出力に表示されます。

    curl https://containers.cloud.ibm.com/v1/zones
    

    出力例

    [{"id":"mon01","metro":""},{"id":"tor01","metro":""},{"id":"wdc04","metro":"Washington D.C."},{"id":"wdc06","metro":"Washington D.C."},{"id":"wdc07","metro":"Washington D.C."}]
    
  5. allowlistで、ポート443で使う予定の IBM Cloud Container Registry リージョンへの アクセスを許可する。 グローバル・レジストリーには IBM 提供のパブリック・イメージが保管され、リージョン・レジストリーにはユーザー独自のプライベート・イメージまたはパブリック・イメージが保管されます。

  6. コンテナ・レジストリの名前空間を一覧表示して、接続を確認する。

許可リストの背後からの oc コマンドの実行

企業のネットワーク・ポリシーにより、ローカル・システムからプロキシまたはallowlistを経由したパブリック・エンドポイントへのアクセスが禁止されている場合、 oc コマンドを実行するには、クラスタに対してTCPアクセスを許可する必要があります。

クラスターが作成されると、サービス・エンドポイント URL 内のポートが 30000 から 32767 の範囲内でランダムに割り当てられます。 作成される可能性があるクラスターに対してポート範囲 30000 から 32767 を開くことを選択するか、特定の既存クラスターに対してアクセスを許可するかを選択できます。

始めに、ibmcloud oc コマンドを実行するためのアクセスを許可します。

特定のクラスターを対象にアクセスを許可するには、以下のようにします。

  1. IBM Cloud CLI にログインします。 プロンプトが出されたら、IBM Cloud 資格情報を入力します。 統合されたアカウントがある場合は、--sso オプションを含めます。

    ibmcloud login [--sso]
    
  2. default 以外のリソース・グループ内にクラスターがある場合は、そのリソース・グループをターゲットとして設定します。 各クラスターが属するリソース・グループを表示するには、ibmcloud oc cluster ls を実行します。 : リソース・グループに対するビューアー以上の役割が必要です。

    ibmcloud target -g <resource_group_name>
    
  3. クラスターの名前を取得します。

    ibmcloud oc cluster ls
    
  4. クラスターのサービス・エンドポイント URL を取得します。

    • パブリックのサービス・エンドポイント URL だけが設定されている場合は、その URL を取得します。 権限を持つクラスター・ユーザーは、パブリック・ネットワークでこのエンドポイントからマスターにアクセスできます。
    • プライベートのサービス・エンドポイント URL だけが設定されている場合は、その URL を取得します。 権限を持つクラスター・ユーザーは、プライベート・ネットワークでこのエンドポイントからマスターにアクセスできます。
    • パブリック・サービス・エンドポイント URLプライベート・サービス・エンドポイント URL の両方が設定されている場合は、両方の URL を取得します。 権限を持つクラスター・ユーザーは、パブリック・ネットワークのパブリック・エンドポイントからでもプライベート・ネットワークのプライベート・エンドポイントからでもマスターにアクセスできます。
    ibmcloud oc cluster get --cluster <cluster_name_or_ID>
    

    出力例

    ...
    Public Service Endpoint URL:    https://c3.<region>.containers.cloud.ibm.com:30426
    Private Service Endpoint URL:   https://c3-private.<region>.containers.cloud.ibm.com:31140
    ...
    
  5. 前の手順で取得したサービス・エンドポイント URL とポートへのアクセスを許可します。 許可リストがIPベースの場合、 この表を 確認することで、サービス・エンドポイントURLへのアクセスを許可した際に、どのIPアドレスがオープンされたかを確認することができます。

  6. 接続を確認します。

    • パブリック・クラウド・サービス・エンドポイントが有効な場合:

      curl --insecure <public_service_endpoint_URL>/version
      

      コマンド例:

      curl --insecure https://c3.<region>.containers.cloud.ibm.com:31142/version
      

      出力例

      {
      "major": "1",
      "minor": "7+",
      "gitVersion": "v1.7.4-2+eb9172c211dc41",
      "gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534",
      "gitTreeState": "clean",
      "buildDate": "2017-11-16T08:13:08Z",
      "goVersion": "go1.8.3",
      "compiler": "gc",
      "platform": "linux/amd64"
      }
      
    • プライベート・クラウド・サービス・エンドポイントが有効な場合にマスターへの接続を確認するには、IBM Cloud プライベート・ネットワークの中で作業しているか、VPN 接続経由でプライベート・ネットワークに接続している必要があります。 : プライベート・ロード・バランサーを介してマスター・エンドポイントを公開することで、ユーザーが VPN または IBM Cloud® Direct Link の接続を介してマスターにアクセスできるようにする必要があります。

      curl --insecure <private_service_endpoint_URL>/version
      

      コマンド例:

      curl --insecure https://c3-private.<region>.containers.cloud.ibm.com:31142/version
      

      出力例

      {
      "major": "1",
      "minor": "7+",
      "gitVersion": "v1.7.4-2+eb9172c211dc41",
      "gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534",
      "gitTreeState": "clean",
      "buildDate": "2017-11-16T08:13:08Z",
      "goVersion": "go1.8.3",
      "compiler": "gc",
      "platform": "linux/amd64"
      }
      
  7. オプション: 公開する必要のあるクラスターごとに、上記のステップを繰り返します。

許可リストの背後からの calicoctl コマンドの実行

企業のネットワーク・ポリシーによって、ローカル・システムからパブリック・エンドポイントへのアクセスがプロキシまたはallowlistsによって禁止されている場合、 calicoctl コマンドを実行するには、 Calico コマンドの TCP アクセスを許可する必要があります。

始めに、ibmcloud コマンドoc コマンドを実行するためのアクセスを許可します。

  1. oc コマンドの許可に使用したマスター URL から IP アドレスを取得します。

  2. etcd のポートを取得します。

    oc get cm -n kube-system cluster-info -o yaml | grep etcd_host
    
  3. マスター URL の IP アドレスと etcd ポート経由の Calico ポリシーにおけるアクセスを許可します。

ゲートウェイアプライアンスの許可リストでポートを開く

Virtual Router Appliance (Vyatta) などの IBM Cloud インフラアカウントで パブリックネットワーク または プライベートネットワークに allowlist をセットアップしている場合、ワーカーノードがマスター、インフラリソース、他の IBM Cloud サービスと通信できるように IP 範囲、ポート、プロトコルを開く必要があります。

公開許可リストで必要なポートを開く

Virtual Router Appliance (Vyatta) のような IBM Cloud インフラアカウントでパブリックネットワーク上に allowlist がある場合、ワーカーノードがマスター、インフラリソース、他の IBM Cloud サービスと通信できるように、allowlist で IP 範囲、ポート、プロトコルを開く必要があります。

始める前に、クラスター内の各ワーカー・ノードのパブリック IP アドレスをメモします。

ibmcloud oc worker ls --cluster <cluster_name_or_ID>

ワーカー・ノードがクラスター・マスターと通信できるようにする

ワーカー・ノードがパブリック・クラウド・サービス・エンドポイントを介してクラスター・マスターと通信できるようにするには、ソース <each_worker_node_publicIP> から宛先 TCP/UDP ポート範囲 30000 から 32767 および ポート 443、および以下の IP アドレスとネットワーク・グループへの発信ネットワーク・トラフィックを許可します。 さらに、Ingress または経路を使用してクラスター内のアプリを公開する場合は、Red Hat OpenShift コントロール・プレーンがルーターの正常性を検査できるように、これらのポートを介するワーカー・ノードの IP アドレスへの着信ネットワーク・トラフィックも許可してください。

この表は変化します。 最新の IP リストおよび継続的な更新については、 IBM/kube-samples リポジトリー内のパブリック・ネットワーク分離フォルダーを参照してください。 プルリクエストをレポでウォッチし、アップデートを求めることができる。

  • TCP/UDP port range 30000-32767, port 443 FROM <each_worker_node_publicIP> TO <public_IPs>
  • <public_IPs> を、クラスターが配置されているリージョンのパブリック IP アドレスで置き換えます。
発信トラフィック用に開く IP アドレス
リージョン パブリック IP アドレス
APノース (che01, sng01, tok02, tok04, tok05) 119.81.194.90, 119.81.222.210, 128.168.106.194, 128.168.71.117, 128.168.75.194, 128.168.85.154, 135.90.69.66, 135.90.69.82, 161.202.126.210, 161.202.154.10, 161.202.186.226, 161.202.56.10, 161.202.57.34, 165.192.69.69, 165.192.80.146, 165.192.83.202, 165.192.95.90, 169.38.68.178, 169.38.70.10, 169.38.79.170, 169.56.1.162, 169.56.132.234, 169.56.48.114, 169.56.69.242, 169.56.96.42, 104.94.220.124, 104.94.221.124, 104.94.222.132, 104.94.223.132, 104.96.176.124, 104.96.177.124, 104.96.178.126, 104.96.179.126, 104.96.180.123, 104.96.181.123
南アジア太平洋地域 (syd01syd04syd05) 130.198.64.19, 130.198.66.26, 130.198.79.170, 130.198.83.34, 130.198.102.82, 135.90.66.2, 135.90.68.114, 135.90.69.66, 135.90.69.82, 135.90.89.234, 168.1.6.106, 168.1.8.195, 168.1.12.98, 168.1.39.34, 168.1.58.66, 104.94.220.125, 104.94.221.125, 104.94.222.133, 104.94.223.133, 104.96.176.125, 104.96.177.125, 104.96.178.127, 104.96.179.127, 104.96.180.124, 104.96.181.124
中欧 (ams03mil01par01fra02fra04fra05) 149.81.103.98, 149.81.104.122, 149.81.113.154, 149.81.123.18, 149.81.142.90, 149.81.180.114, 149.81.180.122, 149.81.68.2, 149.81.78.114, 158.177.102.162, 158.177.107.50, 158.177.112.146, 158.177.138.138, 158.177.151.2, 158.177.156.178, 158.177.198.138, 158.177.79.34, 159.122.141.69, 159.122.150.2, 159.8.79.250, 159.8.86.149, 159.8.95.34, 161.156.115.138, 161.156.120.74, 161.156.12.82, 161.156.183.218, 161.156.187.226, 161.156.65.42, 161.156.65.82, 161.156.74.10, 161.156.79.26, 169.50.146.82, 169.50.169.110, 169.50.184.18, 169.50.56.174, 169.51.197.18, 104.94.220.127, 104.94.221.127, 104.94.222.135, 104.94.223.135, 104.96.176.127, 104.96.177.127, 104.96.178.129, 104.96.179.129, 104.96.180.126, 104.96.181.126
マドリッド (mad02mad04mad05) 13.120.65.98, 13.120.127.250, 13.121.64.178, 13.121.64.186, 13.122.65.10, 13.122.65.34, 2.18.48.89, 2.18.49.89, 2.18.50.89, 2.18.51.89, 2.18.52.89, 2.18.53.89, 2.18.54.89, 2.18.55.89, 23.40.100.89, 23.7.244.89
大阪 (osa21osa22osa23) 163.68.69.114, 163.68.69.122, 163.69.65.114, 163.69.65.122, 163.73.64.250, 163.73.65.194, 104.94.220.131, 104.94.221.131, 104.94.222.139, 104.94.223.139, 104.96.176.131, 104.96.177.131, 104.96.178.133, 104.96.179.133, 104.96.180.130, 104.96.181.130
サンパウロ (sao01sao04sao05) 163.107.65.194, 163.107.65.202, 163.109.65.154, 163.109.65.242, 169.57.159.130, 169.57.254.50, 104.94.220.129, 104.94.221.129, 104.94.222.137, 104.94.223.137, 104.96.176.129, 104.96.177.129, 104.96.178.131, 104.96.179.131, 104.96.180.128, 104.96.181.128
トロント (tor01tor04tor05) 158.85.77.114, 163.74.65.250, 163.75.64.162, 104.94.220.132, 104.94.221.132, 104.94.222.140, 104.94.223.140, 104.96.176.132, 104.96.177.132, 104.96.178.134, 104.96.179.134, 104.96.180.131, 104.96.181.131
英国南部 (lon02lon04lon05lon06) 141.125.102.106, 141.125.66.26, 141.125.67.34, 141.125.77.58, 141.125.91.138, 158.175.111.42, 158.175.125.194, 158.175.139.130, 158.175.150.122, 158.175.65.170, 158.175.77.178, 158.175.82.50, 158.176.123.130, 158.176.135.242, 158.176.142.26, 158.176.149.154, 158.176.71.242, 158.176.94.26, 158.176.95.146, 159.122.224.242, 159.122.242.78, 104.94.220.126, 104.94.221.126, 104.94.222.134, 104.94.223.134, 104.96.176.126, 104.96.177.126, 104.96.178.128, 104.96.179.128, 104.96.180.125, 104.96.181.125
米国東部 (mon01wdc04wdc06wdc07) 158.85.97.34, 169.47.162.130, 169.47.174.106, 169.53.167.50, 169.53.171.210, 169.54.126.219, 169.54.80.106, 169.54.94.26, 169.60.100.242, 169.60.101.42, 169.60.111.58, 169.60.73.142, 169.60.92.50, 169.60.92.66, 169.61.109.34, 169.61.110.66, 169.61.74.210, 169.61.83.62, 169.62.10.162, 169.62.9.250, 169.63.106.50, 169.63.111.82, 169.63.149.122, 169.63.158.82, 169.63.160.130, 169.63.66.226, 169.63.75.82, 169.63.88.178, 169.63.88.186, 169.63.94.210, 52.117.72.42, 52.117.88.42, 104.94.220.128, 104.94.221.128, 104.94.222.136, 104.94.223.136, 104.96.176.128, 104.96.177.128, 104.96.178.130, 104.96.179.130, 104.96.180.127, 104.96.181.127
米国南部 (sjc03, sjc04, dal10, dal12, dal13) 50.22.129.34, 52.116.231.210, 52.116.254.234, 52.116.54.122, 52.117.197.210, 52.117.212.34, 52.117.215.162, 52.117.232.194, 52.117.240.106, 52.117.28.138, 67.228.97.210, 169.45.126.154, 169.45.67.210, 169.45.88.98, 169.46.110.218, 169.46.111.122, 169.46.16.202, 169.46.24.210, 169.46.27.234, 169.46.63.250, 169.46.68.234, 169.46.7.238, 169.46.89.50, 169.47.109.34, 169.47.115.18, 169.47.201.194, 169.47.209.66, 169.47.229.90, 169.47.232.210, 169.47.239.34, 169.47.242.242, 169.47.70.10, 169.47.71.138, 169.48.110.250, 169.48.143.218, 169.48.161.242, 169.48.226.2, 169.48.230.146, 169.48.244.66, 169.57.100.18, 169.57.13.10, 169.57.147.58, 169.57.151.10, 169.57.154.98, 169.59.219.90, 169.59.223.194, 169.59.230.98, 169.60.128.2, 169.60.170.234, 169.61.175.106, 169.61.177.2, 169.61.187.58, 169.61.228.138, 169.61.28.66, 169.61.29.194, 169.61.60.130, 169.62.166.98, 169.62.189.26, 169.62.206.234, 169.62.230.114, 169.62.82.197, 169.62.87.170, 169.62.97.218, 169.63.39.66, 169.63.47.250, 104.94.220.130, 104.94.221.130, 104.94.222.138, 104.94.223.138, 104.96.176.130, 104.96.177.130, 104.96.178.132, 104.96.179.132, 104.96.180.129, 104.96.181.129

ワーカー・ノードが IBM Cloud Container Registry と通信できるようにする

ワーカーノードから IBM Cloud Container Registry への発信ネットワークトラフィックを許可する。 詳しくは、 ファイアウォールを介した IBM Cloud Container Registry へのアクセス を参照してください。

ワーカー・ノードから IAM への発信ネットワーク・トラフィックを許可する

ワーカー・ノードから IBM Cloud ID およびアクセス管理 (IAM) への発信ネットワーク・トラフィックを許可します。 IAMドメイン名を許可するには、allowlistをレイヤー7にする必要がある。 IAM には、許可できる特定の IP アドレスがありません。 許可リストがレイヤー7をサポートしていない場合、ポート443上のすべての HTTPS ネットワークトラフィックを許可することができます。

  • TCP port 443 FROM <each_worker_node_publicIP> TO https://iam.bluemix.net
  • TCP port 443 FROM <each_worker_node_publicIP> TO https://iam.cloud.ibm.com

オプション: ワーカー・ノードから Monitoring サービスと IBM Cloud Logs サービスへの発信ネットワーク・トラフィックを許可する

  • IBM Cloud Monitoring:

    • TCP port 443, port 6443 FROM <each_worker_node_public_IP> TO <monitoring_public_IP>
    • <monitoring_public_IP>Monitoring IP アドレスで置き換えます。
  • IBM Cloud Logs:

次のステップ

ロード・バランサー・サービスを使用している場合は、VRRP プロトコルを使用するすべてのトラフィックが、パブリック・インターフェースおよびプライベート・インターフェースでのワーカー・ノード間で許可されることを確認します。Red Hat OpenShift on IBM Cloud では、パブリック・ロード・バランサーおよびプライベート・ロード・バランサーの IP アドレスを管理するために VRRP プロトコルが使用されます。

Ingress または routes を使用してクラスタ内のアプリケーションを公開している場合は、 Red Hat OpenShift コントロール・プレーンがルーターの正常性をチェックできるよう、ポート 80 の アカマイのソース IP アドレスからルーター・サービスの IP アドレスへのネットワーク・トラフィックの着信を許可してください。

プライベート許可リストで必要なポートを開く

Virtual Router Appliance (Vyatta) のような IBM Cloud インフラアカウントのプライベートネットワークに allowlist がある場合、ワーカーノードがマスターと、相互に、インフラリソースと、他の IBM Cloud サービスと通信できるように、allowlist で IP 範囲、ポート、プロトコルを開く必要があります。

開始前に

  1. IBM Cloud インフラストラクチャーのプライベート IP の範囲を許可して、クラスター内にワーカー・ノードを作成できるようにします。

    1. IBM Cloud インフラストラクチャーのプライベート IP のために適切な範囲を許可します。 Backend (private) Network を参照してください。
    2. 使用しているすべての ゾーン について、IBM Cloud インフラストラクチャー・プライベート IP 範囲を許可します。 注意: 166.8.0.0/14161.26.0.0/16 のIP範囲、dal10wdc04 ゾーンのIP範囲を追加する必要があります。 Service Network (on backend/private network) を参照してください。
  2. クラスター内のすべてのワーカー・ノードのプライベート IP アドレスをメモします。

    ibmcloud oc worker ls --cluster <cluster_name_or_ID>
    

ワーカー・ノードがクラスター・マスターと通信できるようにする

ワーカー・ノードがプライベート・クラウド・サービス・エンドポイントを介してクラスター・マスターと通信できるようにするには、ソース <each_worker_node_privateIP> から宛先 TCP/UDP ポート範囲 30000 から 32767 および ポート 443、および以下の IP アドレスとネットワーク・グループへの発信ネットワーク・トラフィックを許可します。

この表は変化します。 最新の IP リストおよび継続的な更新については、 IBM/kube-samples リポジトリー内のプライベート・ネットワーク分離フォルダーを参照してください。 プルリクエストをレポでウォッチし、アップデートを求めることができる。

  • TCP/UDP port range 30000-32767, port 443 FROM <each_worker_node_privateIP> TO <private_IPs>
  • <private_IPs> を、クラスターが配置されているリージョンのプライベート IP アドレスで置き換えます。
発信トラフィック用に開く IP アドレス
リージョン プライベート IP アドレス
APノース (che01, sng01, tok02, tok04, tok05) 166.9.40.102, 166.9.40.21, 166.9.40.36, 166.9.40.39, 166.9.40.6, 166.9.40.7, 166.9.40.8, 166.9.40.88, 166.9.42.23, 166.9.42.28, 166.9.42.55, 166.9.42.6, 166.9.42.7, 166.9.42.97, 166.9.44.15, 166.9.44.3, 166.9.44.4, 166.9.44.47, 166.9.44.5, 166.9.44.88, 166.9.46.4, 166.9.60.2, 166.9.60.4, 166.9.249.106, 166.9.249.136, 166.9.249.170
南アジア太平洋地域 (syd01syd04syd05) 166.9.52.14, 166.9.52.15, 166.9.52.23, 166.9.52.30, 166.9.52.31, 166.9.54.11, 166.9.54.12, 166.9.54.13, 166.9.54.21, 166.9.54.32, 166.9.54.33, 166.9.56.10, 166.9.56.11, 166.9.56.16, 166.9.56.24, 166.9.56.36, 166.9.244.107, 166.9.244.137, 166.9.244.171
中欧 (ams03mil01par01fra02fra04fra05) 166.9.28.107, 166.9.28.17, 166.9.28.19, 166.9.28.20, 166.9.28.203, 166.9.28.22, 166.9.28.23, 166.9.28.235, 166.9.28.24, 166.9.28.240, 166.9.28.43, 166.9.28.64, 166.9.28.84, 166.9.28.87, 166.9.28.91, 166.9.28.94, 166.9.28.95, 166.9.30.100, 166.9.30.11, 166.9.30.116, 166.9.30.12, 166.9.30.13, 166.9.30.22, 166.9.30.41, 166.9.30.54, 166.9.30.56, 166.9.30.9, 166.9.30.92, 166.9.32.101, 166.9.32.185, 166.9.32.20, 166.9.32.26, 166.9.32.27, 166.9.32.44, 166.9.32.54, 166.9.32.56, 166.9.32.84, 166.9.32.88, 166.9.32.9, 166.9.248.77, 166.9.248.106, 166.9.248.137
マドリッド (mad02mad04mad05) 166.9.94.6, 166.9.95.6, 166.9.96.6, 166.9.94.7, 166.9.95.7, 166.9.96.7
大阪 (osa21osa22osa23) 166.9.70.6, 166.9.70.8, 166.9.71.8, 166.9.71.10, 166.9.72.9, 166.9.72.10, 166.9.247.41, 166.9.247.75, 166.9.247.107
英国南部 (lon02lon04lon05lon06) 166.9.34.17, 166.9.34.41, 166.9.34.45, 166.9.34.5, 166.9.34.50, 166.9.34.6, 166.9.34.77, 166.9.36.10, 166.9.36.11, 166.9.36.12, 166.9.36.13, 166.9.36.23, 166.9.36.30, 166.9.36.53, 166.9.36.65, 166.9.36.95, 166.9.38.18, 166.9.38.28, 166.9.38.46, 166.9.38.54, 166.9.38.6, 166.9.38.7, 166.9.38.75, 166.9.244.12, 166.9.244.48, 166.9.244.75
米国東部 (mon01tor01wdc04wdc06wdc07) 166.9.20.11, 166.9.20.117, 166.9.20.12, 166.9.20.13, 166.9.20.187, 166.9.20.38, 166.9.20.42, 166.9.20.63, 166.9.20.80, 166.9.22.10, 166.9.22.109, 166.9.22.211, 166.9.22.215, 166.9.22.26, 166.9.22.43, 166.9.22.51, 166.9.22.52, 166.9.22.8, 166.9.22.9, 166.9.24.19, 166.9.24.196, 166.9.24.198, 166.9.24.22, 166.9.24.35, 166.9.24.4, 166.9.24.45, 166.9.24.47, 166.9.24.5, 166.9.24.90, 166.9.68.130, 166.9.68.134, 166.9.68.34, 166.9.68.47, 166.9.231.217, 166.9.232.15, 166.9.251.118
米国南部 (sao01sjc03sjc04dal10dal12dal13) 166.9.12.140, 166.9.12.141, 166.9.12.142, 166.9.12.143, 166.9.12.144, 166.9.12.151, 166.9.12.193, 166.9.12.196, 166.9.12.26, 166.9.12.99, 166.9.13.31, 166.9.13.93, 166.9.13.94, 166.9.14.122, 166.9.14.125, 166.9.14.202, 166.9.14.204, 166.9.14.205, 166.9.14.95, 166.9.15.130, 166.9.15.69, 166.9.15.70, 166.9.15.71, 166.9.15.72, 166.9.15.73, 166.9.15.74, 166.9.15.75, 166.9.15.76, 166.9.16.113, 166.9.16.137, 166.9.16.149, 166.9.16.183, 166.9.16.184, 166.9.16.185, 166.9.16.38, 166.9.16.39, 166.9.16.5, 166.9.17.2, 166.9.17.35, 166.9.17.37, 166.9.17.39, 166.9.48.124, 166.9.48.171, 166.9.48.175, 166.9.48.240, 166.9.48.35, 166.9.48.50, 166.9.48.76, 166.9.51.104, 166.9.51.106, 166.9.51.16, 166.9.51.54, 166.9.51.74, 166.9.58.104, 166.9.58.11, 166.9.58.16, 166.9.58.170, 166.9.58.210, 166.9.58.64, 166.9.58.65, 166.9.59.125, 166.9.59.147, 166.9.61.15, 166.9.61.54, 166.9.85.114, 166.9.88.186, 166.9.88.196, 166.9.88.21, 166.9.228.8, 166.9.229.10, 166.9.230.9

開いているポート

ワーカー・ノードが正しく機能するように、許可リスト内の以下のポートを開きます。 以下のポートは、すべての宛先 IP を開く必要があります。

  • ワーカー・ノードの更新および再ロードを許可するために、ワーカーからポート 80 および 443 へのアウトバウンド TCP および UDP 接続を許可します。
  • ボリュームとしてファイル・ストレージのマウントを許可するために、ポート 2049 へのアウトバウンド TCP および UDP を許可します。
  • ブロック・ストレージに対する通信用に、ポート 3260 へのアウトバウンド TCP と UDP を許可します。
  • Red Hat OpenShift ダッシュボード、および oc logsoc exec などのコマンドのために、ポート 10250 へのインバウンド TCP および UDP 接続を許可します。
  • DNS アクセスのために、TCP および UDP のポート 53 およびポート 5353 へのインバウンドおよびアウトバウンドの接続を許可します。

ワーカー間の通信を有効にする

Red Hat OpenShift on IBM Cloud は、VRRP プロトコルを使用してロードバランサーの IP アドレスを管理し、IPEncap プロトコルを使用してサブネット間のポッド間トラフィックを許可します。

ワーカー・ノードが IBM Cloud Container Registry と通信できるようにする

ワーカー・ノードが IBM Cloud Container Registry と通信できるようにするには、ワーカー・ノードから IBM Cloud Container Registry リージョンへの発信ネットワーク・トラフィックを許可します。

  • TCP port 443 FROM <each_worker_node_privateIP> TO <registry_ip>
  • <registry_ip> を、トラフィックを許可するレジストリー IP アドレスに置き換えます。 グローバル・レジストリーには IBM 提供のパブリック・イメージが保管され、リージョン・レジストリーにはユーザー独自のプライベート・イメージまたはパブリック・イメージが保管されます。

2022 年 6 月 23 日には、 br-sao 地域と ca-tor 地域のみが変更されました。 残りの地域は 2022 年 7 月 5 日に変更されました。 詳しくは、 Container Registry 2022 年 7 月 5 日に変更されたプライベート IP アドレス を参照してください。

レジストリー・トラフィック用に開く IP アドレス
Red Hat OpenShift on IBM Cloud リージョン レジストリー・アドレス レジストリ・プライベートIPアドレス、2022年7月5日まで 2022年7月5日以降のレジストリ・プライベートIPアドレス
Red Hat OpenShift on IBM Cloud 地域間のグローバル・レジストリー private.icr.io cp.icr.io 166.9.20.31, 166.9.22.22, 166.9.24.16 166.9.251.49, 166.9.251.82, 166.9.251.113
アジア太平洋北部 private.jp.icr.io 166.9.40.20, 166.9.42.21, 166.9.44.12 166.9.249.104, 166.9.249.157, 166.9.249.168
アジア太平洋南部 private.au.icr.io 166.9.52.20, 166.9.54.19, 166.9.56.13 166.9.244.106, 166.9.244.136, 166.9.244.170
中欧 private.de.icr.io 166.9.28.35, 166.9.30.2, 166.9.32.2 166.9.248.76, 166.9.248.105, 166.9.248.136
マドリッド private.es.icr.io 該当なし 166.9.248.76, 166.9.248.105, 166.9.248.136
大阪 private.jp2.icr.io 166.9.70.4, 166.9.71.5, 166.9.72.6 166.9.247.39, 166.9.247.73, 166.9.247.105
サンパウロ private.br.icr.io 166.9.82.13, 166.9.83.13, 166.9.84.13 166.9.246.72, 166.9.246.104, 166.9.246.130
トロント private.ca.icr.io 166.9.76.12, 166.9.77.11, 166.9.78.11 166.9.247.143, 166.9.247.170, 166.9.247.207
英国南部 private.uk.icr.io 166.9.36.19, 166.9.38.14, 166.9.34.12 166.9.244.9, 166.9.244.45, 166.9.244.73
米国東部、米国南部 private.us.icr.io 166.9.12.227, 166.9.15.116, 166.9.16.244 166.9.250.214, 166.9.250.246, 166.9.251.21

オプション: IBM Cloud Logs、 IBM Cloud Monitoring サービスのallowlistルールを設定する

ロギングとメトリックデータを送信するには、 IBM Cloud Logs と IBM Cloud Monitoring サービスに allowlist ルールを設定します。

インバウンド・トラフィックのためのパブリック許可リストまたはプライベート許可リスト内のポートのオープン

NodePort サービス、ロード・バランサー・サービス、Ingress サービス、および Red Hat OpenShift 経路への着信アクセスを許可することができます。

NodePort サービス
トラフィックの宛先として許可するすべてのワーカー・ノードに関してパブリック/プライベート IP アドレスにサービスをデプロイしたときに構成したポートを開きます。 ポートを見つけるには、oc get svc を実行します。 ポートの範囲は 20000 から 32000 までです。
ロード・バランサー・サービス
ロード・バランサー・サービスのパブリック IP アドレスまたはプライベート IP アドレスへのサービスのデプロイ時に構成したポートを開きます。
Ingress
Ingress アプリケーション・ロード・バランサーのパブリック IP アドレスおよびプライベート IP アドレスへのポート 80 (HTTP の場合) またはポート 443 (HTTPS の場合) を開きます。
ルート
ルーターのパブリック IP アドレスへのポート 80 (HTTP の場合) およびポート 443 (HTTPS の場合) を開きます。

クラスターからの Calico ネットワーク・ポリシーを介したリソースへのアクセスの許可

ゲートウェイallowlistデバイスをセットアップする代わりに、 Calico ネットワークポリシーを 使用して、パブリックまたはプライベートネットワーク上でクラスタallowlistとして動作するように選択することができます。 詳細は以下のトピックを参照。

他のサービスの許可リストまたはオンプレミスの許可リストでクラスタからのトラフィックを許可する

IBM Cloud またはオンプレミスの内部または外部で実行され、allowlist で保護されているサービスにアクセスしたい場合は、allowlist にワーカーノードの IP アドレスを追加して、クラスタへの送信ネットワークトラフィックを許可することができます。 たとえば、allowlist で保護されている IBM Cloud データベースからデータを読み出したい場合や、オンプレミスの allowlist でワーカーノードのサブネットを指定してクラスタからのネットワークトラフィックを許可したい場合などです。

  1. Red Hat OpenShift クラスターにアクセスします

  2. ワーカー・ノードのサブネットやワーカー・ノードの IP アドレスを取得します。

    • ワーカーノードのサブネットワーカーノードのサブネット: クラスタのオートスケーラを 有効にした場合など、クラスタ内のワーカーノード数を頻繁に変更することが予想される場合、新しいワーカーノードごとにallowlistを更新したくない場合があります。 代わりに、クラスターで使用している VLAN サブネットを追加してください。 ただし、VLAN サブネットは、他のクラスターのワーカー・ノードと共有されている可能性があることを忘れないでください。 Red Hat OpenShift on IBM Cloud がクラスターのためにプロビジョンするプライマリー・パブリック・サブネットには 14 個の使用可能な IP アドレスが含まれおり、このサブネットは、同じ VLAN にある他のクラスターと共有される可能性があります。 ワーカー・ノード数が 14 台を超えると、追加のサブネットが注文されるので、許可する必要があるサブネットが変わる可能性があります。 変更の頻度を下げるには、CPU とメモリー・リソースの高いワーカー・ノード・フレーバーのワーカー・プールを作成してください。そうすれば、ワーカー・ノードをそれほど頻繁に追加する必要がなくなります。

      1. クラスター内のワーカー・ノードをリストします。

        ibmcloud oc worker ls --cluster <cluster_name_or_ID>
        
      2. 前のステップの出力から、クラスター内のワーカー・ノードのパブリック IP の固有ネットワーク ID (最初の 3 つのオクテット) をすべてメモしてください。 以下の出力では、固有ネットワーク ID は 169.xx.178169.xx.210 です。

        ID                                                  Public IP        Private IP     Machine Type        State    Status   Zone    Version   
        kube-dal10-crb2f60e9735254ac8b20b9c1e38b649a5-w31   169.xx.178.101   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal10   1.32   
        kube-dal10-crb2f60e9735254ac8b20b9c1e38b649a5-w34   169.xx.178.102   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal10   1.32  
        kube-dal12-crb2f60e9735254ac8b20b9c1e38b649a5-w32   169.xx.210.101   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal12   1.32   
        kube-dal12-crb2f60e9735254ac8b20b9c1e38b649a5-w33   169.xx.210.102   10.xxx.xx.xxx   b3c.4x16.encrypted   normal   Ready    dal12   1.32  
        
      3. それぞれの固有ネットワーク ID の VLAN サブネットをリストします。

        ibmcloud sl subnet list | grep -e <networkID1> -e <networkID2>
        

        出力例

        ID        identifier       type                 network_space   datacenter   vlan_id   IPs   hardware   virtual_servers
        1234567   169.xx.210.xxx   ADDITIONAL_PRIMARY   PUBLIC          dal12        1122334   16    0          5   
        7654321   169.xx.178.xxx   ADDITIONAL_PRIMARY   PUBLIC          dal10        4332211   16    0          6    
        
      4. サブネット・アドレスを取得します。 出力中の IP の数を確認します。 次に、IP の数と等しくなるのは 2n 乗かを計算します。 例えば、IP の数が 16 であれば、24 (n) 乗が 16 に等しくなります。 n ビットから 32 の値を減算すれば、サブネットの CIDR が求まります。 例えば、n4 の場合、CIDR は 28 になります (式 32 - 4 = 28)。 identifier のマスクと CIDR の値を組み合わせれば、完全なサブネット・アドレスになります。 前の出力では、サブネット・アドレスは次になります。

        • 169.xx.210.xxx/28
        • 169.xx.178.xxx/28
    • 個々のワーカー・ノード IP アドレス: 1 つのアプリのみを実行する少数のワーカー・ノードがあり、スケーリングする必要がない場合、または 1 つのワーカー・ノードのみを追加する場合は、クラスター内のすべてのワーカー・ノードをリストし、パブリック IP アドレスを書き留めておきます。 ワーカー・ノードをプライベート・ネットワークだけに接続し、プライベート・クラウド・サービス・エンドポイントを使用して IBM Cloud サービスに接続する場合は、プライベート IP アドレスをメモします。 それらのワーカー・ノードだけを追加します。 ワーカーノードを削除したり、クラスタにワーカーノードを追加した場合は、それに応じてallowlistを更新する必要があります。

      ibmcloud oc worker ls --cluster <cluster_name_or_ID>
      
  3. サブネットのCIDRまたはIPアドレスを、アウトバウンド・トラフィックの場合はサービスの許可リストに、インバウンド・トラフィックの場合はオンプレミスの許可リストに追加します。

  4. トラフィックを許可するクラスターごとに、これらのステップを繰り返します。

Kubernetes ServiceネットワークゾーンのIAM許可リストの更新

デフォルトでは、すべての IP アドレスを使用して IBM Cloud コンソールにログインし、クラスターを管理するためのアクション (資格情報の作成、更新、削除、表示など) を実行できます。 IBM Cloud の ID およびアクセス管理 (IAM) のコンソールで、アクセスを許可する IP アドレスを指定して許可リストを作成することができます。すると、それ以外の IP アドレスはすべて制限されます。

allowlist では、Red Hat OpenShift on IBM Cloud が Ingress ALB や Red Hat OpenShift Web コンソールなどのコンポーネントを作成またはアクセスできるように、クラスタが配置されている地域の Red Hat OpenShift on IBM Cloud コントロールプレーンにもネットワークゾーンを設定する必要があります。

始めに、以下の手順では、クラスターのリージョンおよびリソース・グループ・インフラストラクチャーの許可に使用される資格情報を持つユーザーの IAM 許可リストを変更する必要があります。 その資格情報の所有者であれば、自分で IAM 許可リストの設定を変更できます。 資格情報の所有者ではないが、 ユーザー管理 サービスの編集者または管理者 IBM Cloud IAM プラットフォームアクセスロールが割り当てられている場合は、資格情報の所有者のネットワークを更新できます。

  1. クラスターのリージョンおよびリソース・グループのインフラストラクチャー権限として使用されているユーザー資格情報を調べます。

    1. クラスターのリージョンおよびリソース・グループの API キーを確認します。

      ibmcloud oc api-key info --cluster <cluster_name_or_ID>
      

      出力例

      Getting information about the API key owner for cluster <cluster_name>...
      OK
      Name                Email   
      <user_name>         <name@email.com>
      
    2. リージョンおよびリソース・グループのインフラストラクチャー・アカウントが、別の IBM Cloud インフラストラクチャー・アカウントを使用するように手動で設定されているかどうかを確認します。

      ibmcloud oc credential get --region <us-south>
      

      別のアカウントを使用するように資格情報が設定されている場合の出力例。 この場合、前のステップで取得した API キーに別のユーザーの資格情報が保管されていても、ターゲットにしたリージョンとリソース・グループには、ユーザーのインフラストラクチャー資格情報が使用されます。

      OK
      Infrastructure credentials for user name <1234567_name@email.com> set for resource group <resource_group_name>.
      

      別のアカウントを使用するように資格情報が設定されていない場合の出力例。 この場合、前のステップで取得した API キーの所有者は、リージョンおよびリソース・グループに使用されるインフラストラクチャー資格情報を持っています。

      FAILED
      No credentials set for resource group <resource_group_name>.: The user credentials could not be found. (E0051)
      
  2. IBM Cloud コンソールにログインする。

  3. Kubernetes ServiceのIPを含むネットワークゾーンを、すべてのリージョン、またはクラスタがあるリージョンだけに作成します。

    1. クラスターのアカウントで、メニューバーから管理 > コンテキストベースの制限をクリックします。

    2. ネットワークゾーン > 作成をクリックします。

    3. 名前には、us-south-kubernetes-service-network-zone のように、ネットワークゾーンの説明的な名前を入力します。

    4. 許可するIPアドレスおよび許可するVPC セクションには値を入力しないでください。

    5. サービスの参照セクションで、Kubernetes Service を選択し、+ をクリックします。

    6. ロケーションでは、フィールドを空のままにして、すべてのロケーションを使用することもできます。

    7. 次へ」をクリックし、選択内容を確認する。

    8. 「作成」 をクリックします。

    9. ゾーンを追加する場合はこれを繰り返す。

  4. ネットワークゾーン名をIAM allowlistに追加する。

    1. メニューバーから [管理 ]>[ アクセス(IAM)]をクリックし、 [設定]を選択する。

    2. IPアドレスアクセスを制限する] の下で、 [有効にする] を選択し、前のステップで指定したネットワークゾーン名を入力します。

    3. **「適用」**をクリックします。

Kubernetes Service サブネット IP アドレスの取得

手順に従って、IAM 許可リストに追加する正しいサブネット IP アドレスを取得します。

コンソールでのサブネット IP アドレスの取得

  1. IBM Cloud コンソールリソースリスト から、クラスタをクリックします。
  2. Worker nodes をクリックする。
  3. クラスター内のワーカー・ノードによって使用される各 パブリック VLAN をメモします。 複数のワーカー・ノードが同じパブリック VLAN を使用する可能性があります。
  4. IBM Cloud から メニューアイコン をクリックし、 インフラストラクチャ > クラシックインフラストラクチャ > IP管理 > VLAN の順にクリックします。
  5. 各パブリックVLANをクリックして、クラスタ内のワーカーノードで使用されているかどうかを確認します。
  6. クラスター内のワーカー・ノードによって使用されるパブリック VLAN ごとに、 「サブネット」 セクションを見つけ、表に含まれている各 IP アドレスをメモします。 これらは、許可リストに含める必要がある IP アドレスです。

CLI でのサブネット IP アドレスの取得

  1. ワーカー・ノードが使用するパブリック VLAN をリストします。 出力は publicVLAN=<vlan_id> のようにフォーマット設定されます。

    oc describe nodes | grep publicVLAN | sort | uniq
    
  2. パブリック VLAN ごとに、関連付けられたパブリック・サブネットを見つけます。 出力で、 identifier 列のサブネット IP アドレスをメモします。

    ibmcloud sl subnet list | grep <vlan-id>
    

    ID 2761690 のパブリック VLAN に関連付けられたサブネットの出力例。

    ID        identifier        type                 network_space   datacenter   vlan_id   IPs   hardware   virtual_servers  
    1962263   169.62.46.56      SECONDARY_ON_VLAN    PUBLIC          wdc07        2761690   8     0          0   
    2008207   169.62.39.248     SECONDARY_ON_VLAN    PUBLIC          wdc07        2761690   8     0          0   
    2342562   169.62.2.128      ADDITIONAL_PRIMARY   PUBLIC          wdc07        2761690   16    0          5
    
  3. ワーカー・ノードをリストし、それらのパブリック IP を取得します。 出力では、パブリック IP が 「外部 IP (External-IP)」 列にリストされます。 これらの IP アドレスのうち、前にリストしたサブネットに含まれているものをメモし、それらのサブネット ID をメモします。

  4. サブネット ID ごとに、コマンドを実行してサブネットの詳細を取得します。 各出力で、 identifier 列の IP アドレスをメモします。 これは、IAM 許可リストに追加する必要がある IP アドレスです。

    ibmcloud sl subnet detail <subnet_id>
    

    出力例

    Name             Value   
    ID               2342562   
    identifier       169.62.2.128/28   
    subnet type      ADDITIONAL_PRIMARY   
    network space    PUBLIC   
    gateway          169.62.2.129   
    broadcast        169.62.2.143   
    datacenter       wdc07   
    usable ips       13   
    IP address       ID          IP address      
                    186531376   169.62.2.128      
                    186531378   169.62.2.129      
                    186531380   169.62.2.130      
                    186531382   169.62.2.131      
                    186531384   169.62.2.132      
                    186531386   169.62.2.133      
                    186531388   169.62.2.134      
                    186531390   169.62.2.135      
                    186531392   169.62.2.136      
                    186531394   169.62.2.137      
                    186531396   169.62.2.138      
                    186531398   169.62.2.139      
                    186531400   169.62.2.140      
                    186531402   169.62.2.141      
                    186531404   169.62.2.142      
                    186531406   169.62.2.143      
    
    virtual guests   hostname                                                 domain    public_ip      private_ip      
                    kube-c8ofi5pw077drsbovf90-roks47class-default-00000187   iks.ibm   169.62.2.130   10.191.55.109      
                    kube-c8ofi5pw077drsbovf90-roks47class-default-000002a2   iks.ibm   169.62.2.133   10.191.55.108      
                    kube-c8ofi5pw077drsbovf90-roks47class-default-00000372   iks.ibm   169.62.2.135   10.191.55.121      
                    kube-c8ofh6kw0jj8l6jovf8g-iks22classi-default-00000219   iks.ibm   169.62.2.132   10.191.55.105      
                    kube-c8ofh6kw0jj8l6jovf8g-iks22classi-default-0000012f   iks.ibm   169.62.2.134   10.191.55.107