IBM Cloud Docs
他のネットワークの許可リストで必要なポートとIPアドレスを開く

他のネットワークの許可リストで必要なポートとIPアドレスを開く

Virtual Private Cloud

この許可リスト情報は、VPCクラスタに固有です。 クラシッククラスタの許可リストの情報については 、「クラシッククラスタの許可リストに必要なポートとIPアドレスを開く 」を参照してください。

企業のアラートリストにポートを開く

企業ネットワークポリシーにより、プロキシまたは許可リスト経由でローカルシステムからパブリックエンドポイントへのアクセスが禁止されている場合、ローカルシステムから ibmcloudibmcloud ocibmcloud cr コマンドoc コマンドcalicoctl コマンド を実行するためのアクセスを許可する必要があります。

ホワイトリストから ibmcloudibmcloud ocibmcloud cr コマンドを実行する

企業ネットワークポリシーにより、ローカルシステムからプロキシまたは許可リスト経由でパブリックエンドポイントへのアクセスが禁止されている場合、 ibmcloudibmcloud ocibmcloud cr コマンドを実行するには、 IBM Cloud、 Red Hat OpenShift on IBM Cloud、 IBM Cloud Container Registry のTCPアクセスを許可する必要があります。

  1. cloud.ibm.com へのアクセスをポート443で許可リストに追加してください。

  2. この API エンドポイントから IBM Cloud にログインして、接続を確認します。

    ibmcloud login -a https://cloud.ibm.com/
    
  3. containers.cloud.ibm.com へのアクセスをポート443で許可リストに追加してください。

  4. 接続を確認します。 アクセスが正しく構成されている場合は、以下のようなメッセージが出力に表示されます。

    curl https://containers.cloud.ibm.com/global/v1/versions
    

    出力例

    {"kubernetes":[{"major":1,"minor":19,"patch":16,"default":false,"end_of_service":""},{"major":1,"minor":20,"patch":13,"default":false,"end_of_service":""},{"major":1,"minor":21,"patch":7,"default":true,"end_of_service":""},{"major":1,"minor":22,"patch":4,"default":false,"end_of_service":""}],"openshift":[{"major":3,"minor":11,"patch":542,"default":false,"end_of_service":"2022-06-06T12:00:00+0000"},{"major":4,"minor":6,"patch":47,"default":false,"end_of_service":""},{"major":4,"minor":7,"patch":37,"default":false,"end_of_service":""},{"major":4,"minor":8,"patch":21,"default":true,"end_of_service":""}]}
    
  5. ポート443で使用する 予定の IBM Cloud Container Registry の地域 を許可リストに追加します。 グローバル・レジストリーには IBM 提供のパブリック・イメージが保管され、リージョン・レジストリーにはユーザー独自のプライベート・イメージまたはパブリック・イメージが保管されます。 ホワイトリストがIPベースの場合、 IBM Cloud Container Registry の地域別サービスエンドポイントへのアクセスを許可すると、どのIPアドレスが開放されるかが この表 から確認できます。

  6. 接続を確認します。 米国東部および米国南部のリージョンのレジストリーの例を以下に示します。 アクセスが正しく構成されている場合は、出力にその日のメッセージが戻されます。 メッセージがない場合は、204 が返されることに注意してください。

    curl -i https://us.icr.io/api/v1/messages
    

許可リストの背後からの oc コマンドの実行

企業ネットワークのポリシーにより、ローカルシステムからプロキシまたは許可リスト経由でパブリックエンドポイントへのアクセスが禁止されている場合、 oc コマンドを実行するには、クラスタのTCPアクセスを許可する必要があります。

クラスターが作成されると、サービス・エンドポイント URL 内のポートが 30000 から 32767 の範囲内でランダムに割り当てられます。 作成される可能性があるクラスターに対してポート範囲 30000 から 32767 を開くことを選択するか、特定の既存クラスターに対してアクセスを許可するかを選択できます。

始めに、ibmcloud oc コマンドを実行するためのアクセスを許可します。

特定のクラスターを対象にアクセスを許可するには、以下のようにします。

  1. IBM Cloud CLI にログインします。 プロンプトが出されたら、IBM Cloud 資格情報を入力します。 統合されたアカウントがある場合は、--sso オプションを含めます。

    ibmcloud login [--sso]
    
  2. default 以外のリソース・グループ内にクラスターがある場合は、そのリソース・グループをターゲットとして設定します。 各クラスターが属するリソース・グループを表示するには、ibmcloud oc cluster ls を実行します。 : リソース・グループに対するビューアー以上の役割が必要です。

    ibmcloud target -g <resource_group_name>
    
  3. クラスターの名前を取得します。

    ibmcloud oc cluster ls
    
  4. クラスターのサービス・エンドポイント URL を取得します。

    • プライベートのサービス・エンドポイント URL だけが設定されている場合は、その URL を取得します。 権限を持つクラスター・ユーザーは、プライベート・ネットワークでこのエンドポイントからマスターにアクセスできます。
    • パブリック・サービス・エンドポイント URLプライベート・サービス・エンドポイント URL の両方が設定されている場合は、両方の URL を取得します。 権限を持つクラスター・ユーザーは、パブリック・ネットワークのパブリック・エンドポイントからでもプライベート・ネットワークのプライベート・エンドポイントからでもマスターにアクセスできます。
    ibmcloud oc cluster get --cluster <cluster_name_or_ID>
    

    出力例

    ...
    Public Service Endpoint URL:    https://c3.<region>.containers.cloud.ibm.com:30426
    Private Service Endpoint URL:   https://c3-private.<region>.containers.cloud.ibm.com:31140
    ...
    
  5. 前の手順で取得したサービス・エンドポイント URL とポートへのアクセスを許可します。 ホワイトリストがIPベースの場合、 この表 を確認することで、サービスエンドポイントURLへのアクセスを許可した際にどのIPアドレスが開放されたかを確認できます。

  6. 接続を確認します。

    • パブリック・クラウド・サービス・エンドポイントが有効な場合:
      curl --insecure <public_service_endpoint_URL>/version
      
      コマンド例
      curl --insecure https://c3.<region>.containers.cloud.ibm.com:31142/version
      
      出力例
      {
          "major": "1",
          "minor": "7+",
          "gitVersion": "v1.7.4-2+eb9172c211dc41",
          "gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534",
          "gitTreeState": "clean",
          "buildDate": "2017-11-16T08:13:08Z",
          "goVersion": "go1.8.3",
          "compiler": "gc",
          "platform": "linux/amd64"
      }
      
    • プライベート・クラウド・サービス・エンドポイントのみが有効な場合にマスターへの接続を確認するには、IBM Cloud プライベート・ネットワークの中で作業しているか、VPN 接続経由でプライベート・ネットワークに接続している必要があります。 : プライベート・ロード・バランサーを介してマスター・エンドポイントを公開することで、ユーザーが VPN または IBM Cloud® Direct Link の接続を介してマスターにアクセスできるようにする必要があります。
      curl --insecure <private_service_endpoint_URL>/version
      
      コマンド例
      curl --insecure https://c3-private.<region>.containers.cloud.ibm.com:31142/version
      
      出力例
      {
          "major": "1",
          "minor": "7+",
          "gitVersion": "v1.7.4-2+eb9172c211dc41",
          "gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534",
          "gitTreeState": "clean",
          "buildDate": "2017-11-16T08:13:08Z",
          "goVersion": "go1.8.3",
          "compiler": "gc",
          "platform": "linux/amd64"
      }
      
  7. オプション: 公開する必要のあるクラスターごとに、上記のステップを繰り返します。

許可リストの背後からの calicoctl コマンドの実行

企業ネットワークポリシーにより、ローカルシステムからプロキシまたは許可リスト経由でパブリックエンドポイントへのアクセスが禁止されている場合、 calicoctl コマンドを実行するには、 Calico コマンドのTCPアクセスを許可する必要があります。

始めに、ibmcloud コマンドoc コマンドを実行するためのアクセスを許可します。

  1. oc コマンドの許可に使用したマスター URL から IP アドレスを取得します。

  2. etcd のポートを取得します。

    oc get cm -n kube-system cluster-info -o yaml | grep etcd_host
    
  3. マスター URL の IP アドレスと etcd ポート経由の Calico ポリシーにおけるアクセスを許可します。

許可リスト内の Red Hat OpenShift イメージ・レジストリーへのアクセスの許可

内部イメージレジストリへのセキュアな外部ルートを設定したりVPCクラスタ内の内部イメージレジストリをバックアップする IBM Cloud Object Storage バケットにアクセスしたり する場合は、企業内の許可リストで内部レジストリと IBM Cloud Object Storage エンドポイントへのアクセスを許可する必要があります。

  1. 内部 Red Hat OpenShift イメージ・レジストリーの外部経路を作成する場合は、*.containers.appdomain.cloud ドメインへのアクセスを許可して、企業ネットワークから image-registry-openshift-image-registry.<cluster_name>-<ID_string>.<region>.containers.appdomain.cloud 経路にアクセスできるようにします。

  2. VPC クラスター: 内部 IBM Cloud Object Storage イメージ・レジストリーをバックアップする Red Hat OpenShift バケットにアクセスする必要がある場合、または他の理由で企業ネットワークから IBM Cloud Object Storage にアクセスする必要がある場合は、*.cloud-object-storage.appdomain.cloud ドメインへのアクセスを許可します。

他のサービスまたはオンプレミス環境の許可リストに、お客様のクラスターからのトラフィックを許可する

allowlistで保護されたサービスと、ワーカーノードが通信できるようにします。

例えば、 IBM Cloud の内部または外部で実行されるサービス、あるいはオンプレミスで実行され、許可リストで保護されているサービスがあるかもしれません。 クラスターからそれらのサービスへの着信ネットワーク・トラフィックを許可する必要があります。 サービスの許可リストに、クラスタの VPC サブネット上のパブリックゲートウェイの外部 IP アドレスを追加する必要があります。

allowlistで保護されたサービスからクラスターへの出口を許可したい場合は、サービスallowlistに、ワーカーノードのプライベートIPアドレスまたはクラスターのVPCサブネットCIDRを追加する必要があります。 VPC クラスターのワーカー・ノードにはプライベート IP アドレスしかないので、VPC クラスターのワーカー・ノードには、IBM Cloud プライベート・ネットワークに接続したシステムからのみ接続できることに注意してください。

開始前に

  1. Red Hat OpenShift クラスターにアクセスします
  2. infrastructure-service CLI プラグインをインストールします。 VPC インフラストラクチャー・コマンドを実行するための接頭部は、ibmcloud is です。
    ibmcloud plugin install infrastructure-service
    

別のサービスでクラスターからの受信を許可する

クラスタから別のサービスへのアクセスを許可するには、そのサービスの許可リストまたはオンプレミス許可リストを変更します。

  1. クラスターが作成されたワーカー・ゾーンVPC を取得します。

    ibmcloud oc cluster get -c <cluster>
    

    出力例

    ...
    Worker Zones:                   us-south-1, us-south-2, us-south-3
    Ingress Subdomain:              vpc-prod.us-south.containers.appdomain.cloud
    Ingress Secret:                 vpc-prod
    Creator:                        -
    Public Service Endpoint URL:    https://c2.us-south.containers.cloud.ibm.com:20267
    Private Service Endpoint URL:   https://c2.private.us-south.containers.cloud.ibm.com:20267
    Pull Secrets:                   enabled in the default namespace
    VPCs:                           ff537d43-a5a4-4b65-9627-17eddfa5237b
    ...
    
  2. 確認したワーカー・ゾーンと VPC について、各ワーカー・ゾーンの VPC サブネットのパブリック・ゲートウェイを有効にしていることを確認します。

  3. 各サブネットのパブリック・ゲートウェイをリストします。 出力で、クラスターが存在するゾーンと VPC について、各サブネットのゲートウェイの浮動 IP アドレスをメモします。

    ibmcloud is public-gateways
    

    出力例

    ID                                     Name                                       Status      Floating IP      VPC              Zone
    5d308ea5-9f32-43b3-aaae-194d5723a3e5   pgw-b9d45630-c053-11e9-b2f8-79328ce05e7e   available   169.XX.XXX.XX    test-vpc         us-south-1
    f8b95e43-a408-4dc8-a489-ed649fc4cfec   pgw-18a3ebb0-b539-11e9-9838-f3f4efa02374   available   169.XX.XXX.XX    prod             us-south-1
    2ba9a280-fffa-4b0c-bdca-7970f09f9b8a   pgw-73b62bc0-b53a-11e9-9838-f3f4efa02374   available   169.XX.XXX.XX    prod             us-south-2
    057ddef6-631f-4b22-89eb-1e99982a54fa   pgw-64c5cae0-0be2-11ea-8f26-e1565e79a36c   available   52.XX.XXX.XXX    prod             us-south-3
    
  4. パブリックゲートウェイのIPアドレスを、サービスのアロウリストまたはオンプレミスアロウリストのインバウンドトラフィックに追加します。

  5. トラフィックを許可するクラスターごとに、これらのステップを繰り返します。

別のサービスからクラスターへの送信を許可する

他のサービスからお客様のクラスタへの出口を許可するには、そのサービスの許可リストまたはお客様のオンプレミス許可リストを変更します。

  1. ワーカー・ノードのサブネットやワーカー・ノードの IP アドレスを取得します。
    • Worker node subnet CIDRsクラスターのオートスケーラーを 有効にする場合など、クラスター内のワーカーノードの数を頻繁に変更する場合は、新しいワーカーノードごとに許可リストを更新する必要がない場合があります。 代わりに、クラスターで使用する VPC サブネットを追加することができます。 ただし、VPC サブネットは、他のクラスターのワーカー・ノードと共有されている可能性があることを忘れないでください。
      1. クラスターが作成されたワーカー・ゾーンVPC を取得します。
        ibmcloud oc cluster get -c <cluster>
        
        出力例
        ...
        Worker Zones:                   us-south-1, us-south-2, us-south-3
        Ingress Subdomain:              vpc-prod.us-south.containers.appdomain.cloud
        Ingress Secret:                 vpc-prod
        Creator:                        -
        Public Service Endpoint URL:    https://c2.us-south.containers.cloud.ibm.com:20267
        Private Service Endpoint URL:   https://c2.private.us-south.containers.cloud.ibm.com:20267
        Pull Secrets:                   enabled in the default namespace
        VPCs:                           ff537d43-a5a4-4b65-9627-17eddfa5237b
        ...
        
      2. クラスターが存在するゾーンと VPC のサブネットについて、サブネットの CIDR をメモします。
        ibmcloud is subnets
        
        出力例
        ID                                     Name             Status      Subnet CIDR        Addresses   ACL                                                          Public Gateway                             VPC              Zone
        5f5787a4-f560-471b-b6ce-20067ac93439   vpc-prod-dal1    available   10.240.0.0/24      183/256     allow-all-network-acl-ff537d43-a5a4-4b65-9627-17eddfa5237b   -                                          prod             us-south-1
        e3c19786-1c54-4248-86ca-e60aab74ed62   vpc-prod-dal2    available   10.240.64.0/24     183/256     allow-all-network-acl-ff537d43-a5a4-4b65-9627-17eddfa5237b   -                                          prod             us-south-2
        2930a068-51cc-4eca-807b-3f296d0891b4   vpc-prod-dal3    available   10.240.128.0/24    249/256     allow-all-network-acl-ff537d43-a5a4-4b65-9627-17eddfa5237b   -                                          prod             us-south-3
        
    • 個々のワーカー・ノード IP アドレス: 1 つのアプリのみを実行する少数のワーカー・ノードがあり、スケーリングする必要がない場合、または 1 つのワーカー・ノードのみを追加する場合は、クラスター内のすべてのワーカー・ノードをリストし、1 次 IP アドレスを書き留めておきます。 それらのワーカー・ノードだけを追加します。 ワーカーノードを削除したり、クラスターにワーカーノードを追加した場合は、それに応じて許可リストを更新する必要があります。
      ibmcloud oc worker ls --cluster <cluster_name_or_ID>
      
  2. サブネットCIDRまたは個々のワーカーノードのIPアドレスを、アウトバウンドトラフィック用のサービスのアロウリストまたはオンプレミスアロウリストに追加します。
  3. トラフィックを許可するクラスターごとに、これらのステップを繰り返します。