許可リストで必要なポートとIPアドレスを開く
クラシック・クラスター
この許可リストの情報は、クラシック・クラスタに特有のものである。 VPCクラスタの場合は、 VPCクラスタの許可リストで必要なポートとIPアドレスを開くを 参照してください。
Red Hat® OpenShift® on IBM Cloud® クラスタの許可リストで、特定のポートや IP アドレスをオープンする必要がある場合について説明します。
- 企業の許可リスト :企業のネットワーク・ポリシーにより、ローカル・システムからプロキシまたはallowlistsを介したパブリック・エンドポイントへのアクセスが禁止されている場合は、ローカル・システムから
ibmcloud
、ibmcloud oc
、ibmcloud cr
、oc
、calicoctl
のコマンドを実行するためのアクセスを許可する必要があります。 - ゲートウェイアプライアンスの許可リスト :VRA などの IBM Cloud インフラストラクチャアカウントのパブリックまたはプライベートネットワークに allowlists を設定している場合は、ワーカーノードがマスタ、インフラストラクチャリソース、および他の IBM Cloud サービスと通信できるように、IP 範囲、ポート、およびプロトコルを開く必要があります。 また、クラスター内のアプリを公開するサービスへの着信トラフィックを許可するためにポートを開くこともできます。
- Calico ネットワーク ポリシーを 使用する必要があります: ネットワーク ポリシーをすべてのワーカー ノードのイグレスを制限する許可リストとして使用する場合は、ワーカー ノードがクラスタが機能するために必要なリソースにアクセスできるようにする必要があります。 Calico
- その他のサービスまたはネットワークの許可リスト : IBM Cloud、またはオンプレミスネットワークの内部または外部で実行され、許可リストで保護されているサービスへのアクセスをクラスタに許可するには、ワーカーノードのIPアドレスを許可リストに追加する必要があります。
企業の許可リストでポートを開く
企業のネットワーク・ポリシーにより、ローカル・システムからプロキシや許可リストを介したパブリック・エンドポイントへのアクセスが禁止されている場合は、ローカル・システムから ibmcloud
ibmcloud oc
および コマンド ibmcloud cr
、 oc
コマンド、
calicoctl
コマンド を実行するためのアクセスを許可する必要があります。
allowlistの後ろから ibmcloud
、 ibmcloud oc
、 ibmcloud cr
のコマンドを実行する
企業のネットワーク・ポリシーにより、ローカル・システムからプロキシやallowlistを介したパブリック・エンドポイントへのアクセスが禁止されている場合、 ibmcloud
、 ibmcloud oc
、 ibmcloud cr
のコマンドを実行するには、 IBM Cloud、 Red Hat OpenShift on IBM Cloud、 IBM Cloud Container Registry
のTCPアクセスを許可する必要があります。
-
許可リストにポート443の
cloud.ibm.com
。 -
この API エンドポイントから IBM Cloud にログインして、接続を確認します。
ibmcloud login -a https://cloud.ibm.com/
-
許可リストにポート443の
containers.cloud.ibm.com
。 -
接続を確認します。 アクセスが正しく構成されている場合は、ゾーンが出力に表示されます。
curl https://containers.cloud.ibm.com/v1/zones
出力例
[{"id":"mon01","metro":""},{"id":"tor01","metro":""},{"id":"wdc04","metro":"Washington D.C."},{"id":"wdc06","metro":"Washington D.C."},{"id":"wdc07","metro":"Washington D.C."}]
-
allowlistで、ポート443で使う予定の IBM Cloud Container Registry リージョンへの アクセスを許可する。 グローバル・レジストリーには IBM 提供のパブリック・イメージが保管され、リージョン・レジストリーにはユーザー独自のプライベート・イメージまたはパブリック・イメージが保管されます。
-
コンテナ・レジストリの名前空間を一覧表示して、接続を確認する。
許可リストの背後からの oc
コマンドの実行
企業のネットワーク・ポリシーにより、ローカル・システムからプロキシまたはallowlistを経由したパブリック・エンドポイントへのアクセスが禁止されている場合、 oc
コマンドを実行するには、クラスタに対してTCPアクセスを許可する必要があります。
クラスターが作成されると、サービス・エンドポイント URL 内のポートが 30000 から 32767 の範囲内でランダムに割り当てられます。 作成される可能性があるクラスターに対してポート範囲 30000 から 32767 を開くことを選択するか、特定の既存クラスターに対してアクセスを許可するかを選択できます。
始めに、ibmcloud oc
コマンドを実行するためのアクセスを許可します。
特定のクラスターを対象にアクセスを許可するには、以下のようにします。
-
IBM Cloud CLI にログインします。 プロンプトが出されたら、IBM Cloud 資格情報を入力します。 統合されたアカウントがある場合は、
--sso
オプションを含めます。ibmcloud login [--sso]
-
default
以外のリソース・グループ内にクラスターがある場合は、そのリソース・グループをターゲットとして設定します。 各クラスターが属するリソース・グループを表示するには、ibmcloud oc cluster ls
を実行します。 注: リソース・グループに対するビューアー以上の役割が必要です。ibmcloud target -g <resource_group_name>
-
クラスターの名前を取得します。
ibmcloud oc cluster ls
-
クラスターのサービス・エンドポイント URL を取得します。
- パブリックのサービス・エンドポイント URL だけが設定されている場合は、その URL を取得します。 権限を持つクラスター・ユーザーは、パブリック・ネットワークでこのエンドポイントからマスターにアクセスできます。
- プライベートのサービス・エンドポイント URL だけが設定されている場合は、その URL を取得します。 権限を持つクラスター・ユーザーは、プライベート・ネットワークでこのエンドポイントからマスターにアクセスできます。
- パブリック・サービス・エンドポイント URL とプライベート・サービス・エンドポイント URL の両方が設定されている場合は、両方の URL を取得します。 権限を持つクラスター・ユーザーは、パブリック・ネットワークのパブリック・エンドポイントからでもプライベート・ネットワークのプライベート・エンドポイントからでもマスターにアクセスできます。
ibmcloud oc cluster get --cluster <cluster_name_or_ID>
出力例
... Public Service Endpoint URL: https://c3.<region>.containers.cloud.ibm.com:30426 Private Service Endpoint URL: https://c3-private.<region>.containers.cloud.ibm.com:31140 ...
-
前の手順で取得したサービス・エンドポイント URL とポートへのアクセスを許可します。 許可リストがIPベースの場合、 この表を 確認することで、サービス・エンドポイントURLへのアクセスを許可した際に、どのIPアドレスがオープンされたかを確認することができます。
-
接続を確認します。
-
パブリック・クラウド・サービス・エンドポイントが有効な場合:
curl --insecure <public_service_endpoint_URL>/version
コマンド例:
curl --insecure https://c3.<region>.containers.cloud.ibm.com:31142/version
出力例
{ "major": "1", "minor": "7+", "gitVersion": "v1.7.4-2+eb9172c211dc41", "gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534", "gitTreeState": "clean", "buildDate": "2017-11-16T08:13:08Z", "goVersion": "go1.8.3", "compiler": "gc", "platform": "linux/amd64" }
-
プライベート・クラウド・サービス・エンドポイントが有効な場合にマスターへの接続を確認するには、IBM Cloud プライベート・ネットワークの中で作業しているか、VPN 接続経由でプライベート・ネットワークに接続している必要があります。 注: プライベート・ロード・バランサーを介してマスター・エンドポイントを公開することで、ユーザーが VPN または IBM Cloud® Direct Link の接続を介してマスターにアクセスできるようにする必要があります。
curl --insecure <private_service_endpoint_URL>/version
コマンド例:
curl --insecure https://c3-private.<region>.containers.cloud.ibm.com:31142/version
出力例
{ "major": "1", "minor": "7+", "gitVersion": "v1.7.4-2+eb9172c211dc41", "gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534", "gitTreeState": "clean", "buildDate": "2017-11-16T08:13:08Z", "goVersion": "go1.8.3", "compiler": "gc", "platform": "linux/amd64" }
-
-
オプション: 公開する必要のあるクラスターごとに、上記のステップを繰り返します。
許可リストの背後からの calicoctl
コマンドの実行
企業のネットワーク・ポリシーによって、ローカル・システムからパブリック・エンドポイントへのアクセスがプロキシまたはallowlistsによって禁止されている場合、 calicoctl
コマンドを実行するには、 Calico コマンドの TCP アクセスを許可する必要があります。
始めに、ibmcloud
コマンドと oc
コマンドを実行するためのアクセスを許可します。
-
oc
コマンドの許可に使用したマスター URL から IP アドレスを取得します。 -
etcd のポートを取得します。
oc get cm -n kube-system cluster-info -o yaml | grep etcd_host
-
マスター URL の IP アドレスと etcd ポート経由の Calico ポリシーにおけるアクセスを許可します。
ゲートウェイアプライアンスの許可リストでポートを開く
Virtual Router Appliance (Vyatta) などの IBM Cloud インフラアカウントで パブリックネットワーク または プライベートネットワークに allowlist をセットアップしている場合、ワーカーノードがマスター、インフラリソース、他の IBM Cloud サービスと通信できるように IP 範囲、ポート、プロトコルを開く必要があります。
公開許可リストで必要なポートを開く
Virtual Router Appliance (Vyatta) のような IBM Cloud インフラアカウントでパブリックネットワーク上に allowlist がある場合、ワーカーノードがマスター、インフラリソース、他の IBM Cloud サービスと通信できるように、allowlist で IP 範囲、ポート、プロトコルを開く必要があります。
始める前に、クラスター内の各ワーカー・ノードのパブリック IP アドレスをメモします。
ibmcloud oc worker ls --cluster <cluster_name_or_ID>
ワーカー・ノードがクラスター・マスターと通信できるようにする
ワーカー・ノードがパブリック・クラウド・サービス・エンドポイントを介してクラスター・マスターと通信できるようにするには、ソース <each_worker_node_publicIP> から宛先 TCP/UDP ポート範囲 30000 から 32767 および ポート 443、および以下の IP アドレスとネットワーク・グループへの発信ネットワーク・トラフィックを許可します。 さらに、Ingress または経路を使用してクラスター内のアプリを公開する場合は、Red Hat OpenShift コントロール・プレーンがルーターの正常性を検査できるように、これらのポートを介するワーカー・ノードの IP アドレスへの着信ネットワーク・トラフィックも許可してください。
この表は変化します。 最新の IP リストおよび継続的な更新については、 IBM/kube-samples
リポジトリー内のパブリック・ネットワーク分離フォルダーを参照してください。
プルリクエストをレポでウォッチし、アップデートを求めることができる。
TCP/UDP port range 30000-32767, port 443 FROM <each_worker_node_publicIP> TO <public_IPs>
- <public_IPs> を、クラスターが配置されているリージョンのパブリック IP アドレスで置き換えます。
リージョン | パブリック IP アドレス |
---|---|
APノース (che01 , sng01 , tok02 , tok04 , tok05 ) |
119.81.194.90 , 119.81.222.210 , 128.168.106.194 , 128.168.71.117 , 128.168.75.194 , 128.168.85.154 , 135.90.69.66 , 135.90.69.82 , 161.202.126.210 ,
161.202.154.10 , 161.202.186.226 , 161.202.56.10 , 161.202.57.34 , 165.192.69.69 , 165.192.80.146 , 165.192.83.202 , 165.192.95.90 ,
169.38.68.178 , 169.38.70.10 , 169.38.79.170 , 169.56.1.162 , 169.56.132.234 , 169.56.48.114 , 169.56.69.242 , 169.56.96.42 , 104.94.220.124 ,
104.94.221.124 , 104.94.222.132 , 104.94.223.132 , 104.96.176.124 , 104.96.177.124 , 104.96.178.126 , 104.96.179.126 , 104.96.180.123 ,
104.96.181.123 |
南アジア太平洋地域 (syd01 、syd04 、syd05 ) |
130.198.64.19 , 130.198.66.26 , 130.198.79.170 , 130.198.83.34 , 130.198.102.82 , 135.90.66.2 , 135.90.68.114 , 135.90.69.66 , 135.90.69.82 ,
135.90.89.234 , 168.1.6.106 , 168.1.8.195 , 168.1.12.98 , 168.1.39.34 , 168.1.58.66 , 104.94.220.125 , 104.94.221.125 , 104.94.222.133 ,
104.94.223.133 , 104.96.176.125 , 104.96.177.125 , 104.96.178.127 , 104.96.179.127 , 104.96.180.124 , 104.96.181.124 |
中欧 (ams03 、mil01 、par01 、fra02 、fra04 、fra05 ) |
149.81.103.98 , 149.81.104.122 , 149.81.113.154 , 149.81.123.18 , 149.81.142.90 , 149.81.180.114 , 149.81.180.122 , 149.81.68.2 , 149.81.78.114 ,
158.177.102.162 , 158.177.107.50 , 158.177.112.146 , 158.177.138.138 , 158.177.151.2 , 158.177.156.178 , 158.177.198.138 , 158.177.79.34 ,
159.122.141.69 , 159.122.150.2 , 159.8.79.250 , 159.8.86.149 , 159.8.95.34 , 161.156.115.138 , 161.156.120.74 , 161.156.12.82 , 161.156.183.218 ,
161.156.187.226 , 161.156.65.42 , 161.156.65.82 , 161.156.74.10 , 161.156.79.26 , 169.50.146.82 , 169.50.169.110 , 169.50.184.18 , 169.50.56.174 ,
169.51.197.18 , 104.94.220.127 , 104.94.221.127 , 104.94.222.135 , 104.94.223.135 , 104.96.176.127 , 104.96.177.127 , 104.96.178.129 ,
104.96.179.129 , 104.96.180.126 , 104.96.181.126 |
マドリッド (mad02 、 mad04 、 mad05 ) |
13.120.65.98 , 13.120.127.250 , 13.121.64.178 , 13.121.64.186 , 13.122.65.10 , 13.122.65.34 , 2.18.48.89 , 2.18.49.89 , 2.18.50.89 ,
2.18.51.89 , 2.18.52.89 , 2.18.53.89 , 2.18.54.89 , 2.18.55.89 , 23.40.100.89 , 23.7.244.89 |
大阪 (osa21 、osa22 、osa23 ) |
163.68.69.114 , 163.68.69.122 , 163.69.65.114 , 163.69.65.122 , 163.73.64.250 , 163.73.65.194 , 104.94.220.131 , 104.94.221.131 , 104.94.222.139 ,
104.94.223.139 , 104.96.176.131 , 104.96.177.131 , 104.96.178.133 , 104.96.179.133 , 104.96.180.130 , 104.96.181.130 |
サンパウロ (sao01 、sao04 、sao05 ) |
163.107.65.194 , 163.107.65.202 , 163.109.65.154 , 163.109.65.242 , 169.57.159.130 , 169.57.254.50 , 104.94.220.129 , 104.94.221.129 ,
104.94.222.137 , 104.94.223.137 , 104.96.176.129 , 104.96.177.129 , 104.96.178.131 , 104.96.179.131 , 104.96.180.128 , 104.96.181.128 |
トロント (tor01 、tor04 、tor05 ) |
158.85.77.114 , 163.74.65.250 , 163.75.64.162 , 104.94.220.132 , 104.94.221.132 , 104.94.222.140 , 104.94.223.140 , 104.96.176.132 , 104.96.177.132 ,
104.96.178.134 , 104.96.179.134 , 104.96.180.131 , 104.96.181.131 |
英国南部 (lon02 、lon04 、lon05 、lon06 ) |
141.125.102.106 , 141.125.66.26 , 141.125.67.34 , 141.125.77.58 , 141.125.91.138 , 158.175.111.42 , 158.175.125.194 , 158.175.139.130 ,
158.175.150.122 , 158.175.65.170 , 158.175.77.178 , 158.175.82.50 , 158.176.123.130 , 158.176.135.242 , 158.176.142.26 , 158.176.149.154 ,
158.176.71.242 , 158.176.94.26 , 158.176.95.146 , 159.122.224.242 , 159.122.242.78 , 104.94.220.126 , 104.94.221.126 , 104.94.222.134 ,
104.94.223.134 , 104.96.176.126 , 104.96.177.126 , 104.96.178.128 , 104.96.179.128 , 104.96.180.125 , 104.96.181.125 |
米国東部 (mon01 、wdc04 、wdc06 、wdc07 ) |
158.85.97.34 , 169.47.162.130 , 169.47.174.106 , 169.53.167.50 , 169.53.171.210 , 169.54.126.219 , 169.54.80.106 , 169.54.94.26 , 169.60.100.242 ,
169.60.101.42 , 169.60.111.58 , 169.60.73.142 , 169.60.92.50 , 169.60.92.66 , 169.61.109.34 , 169.61.110.66 , 169.61.74.210 , 169.61.83.62 ,
169.62.10.162 , 169.62.9.250 , 169.63.106.50 , 169.63.111.82 , 169.63.149.122 , 169.63.158.82 , 169.63.160.130 , 169.63.66.226 , 169.63.75.82 ,
169.63.88.178 , 169.63.88.186 , 169.63.94.210 , 52.117.72.42 , 52.117.88.42 , 104.94.220.128 , 104.94.221.128 , 104.94.222.136 , 104.94.223.136 ,
104.96.176.128 , 104.96.177.128 , 104.96.178.130 , 104.96.179.130 , 104.96.180.127 , 104.96.181.127 |
米国南部 (sjc03 , sjc04 , dal10 , dal12 , dal13 ) |
50.22.129.34 , 52.116.231.210 , 52.116.254.234 , 52.116.54.122 , 52.117.197.210 , 52.117.212.34 , 52.117.215.162 , 52.117.232.194 , 52.117.240.106 ,
52.117.28.138 , 67.228.97.210 , 169.45.126.154 , 169.45.67.210 , 169.45.88.98 , 169.46.110.218 , 169.46.111.122 , 169.46.16.202 , 169.46.24.210 ,
169.46.27.234 , 169.46.63.250 , 169.46.68.234 , 169.46.7.238 , 169.46.89.50 , 169.47.109.34 , 169.47.115.18 , 169.47.201.194 , 169.47.209.66 ,
169.47.229.90 , 169.47.232.210 , 169.47.239.34 , 169.47.242.242 , 169.47.70.10 , 169.47.71.138 , 169.48.110.250 , 169.48.143.218 , 169.48.161.242 ,
169.48.226.2 , 169.48.230.146 , 169.48.244.66 , 169.57.100.18 , 169.57.13.10 , 169.57.147.58 , 169.57.151.10 , 169.57.154.98 , 169.59.219.90 ,
169.59.223.194 , 169.59.230.98 , 169.60.128.2 , 169.60.170.234 , 169.61.175.106 , 169.61.177.2 , 169.61.187.58 , 169.61.228.138 , 169.61.28.66 ,
169.61.29.194 , 169.61.60.130 , 169.62.166.98 , 169.62.189.26 , 169.62.206.234 , 169.62.230.114 , 169.62.82.197 , 169.62.87.170 , 169.62.97.218 ,
169.63.39.66 , 169.63.47.250 , 104.94.220.130 , 104.94.221.130 , 104.94.222.138 , 104.94.223.138 , 104.96.176.130 , 104.96.177.130 ,
104.96.178.132 , 104.96.179.132 , 104.96.180.129 , 104.96.181.129 |
ワーカー・ノードが IBM Cloud Container Registry と通信できるようにする
ワーカーノードから IBM Cloud Container Registry への発信ネットワークトラフィックを許可する。 詳しくは、 ファイアウォールを介した IBM Cloud Container Registry へのアクセス を参照してください。
ワーカー・ノードから IAM への発信ネットワーク・トラフィックを許可する
ワーカー・ノードから IBM Cloud ID およびアクセス管理 (IAM) への発信ネットワーク・トラフィックを許可します。 IAMドメイン名を許可するには、allowlistをレイヤー7にする必要がある。 IAM には、許可できる特定の IP アドレスがありません。 許可リストがレイヤー7をサポートしていない場合、ポート443上のすべての HTTPS ネットワークトラフィックを許可することができます。
TCP port 443 FROM <each_worker_node_publicIP> TO https://iam.bluemix.net
TCP port 443 FROM <each_worker_node_publicIP> TO https://iam.cloud.ibm.com
オプション: ワーカー・ノードから Monitoring サービスと IBM Cloud Logs サービスへの発信ネットワーク・トラフィックを許可する
-
IBM Cloud Monitoring:
TCP port 443, port 6443 FROM <each_worker_node_public_IP> TO <monitoring_public_IP>
- <monitoring_public_IP> を Monitoring IP アドレスで置き換えます。
-
IBM Cloud Logs:
TCP port 443, port 80 FROM <each_worker_node_public_IP> TO <logging_public_IP>
- <logging_public_IP> を IBM Cloud Logs のIPアドレスに 置き換える。
次のステップ
ロード・バランサー・サービスを使用している場合は、VRRP プロトコルを使用するすべてのトラフィックが、パブリック・インターフェースおよびプライベート・インターフェースでのワーカー・ノード間で許可されることを確認します。Red Hat OpenShift on IBM Cloud では、パブリック・ロード・バランサーおよびプライベート・ロード・バランサーの IP アドレスを管理するために VRRP プロトコルが使用されます。
Ingress または routes を使用してクラスタ内のアプリケーションを公開している場合は、 Red Hat OpenShift コントロール・プレーンがルーターの正常性をチェックできるよう、ポート 80 の アカマイのソース IP アドレスからルーター・サービスの IP アドレスへのネットワーク・トラフィックの着信を許可してください。
プライベート許可リストで必要なポートを開く
Virtual Router Appliance (Vyatta) のような IBM Cloud インフラアカウントのプライベートネットワークに allowlist がある場合、ワーカーノードがマスターと、相互に、インフラリソースと、他の IBM Cloud サービスと通信できるように、allowlist で IP 範囲、ポート、プロトコルを開く必要があります。
開始前に
-
IBM Cloud インフラストラクチャーのプライベート IP の範囲を許可して、クラスター内にワーカー・ノードを作成できるようにします。
- IBM Cloud インフラストラクチャーのプライベート IP のために適切な範囲を許可します。 Backend (private) Network を参照してください。
- 使用しているすべての ゾーン について、IBM Cloud インフラストラクチャー・プライベート IP 範囲を許可します。 注意:
166.8.0.0/14
と161.26.0.0/16
のIP範囲、dal10
とwdc04
ゾーンのIP範囲を追加する必要があります。 Service Network (on backend/private network) を参照してください。
-
クラスター内のすべてのワーカー・ノードのプライベート IP アドレスをメモします。
ibmcloud oc worker ls --cluster <cluster_name_or_ID>
ワーカー・ノードがクラスター・マスターと通信できるようにする
ワーカー・ノードがプライベート・クラウド・サービス・エンドポイントを介してクラスター・マスターと通信できるようにするには、ソース <each_worker_node_privateIP> から宛先 TCP/UDP ポート範囲 30000 から 32767 および ポート 443、および以下の IP アドレスとネットワーク・グループへの発信ネットワーク・トラフィックを許可します。
この表は変化します。 最新の IP リストおよび継続的な更新については、 IBM/kube-samples
リポジトリー内のプライベート・ネットワーク分離フォルダーを参照してください。
プルリクエストをレポでウォッチし、アップデートを求めることができる。
TCP/UDP port range 30000-32767, port 443 FROM <each_worker_node_privateIP> TO <private_IPs>
- <private_IPs> を、クラスターが配置されているリージョンのプライベート IP アドレスで置き換えます。
リージョン | プライベート IP アドレス |
---|---|
APノース (che01 , sng01 , tok02 , tok04 , tok05 ) |
166.9.40.102 , 166.9.40.21 , 166.9.40.36 , 166.9.40.39 , 166.9.40.6 , 166.9.40.7 , 166.9.40.8 , 166.9.40.88 , 166.9.42.23 ,
166.9.42.28 , 166.9.42.55 , 166.9.42.6 , 166.9.42.7 , 166.9.42.97 , 166.9.44.15 , 166.9.44.3 , 166.9.44.4 , 166.9.44.47 ,
166.9.44.5 , 166.9.44.88 , 166.9.46.4 , 166.9.60.2 , 166.9.60.4 , 166.9.249.106 , 166.9.249.136 , 166.9.249.170 |
南アジア太平洋地域 (syd01 、syd04 、syd05 ) |
166.9.52.14 , 166.9.52.15 , 166.9.52.23 , 166.9.52.30 , 166.9.52.31 , 166.9.54.11 , 166.9.54.12 , 166.9.54.13 , 166.9.54.21 ,
166.9.54.32 , 166.9.54.33 , 166.9.56.10 , 166.9.56.11 , 166.9.56.16 , 166.9.56.24 , 166.9.56.36 , 166.9.244.107 , 166.9.244.137 ,
166.9.244.171 |
中欧 (ams03 、mil01 、par01 、fra02 、fra04 、fra05 ) |
166.9.28.107 , 166.9.28.17 , 166.9.28.19 , 166.9.28.20 , 166.9.28.203 , 166.9.28.22 , 166.9.28.23 , 166.9.28.235 , 166.9.28.24 ,
166.9.28.240 , 166.9.28.43 , 166.9.28.64 , 166.9.28.84 , 166.9.28.87 , 166.9.28.91 , 166.9.28.94 , 166.9.28.95 , 166.9.30.100 ,
166.9.30.11 , 166.9.30.116 , 166.9.30.12 , 166.9.30.13 , 166.9.30.22 , 166.9.30.41 , 166.9.30.54 , 166.9.30.56 , 166.9.30.9 ,
166.9.30.92 , 166.9.32.101 , 166.9.32.185 , 166.9.32.20 , 166.9.32.26 , 166.9.32.27 , 166.9.32.44 , 166.9.32.54 , 166.9.32.56 ,
166.9.32.84 , 166.9.32.88 , 166.9.32.9 , 166.9.248.77 , 166.9.248.106 , 166.9.248.137 |
マドリッド (mad02 、 mad04 、 mad05 ) |
166.9.94.6 , 166.9.95.6 , 166.9.96.6 , 166.9.94.7 , 166.9.95.7 , 166.9.96.7 |
大阪 (osa21 、osa22 、osa23 ) |
166.9.70.6 , 166.9.70.8 , 166.9.71.8 , 166.9.71.10 , 166.9.72.9 , 166.9.72.10 , 166.9.247.41 , 166.9.247.75 , 166.9.247.107 |
英国南部 (lon02 、lon04 、lon05 、lon06 ) |
166.9.34.17 , 166.9.34.41 , 166.9.34.45 , 166.9.34.5 , 166.9.34.50 , 166.9.34.6 , 166.9.34.77 , 166.9.36.10 , 166.9.36.11 ,
166.9.36.12 , 166.9.36.13 , 166.9.36.23 , 166.9.36.30 , 166.9.36.53 , 166.9.36.65 , 166.9.36.95 , 166.9.38.18 , 166.9.38.28 ,
166.9.38.46 , 166.9.38.54 , 166.9.38.6 , 166.9.38.7 , 166.9.38.75 , 166.9.244.12 , 166.9.244.48 , 166.9.244.75 |
米国東部 (mon01 、tor01 、wdc04 、wdc06 、wdc07 ) |
166.9.20.11 , 166.9.20.117 , 166.9.20.12 , 166.9.20.13 , 166.9.20.187 , 166.9.20.38 , 166.9.20.42 , 166.9.20.63 , 166.9.20.80 ,
166.9.22.10 , 166.9.22.109 , 166.9.22.211 , 166.9.22.215 , 166.9.22.26 , 166.9.22.43 , 166.9.22.51 , 166.9.22.52 , 166.9.22.8 ,
166.9.22.9 , 166.9.24.19 , 166.9.24.196 , 166.9.24.198 , 166.9.24.22 , 166.9.24.35 , 166.9.24.4 , 166.9.24.45 , 166.9.24.47 ,
166.9.24.5 , 166.9.24.90 , 166.9.68.130 , 166.9.68.134 , 166.9.68.34 , 166.9.68.47 , 166.9.231.217 , 166.9.232.15 , 166.9.251.118 |
米国南部 (sao01 、sjc03 、sjc04 、dal10 、dal12 、dal13 ) |
166.9.12.140 , 166.9.12.141 , 166.9.12.142 , 166.9.12.143 , 166.9.12.144 , 166.9.12.151 , 166.9.12.193 , 166.9.12.196 , 166.9.12.26 ,
166.9.12.99 , 166.9.13.31 , 166.9.13.93 , 166.9.13.94 , 166.9.14.122 , 166.9.14.125 , 166.9.14.202 , 166.9.14.204 , 166.9.14.205 ,
166.9.14.95 , 166.9.15.130 , 166.9.15.69 , 166.9.15.70 , 166.9.15.71 , 166.9.15.72 , 166.9.15.73 , 166.9.15.74 , 166.9.15.75 ,
166.9.15.76 , 166.9.16.113 , 166.9.16.137 , 166.9.16.149 , 166.9.16.183 , 166.9.16.184 , 166.9.16.185 , 166.9.16.38 , 166.9.16.39 ,
166.9.16.5 , 166.9.17.2 , 166.9.17.35 , 166.9.17.37 , 166.9.17.39 , 166.9.48.124 , 166.9.48.171 , 166.9.48.175 , 166.9.48.240 ,
166.9.48.35 , 166.9.48.50 , 166.9.48.76 , 166.9.51.104 , 166.9.51.106 , 166.9.51.16 , 166.9.51.54 , 166.9.51.74 , 166.9.58.104 ,
166.9.58.11 , 166.9.58.16 , 166.9.58.170 , 166.9.58.210 , 166.9.58.64 , 166.9.58.65 , 166.9.59.125 , 166.9.59.147 , 166.9.61.15 ,
166.9.61.54 , 166.9.85.114 , 166.9.88.186 , 166.9.88.196 , 166.9.88.21 , 166.9.228.8 , 166.9.229.10 , 166.9.230.9 |
開いているポート
ワーカー・ノードが正しく機能するように、許可リスト内の以下のポートを開きます。 以下のポートは、すべての宛先 IP を開く必要があります。
- ワーカー・ノードの更新および再ロードを許可するために、ワーカーからポート 80 および 443 へのアウトバウンド TCP および UDP 接続を許可します。
- ボリュームとしてファイル・ストレージのマウントを許可するために、ポート 2049 へのアウトバウンド TCP および UDP を許可します。
- ブロック・ストレージに対する通信用に、ポート 3260 へのアウトバウンド TCP と UDP を許可します。
- Red Hat OpenShift ダッシュボード、および
oc logs
やoc exec
などのコマンドのために、ポート 10250 へのインバウンド TCP および UDP 接続を許可します。 - DNS アクセスのために、TCP および UDP のポート 53 およびポート 5353 へのインバウンドおよびアウトバウンドの接続を許可します。
ワーカー間の通信を有効にする
Red Hat OpenShift on IBM Cloud は、VRRP プロトコルを使用してロードバランサーの IP アドレスを管理し、IPEncap プロトコルを使用してサブネット間のポッド間トラフィックを許可します。
ワーカー・ノードが IBM Cloud Container Registry と通信できるようにする
ワーカー・ノードが IBM Cloud Container Registry と通信できるようにするには、ワーカー・ノードから IBM Cloud Container Registry リージョンへの発信ネットワーク・トラフィックを許可します。
TCP port 443 FROM <each_worker_node_privateIP> TO <registry_ip>
<registry_ip>
を、トラフィックを許可するレジストリー IP アドレスに置き換えます。 グローバル・レジストリーには IBM 提供のパブリック・イメージが保管され、リージョン・レジストリーにはユーザー独自のプライベート・イメージまたはパブリック・イメージが保管されます。
2022 年 6 月 23 日には、 br-sao
地域と ca-tor
地域のみが変更されました。 残りの地域は 2022 年 7 月 5 日に変更されました。 詳しくは、 Container Registry 2022 年 7 月 5 日に変更されたプライベート IP アドレス を参照してください。
Red Hat OpenShift on IBM Cloud リージョン | レジストリー・アドレス | レジストリ・プライベートIPアドレス、2022年7月5日まで | 2022年7月5日以降のレジストリ・プライベートIPアドレス |
---|---|---|---|
Red Hat OpenShift on IBM Cloud 地域間のグローバル・レジストリー | private.icr.io cp.icr.io |
166.9.20.31, 166.9.22.22, 166.9.24.16 | 166.9.251.49, 166.9.251.82, 166.9.251.113 |
アジア太平洋北部 | private.jp.icr.io |
166.9.40.20, 166.9.42.21, 166.9.44.12 | 166.9.249.104, 166.9.249.157, 166.9.249.168 |
アジア太平洋南部 | private.au.icr.io |
166.9.52.20, 166.9.54.19, 166.9.56.13 | 166.9.244.106, 166.9.244.136, 166.9.244.170 |
中欧 | private.de.icr.io |
166.9.28.35, 166.9.30.2, 166.9.32.2 | 166.9.248.76, 166.9.248.105, 166.9.248.136 |
マドリッド | private.es.icr.io |
該当なし | 166.9.248.76, 166.9.248.105, 166.9.248.136 |
大阪 | private.jp2.icr.io |
166.9.70.4, 166.9.71.5, 166.9.72.6 | 166.9.247.39, 166.9.247.73, 166.9.247.105 |
サンパウロ | private.br.icr.io |
166.9.82.13, 166.9.83.13, 166.9.84.13 | 166.9.246.72, 166.9.246.104, 166.9.246.130 |
トロント | private.ca.icr.io |
166.9.76.12, 166.9.77.11, 166.9.78.11 | 166.9.247.143, 166.9.247.170, 166.9.247.207 |
英国南部 | private.uk.icr.io |
166.9.36.19, 166.9.38.14, 166.9.34.12 | 166.9.244.9, 166.9.244.45, 166.9.244.73 |
米国東部、米国南部 | private.us.icr.io |
166.9.12.227, 166.9.15.116, 166.9.16.244 | 166.9.250.214, 166.9.250.246, 166.9.251.21 |
オプション: IBM Cloud Logs、 IBM Cloud Monitoring サービスのallowlistルールを設定する
ロギングとメトリックデータを送信するには、 IBM Cloud Logs と IBM Cloud Monitoring サービスに allowlist ルールを設定します。
インバウンド・トラフィックのためのパブリック許可リストまたはプライベート許可リスト内のポートのオープン
NodePort サービス、ロード・バランサー・サービス、Ingress サービス、および Red Hat OpenShift 経路への着信アクセスを許可することができます。
- NodePort サービス
- トラフィックの宛先として許可するすべてのワーカー・ノードに関してパブリック/プライベート IP アドレスにサービスをデプロイしたときに構成したポートを開きます。 ポートを見つけるには、
oc get svc
を実行します。 ポートの範囲は 20000 から 32000 までです。 - ロード・バランサー・サービス
- ロード・バランサー・サービスのパブリック IP アドレスまたはプライベート IP アドレスへのサービスのデプロイ時に構成したポートを開きます。
- Ingress
- Ingress アプリケーション・ロード・バランサーのパブリック IP アドレスおよびプライベート IP アドレスへのポート 80 (HTTP の場合) またはポート 443 (HTTPS の場合) を開きます。
- ルート
- ルーターのパブリック IP アドレスへのポート 80 (HTTP の場合) およびポート 443 (HTTPS の場合) を開きます。
クラスターからの Calico ネットワーク・ポリシーを介したリソースへのアクセスの許可
ゲートウェイallowlistデバイスをセットアップする代わりに、 Calico ネットワークポリシーを 使用して、パブリックまたはプライベートネットワーク上でクラスタallowlistとして動作するように選択することができます。 詳細は以下のトピックを参照。
他のサービスの許可リストまたはオンプレミスの許可リストでクラスタからのトラフィックを許可する
IBM Cloud またはオンプレミスの内部または外部で実行され、allowlist で保護されているサービスにアクセスしたい場合は、allowlist にワーカーノードの IP アドレスを追加して、クラスタへの送信ネットワークトラフィックを許可することができます。 たとえば、allowlist で保護されている IBM Cloud データベースからデータを読み出したい場合や、オンプレミスの allowlist でワーカーノードのサブネットを指定してクラスタからのネットワークトラフィックを許可したい場合などです。
-
ワーカー・ノードのサブネットやワーカー・ノードの IP アドレスを取得します。
-
ワーカーノードのサブネットワーカーノードのサブネット: クラスタのオートスケーラを 有効にした場合など、クラスタ内のワーカーノード数を頻繁に変更することが予想される場合、新しいワーカーノードごとにallowlistを更新したくない場合があります。 代わりに、クラスターで使用している VLAN サブネットを追加してください。 ただし、VLAN サブネットは、他のクラスターのワーカー・ノードと共有されている可能性があることを忘れないでください。 Red Hat OpenShift on IBM Cloud がクラスターのためにプロビジョンするプライマリー・パブリック・サブネットには 14 個の使用可能な IP アドレスが含まれおり、このサブネットは、同じ VLAN にある他のクラスターと共有される可能性があります。 ワーカー・ノード数が 14 台を超えると、追加のサブネットが注文されるので、許可する必要があるサブネットが変わる可能性があります。 変更の頻度を下げるには、CPU とメモリー・リソースの高いワーカー・ノード・フレーバーのワーカー・プールを作成してください。そうすれば、ワーカー・ノードをそれほど頻繁に追加する必要がなくなります。
-
クラスター内のワーカー・ノードをリストします。
ibmcloud oc worker ls --cluster <cluster_name_or_ID>
-
前のステップの出力から、クラスター内のワーカー・ノードのパブリック IP の固有ネットワーク ID (最初の 3 つのオクテット) をすべてメモしてください。 以下の出力では、固有ネットワーク ID は
169.xx.178
と169.xx.210
です。ID Public IP Private IP Machine Type State Status Zone Version kube-dal10-crb2f60e9735254ac8b20b9c1e38b649a5-w31 169.xx.178.101 10.xxx.xx.xxx b3c.4x16.encrypted normal Ready dal10 1.32 kube-dal10-crb2f60e9735254ac8b20b9c1e38b649a5-w34 169.xx.178.102 10.xxx.xx.xxx b3c.4x16.encrypted normal Ready dal10 1.32 kube-dal12-crb2f60e9735254ac8b20b9c1e38b649a5-w32 169.xx.210.101 10.xxx.xx.xxx b3c.4x16.encrypted normal Ready dal12 1.32 kube-dal12-crb2f60e9735254ac8b20b9c1e38b649a5-w33 169.xx.210.102 10.xxx.xx.xxx b3c.4x16.encrypted normal Ready dal12 1.32
-
それぞれの固有ネットワーク ID の VLAN サブネットをリストします。
ibmcloud sl subnet list | grep -e <networkID1> -e <networkID2>
出力例
ID identifier type network_space datacenter vlan_id IPs hardware virtual_servers 1234567 169.xx.210.xxx ADDITIONAL_PRIMARY PUBLIC dal12 1122334 16 0 5 7654321 169.xx.178.xxx ADDITIONAL_PRIMARY PUBLIC dal10 4332211 16 0 6
-
サブネット・アドレスを取得します。 出力中の IP の数を確認します。 次に、IP の数と等しくなるのは
2
のn
乗かを計算します。 例えば、IP の数が16
であれば、2
の4
(n
) 乗が16
に等しくなります。n
ビットから32
の値を減算すれば、サブネットの CIDR が求まります。 例えば、n
が4
の場合、CIDR は28
になります (式32 - 4 = 28
)。 identifier のマスクと CIDR の値を組み合わせれば、完全なサブネット・アドレスになります。 前の出力では、サブネット・アドレスは次になります。169.xx.210.xxx/28
169.xx.178.xxx/28
-
-
個々のワーカー・ノード IP アドレス: 1 つのアプリのみを実行する少数のワーカー・ノードがあり、スケーリングする必要がない場合、または 1 つのワーカー・ノードのみを追加する場合は、クラスター内のすべてのワーカー・ノードをリストし、パブリック IP アドレスを書き留めておきます。 ワーカー・ノードをプライベート・ネットワークだけに接続し、プライベート・クラウド・サービス・エンドポイントを使用して IBM Cloud サービスに接続する場合は、プライベート IP アドレスをメモします。 それらのワーカー・ノードだけを追加します。 ワーカーノードを削除したり、クラスタにワーカーノードを追加した場合は、それに応じてallowlistを更新する必要があります。
ibmcloud oc worker ls --cluster <cluster_name_or_ID>
-
-
サブネットのCIDRまたはIPアドレスを、アウトバウンド・トラフィックの場合はサービスの許可リストに、インバウンド・トラフィックの場合はオンプレミスの許可リストに追加します。
-
トラフィックを許可するクラスターごとに、これらのステップを繰り返します。
Kubernetes ServiceネットワークゾーンのIAM許可リストの更新
デフォルトでは、すべての IP アドレスを使用して IBM Cloud コンソールにログインし、クラスターを管理するためのアクション (資格情報の作成、更新、削除、表示など) を実行できます。 IBM Cloud の ID およびアクセス管理 (IAM) のコンソールで、アクセスを許可する IP アドレスを指定して許可リストを作成することができます。すると、それ以外の IP アドレスはすべて制限されます。
allowlist では、Red Hat OpenShift on IBM Cloud が Ingress ALB や Red Hat OpenShift Web コンソールなどのコンポーネントを作成またはアクセスできるように、クラスタが配置されている地域の Red Hat OpenShift on IBM Cloud コントロールプレーンにもネットワークゾーンを設定する必要があります。
始めに、以下の手順では、クラスターのリージョンおよびリソース・グループ・インフラストラクチャーの許可に使用される資格情報を持つユーザーの IAM 許可リストを変更する必要があります。 その資格情報の所有者であれば、自分で IAM 許可リストの設定を変更できます。 資格情報の所有者ではないが、 ユーザー管理 サービスの編集者または管理者 IBM Cloud IAM プラットフォームアクセスロールが割り当てられている場合は、資格情報の所有者のネットワークを更新できます。
-
クラスターのリージョンおよびリソース・グループのインフラストラクチャー権限として使用されているユーザー資格情報を調べます。
-
クラスターのリージョンおよびリソース・グループの API キーを確認します。
ibmcloud oc api-key info --cluster <cluster_name_or_ID>
出力例
Getting information about the API key owner for cluster <cluster_name>... OK Name Email <user_name> <name@email.com>
-
リージョンおよびリソース・グループのインフラストラクチャー・アカウントが、別の IBM Cloud インフラストラクチャー・アカウントを使用するように手動で設定されているかどうかを確認します。
ibmcloud oc credential get --region <us-south>
別のアカウントを使用するように資格情報が設定されている場合の出力例。 この場合、前のステップで取得した API キーに別のユーザーの資格情報が保管されていても、ターゲットにしたリージョンとリソース・グループには、ユーザーのインフラストラクチャー資格情報が使用されます。
OK Infrastructure credentials for user name <1234567_name@email.com> set for resource group <resource_group_name>.
別のアカウントを使用するように資格情報が設定されていない場合の出力例。 この場合、前のステップで取得した API キーの所有者は、リージョンおよびリソース・グループに使用されるインフラストラクチャー資格情報を持っています。
FAILED No credentials set for resource group <resource_group_name>.: The user credentials could not be found. (E0051)
-
-
IBM Cloud コンソールにログインする。
-
Kubernetes ServiceのIPを含むネットワークゾーンを、すべてのリージョン、またはクラスタがあるリージョンだけに作成します。
-
クラスターのアカウントで、メニューバーから管理 > コンテキストベースの制限をクリックします。
-
ネットワークゾーン > 作成をクリックします。
-
名前には、
us-south-kubernetes-service-network-zone
のように、ネットワークゾーンの説明的な名前を入力します。 -
許可するIPアドレスおよび許可するVPC セクションには値を入力しないでください。
-
サービスの参照セクションで、Kubernetes Service を選択し、+ をクリックします。
-
ロケーションでは、フィールドを空のままにして、すべてのロケーションを使用することもできます。
-
次へ」をクリックし、選択内容を確認する。
-
「作成」 をクリックします。
-
ゾーンを追加する場合はこれを繰り返す。
-
-
ネットワークゾーン名をIAM allowlistに追加する。
-
メニューバーから [管理 ]>[ アクセス(IAM)]をクリックし、 [設定]を選択する。
-
IPアドレスアクセスを制限する] の下で、 [有効にする] を選択し、前のステップで指定したネットワークゾーン名を入力します。
-
**「適用」**をクリックします。
-
Kubernetes Service サブネット IP アドレスの取得
手順に従って、IAM 許可リストに追加する正しいサブネット IP アドレスを取得します。
コンソールでのサブネット IP アドレスの取得
- IBM Cloud コンソールリソースリスト から、クラスタをクリックします。
- Worker nodes をクリックする。
- クラスター内のワーカー・ノードによって使用される各 パブリック VLAN をメモします。 複数のワーカー・ノードが同じパブリック VLAN を使用する可能性があります。
- IBM Cloud から
をクリックし、 インフラストラクチャ > クラシックインフラストラクチャ > IP管理 > VLAN の順にクリックします。
- 各パブリックVLANをクリックして、クラスタ内のワーカーノードで使用されているかどうかを確認します。
- クラスター内のワーカー・ノードによって使用されるパブリック VLAN ごとに、 「サブネット」 セクションを見つけ、表に含まれている各 IP アドレスをメモします。 これらは、許可リストに含める必要がある IP アドレスです。
CLI でのサブネット IP アドレスの取得
-
ワーカー・ノードが使用するパブリック VLAN をリストします。 出力は
publicVLAN=<vlan_id>
のようにフォーマット設定されます。oc describe nodes | grep publicVLAN | sort | uniq
-
パブリック VLAN ごとに、関連付けられたパブリック・サブネットを見つけます。 出力で、 identifier 列のサブネット IP アドレスをメモします。
ibmcloud sl subnet list | grep <vlan-id>
ID
2761690
のパブリック VLAN に関連付けられたサブネットの出力例。ID identifier type network_space datacenter vlan_id IPs hardware virtual_servers 1962263 169.62.46.56 SECONDARY_ON_VLAN PUBLIC wdc07 2761690 8 0 0 2008207 169.62.39.248 SECONDARY_ON_VLAN PUBLIC wdc07 2761690 8 0 0 2342562 169.62.2.128 ADDITIONAL_PRIMARY PUBLIC wdc07 2761690 16 0 5
-
ワーカー・ノードをリストし、それらのパブリック IP を取得します。 出力では、パブリック IP が 「外部 IP (External-IP)」 列にリストされます。 これらの IP アドレスのうち、前にリストしたサブネットに含まれているものをメモし、それらのサブネット ID をメモします。
-
サブネット ID ごとに、コマンドを実行してサブネットの詳細を取得します。 各出力で、 identifier 列の IP アドレスをメモします。 これは、IAM 許可リストに追加する必要がある IP アドレスです。
ibmcloud sl subnet detail <subnet_id>
出力例
Name Value ID 2342562 identifier 169.62.2.128/28 subnet type ADDITIONAL_PRIMARY network space PUBLIC gateway 169.62.2.129 broadcast 169.62.2.143 datacenter wdc07 usable ips 13 IP address ID IP address 186531376 169.62.2.128 186531378 169.62.2.129 186531380 169.62.2.130 186531382 169.62.2.131 186531384 169.62.2.132 186531386 169.62.2.133 186531388 169.62.2.134 186531390 169.62.2.135 186531392 169.62.2.136 186531394 169.62.2.137 186531396 169.62.2.138 186531398 169.62.2.139 186531400 169.62.2.140 186531402 169.62.2.141 186531404 169.62.2.142 186531406 169.62.2.143 virtual guests hostname domain public_ip private_ip kube-c8ofi5pw077drsbovf90-roks47class-default-00000187 iks.ibm 169.62.2.130 10.191.55.109 kube-c8ofi5pw077drsbovf90-roks47class-default-000002a2 iks.ibm 169.62.2.133 10.191.55.108 kube-c8ofi5pw077drsbovf90-roks47class-default-00000372 iks.ibm 169.62.2.135 10.191.55.121 kube-c8ofh6kw0jj8l6jovf8g-iks22classi-default-00000219 iks.ibm 169.62.2.132 10.191.55.105 kube-c8ofh6kw0jj8l6jovf8g-iks22classi-default-0000012f iks.ibm 169.62.2.134 10.191.55.107