他のネットワークの許可リストで必要なポートとIPアドレスを開く
Virtual Private Cloud
この許可リスト情報は、VPCクラスタに固有です。 クラシッククラスタの許可リストの情報については 、「クラシッククラスタの許可リストに必要なポートとIPアドレスを開く 」を参照してください。
企業のアラートリストにポートを開く
企業ネットワークポリシーにより、プロキシまたは許可リスト経由でローカルシステムからパブリックエンドポイントへのアクセスが禁止されている場合、ローカルシステムから ibmcloud、 ibmcloud oc、 ibmcloud cr コマンド、 oc コマンド、
calicoctl コマンド を実行するためのアクセスを許可する必要があります。
ホワイトリストから ibmcloud、 ibmcloud oc、 ibmcloud cr コマンドを実行する
企業ネットワークポリシーにより、ローカルシステムからプロキシまたは許可リスト経由でパブリックエンドポイントへのアクセスが禁止されている場合、 ibmcloud、 ibmcloud oc 、 ibmcloud cr コマンドを実行するには、 IBM Cloud、 Red Hat OpenShift on IBM Cloud、 IBM Cloud Container Registry のTCPアクセスを許可する必要があります。
-
cloud.ibm.comへのアクセスをポート443で許可リストに追加してください。 -
この API エンドポイントから IBM Cloud にログインして、接続を確認します。
ibmcloud login -a https://cloud.ibm.com/ -
containers.cloud.ibm.comへのアクセスをポート443で許可リストに追加してください。 -
接続を確認します。 アクセスが正しく構成されている場合は、以下のようなメッセージが出力に表示されます。
curl https://containers.cloud.ibm.com/global/v1/versions出力例
{"kubernetes":[{"major":1,"minor":19,"patch":16,"default":false,"end_of_service":""},{"major":1,"minor":20,"patch":13,"default":false,"end_of_service":""},{"major":1,"minor":21,"patch":7,"default":true,"end_of_service":""},{"major":1,"minor":22,"patch":4,"default":false,"end_of_service":""}],"openshift":[{"major":3,"minor":11,"patch":542,"default":false,"end_of_service":"2022-06-06T12:00:00+0000"},{"major":4,"minor":6,"patch":47,"default":false,"end_of_service":""},{"major":4,"minor":7,"patch":37,"default":false,"end_of_service":""},{"major":4,"minor":8,"patch":21,"default":true,"end_of_service":""}]} -
ポート443で使用する 予定の IBM Cloud Container Registry の地域 を許可リストに追加します。 グローバル・レジストリーには IBM 提供のパブリック・イメージが保管され、リージョン・レジストリーにはユーザー独自のプライベート・イメージまたはパブリック・イメージが保管されます。 ホワイトリストがIPベースの場合、 IBM Cloud Container Registry の地域別サービスエンドポイントへのアクセスを許可すると、どのIPアドレスが開放されるかが この表 から確認できます。
-
接続を確認します。 米国東部および米国南部のリージョンのレジストリーの例を以下に示します。 アクセスが正しく構成されている場合は、出力にその日のメッセージが戻されます。 メッセージがない場合は、
204が返されることに注意してください。curl -i https://us.icr.io/api/v1/messages
許可リストの背後からの oc コマンドの実行
企業ネットワークのポリシーにより、ローカルシステムからプロキシまたは許可リスト経由でパブリックエンドポイントへのアクセスが禁止されている場合、 oc コマンドを実行するには、クラスタのTCPアクセスを許可する必要があります。
クラスターが作成されると、サービス・エンドポイント URL 内のポートが 30000 から 32767 の範囲内でランダムに割り当てられます。 作成される可能性があるクラスターに対してポート範囲 30000 から 32767 を開くことを選択するか、特定の既存クラスターに対してアクセスを許可するかを選択できます。
始めに、ibmcloud oc コマンドを実行するためのアクセスを許可します。
特定のクラスターを対象にアクセスを許可するには、以下のようにします。
-
IBM Cloud CLI にログインします。 プロンプトが出されたら、IBM Cloud 資格情報を入力します。 統合されたアカウントがある場合は、
--ssoオプションを含めます。ibmcloud login [--sso] -
default以外のリソース・グループ内にクラスターがある場合は、そのリソース・グループをターゲットとして設定します。 各クラスターが属するリソース・グループを表示するには、ibmcloud oc cluster lsを実行します。 注: リソース・グループに対するビューアー以上の役割が必要です。ibmcloud target -g <resource_group_name> -
クラスターの名前を取得します。
ibmcloud oc cluster ls -
クラスターのサービス・エンドポイント URL を取得します。
- プライベートのサービス・エンドポイント URL だけが設定されている場合は、その URL を取得します。 権限を持つクラスター・ユーザーは、プライベート・ネットワークでこのエンドポイントからマスターにアクセスできます。
- パブリック・サービス・エンドポイント URL とプライベート・サービス・エンドポイント URL の両方が設定されている場合は、両方の URL を取得します。 権限を持つクラスター・ユーザーは、パブリック・ネットワークのパブリック・エンドポイントからでもプライベート・ネットワークのプライベート・エンドポイントからでもマスターにアクセスできます。
ibmcloud oc cluster get --cluster <cluster_name_or_ID>出力例
... Public Service Endpoint URL: https://c3.<region>.containers.cloud.ibm.com:30426 Private Service Endpoint URL: https://c3-private.<region>.containers.cloud.ibm.com:31140 ... -
前の手順で取得したサービス・エンドポイント URL とポートへのアクセスを許可します。 ホワイトリストがIPベースの場合、 この表 を確認することで、サービスエンドポイントURLへのアクセスを許可した際にどのIPアドレスが開放されたかを確認できます。
-
接続を確認します。
- パブリック・クラウド・サービス・エンドポイントが有効な場合:
コマンド例curl --insecure <public_service_endpoint_URL>/version
出力例curl --insecure https://c3.<region>.containers.cloud.ibm.com:31142/version{ "major": "1", "minor": "7+", "gitVersion": "v1.7.4-2+eb9172c211dc41", "gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534", "gitTreeState": "clean", "buildDate": "2017-11-16T08:13:08Z", "goVersion": "go1.8.3", "compiler": "gc", "platform": "linux/amd64" } - プライベート・クラウド・サービス・エンドポイントのみが有効な場合にマスターへの接続を確認するには、IBM Cloud プライベート・ネットワークの中で作業しているか、VPN 接続経由でプライベート・ネットワークに接続している必要があります。 注: プライベート・ロード・バランサーを介してマスター・エンドポイントを公開することで、ユーザーが
VPN または IBM Cloud® Direct Link の接続を介してマスターにアクセスできるようにする必要があります。
コマンド例curl --insecure <private_service_endpoint_URL>/version
出力例curl --insecure https://c3-private.<region>.containers.cloud.ibm.com:31142/version{ "major": "1", "minor": "7+", "gitVersion": "v1.7.4-2+eb9172c211dc41", "gitCommit": "eb9172c211dc4108341c0fd5340ee5200f0ec534", "gitTreeState": "clean", "buildDate": "2017-11-16T08:13:08Z", "goVersion": "go1.8.3", "compiler": "gc", "platform": "linux/amd64" }
- パブリック・クラウド・サービス・エンドポイントが有効な場合:
-
オプション: 公開する必要のあるクラスターごとに、上記のステップを繰り返します。
許可リストの背後からの calicoctl コマンドの実行
企業ネットワークポリシーにより、ローカルシステムからプロキシまたは許可リスト経由でパブリックエンドポイントへのアクセスが禁止されている場合、 calicoctl コマンドを実行するには、 Calico コマンドのTCPアクセスを許可する必要があります。
始めに、ibmcloud コマンドと oc コマンドを実行するためのアクセスを許可します。
-
ocコマンドの許可に使用したマスター URL から IP アドレスを取得します。 -
etcd のポートを取得します。
oc get cm -n kube-system cluster-info -o yaml | grep etcd_host -
マスター URL の IP アドレスと etcd ポート経由の Calico ポリシーにおけるアクセスを許可します。
許可リスト内の Red Hat OpenShift イメージ・レジストリーへのアクセスの許可
内部イメージレジストリへのセキュアな外部ルートを設定したり、 VPCクラスタ内の内部イメージレジストリをバックアップする IBM Cloud Object Storage バケットにアクセスしたり する場合は、企業内の許可リストで内部レジストリと IBM Cloud Object Storage エンドポイントへのアクセスを許可する必要があります。
-
内部 Red Hat OpenShift イメージ・レジストリーの外部経路を作成する場合は、
*.containers.appdomain.cloudドメインへのアクセスを許可して、企業ネットワークからimage-registry-openshift-image-registry.<cluster_name>-<ID_string>.<region>.containers.appdomain.cloud経路にアクセスできるようにします。 -
VPC クラスター: 内部 IBM Cloud Object Storage イメージ・レジストリーをバックアップする Red Hat OpenShift バケットにアクセスする必要がある場合、または他の理由で企業ネットワークから IBM Cloud Object Storage にアクセスする必要がある場合は、
*.cloud-object-storage.appdomain.cloudドメインへのアクセスを許可します。
他のサービスまたはオンプレミス環境の許可リストに、お客様のクラスターからのトラフィックを許可する
allowlistで保護されたサービスと、ワーカーノードが通信できるようにします。
例えば、 IBM Cloud の内部または外部で実行されるサービス、あるいはオンプレミスで実行され、許可リストで保護されているサービスがあるかもしれません。 クラスターからそれらのサービスへの着信ネットワーク・トラフィックを許可する必要があります。 サービスの許可リストに、クラスタの VPC サブネット上のパブリックゲートウェイの外部 IP アドレスを追加する必要があります。
allowlistで保護されたサービスからクラスターへの出口を許可したい場合は、サービスallowlistに、ワーカーノードのプライベートIPアドレスまたはクラスターのVPCサブネットCIDRを追加する必要があります。 VPC クラスターのワーカー・ノードにはプライベート IP アドレスしかないので、VPC クラスターのワーカー・ノードには、IBM Cloud プライベート・ネットワークに接続したシステムからのみ接続できることに注意してください。
開始前に
- Red Hat OpenShift クラスターにアクセスします。
infrastructure-serviceCLI プラグインをインストールします。 VPC インフラストラクチャー・コマンドを実行するための接頭部は、ibmcloud isです。ibmcloud plugin install infrastructure-service
別のサービスでクラスターからの受信を許可する
クラスタから別のサービスへのアクセスを許可するには、そのサービスの許可リストまたはオンプレミス許可リストを変更します。
-
クラスターが作成されたワーカー・ゾーンと VPC を取得します。
ibmcloud oc cluster get -c <cluster>出力例
... Worker Zones: us-south-1, us-south-2, us-south-3 Ingress Subdomain: vpc-prod.us-south.containers.appdomain.cloud Ingress Secret: vpc-prod Creator: - Public Service Endpoint URL: https://c2.us-south.containers.cloud.ibm.com:20267 Private Service Endpoint URL: https://c2.private.us-south.containers.cloud.ibm.com:20267 Pull Secrets: enabled in the default namespace VPCs: ff537d43-a5a4-4b65-9627-17eddfa5237b ... -
確認したワーカー・ゾーンと VPC について、各ワーカー・ゾーンの VPC サブネットのパブリック・ゲートウェイを有効にしていることを確認します。
-
各サブネットのパブリック・ゲートウェイをリストします。 出力で、クラスターが存在するゾーンと VPC について、各サブネットのゲートウェイの浮動 IP アドレスをメモします。
ibmcloud is public-gateways出力例
ID Name Status Floating IP VPC Zone 5d308ea5-9f32-43b3-aaae-194d5723a3e5 pgw-b9d45630-c053-11e9-b2f8-79328ce05e7e available 169.XX.XXX.XX test-vpc us-south-1 f8b95e43-a408-4dc8-a489-ed649fc4cfec pgw-18a3ebb0-b539-11e9-9838-f3f4efa02374 available 169.XX.XXX.XX prod us-south-1 2ba9a280-fffa-4b0c-bdca-7970f09f9b8a pgw-73b62bc0-b53a-11e9-9838-f3f4efa02374 available 169.XX.XXX.XX prod us-south-2 057ddef6-631f-4b22-89eb-1e99982a54fa pgw-64c5cae0-0be2-11ea-8f26-e1565e79a36c available 52.XX.XXX.XXX prod us-south-3 -
パブリックゲートウェイのIPアドレスを、サービスのアロウリストまたはオンプレミスアロウリストのインバウンドトラフィックに追加します。
-
トラフィックを許可するクラスターごとに、これらのステップを繰り返します。
別のサービスからクラスターへの送信を許可する
他のサービスからお客様のクラスタへの出口を許可するには、そのサービスの許可リストまたはお客様のオンプレミス許可リストを変更します。
- ワーカー・ノードのサブネットやワーカー・ノードの IP アドレスを取得します。
- Worker node subnet CIDRs : クラスターのオートスケーラーを 有効にする場合など、クラスター内のワーカーノードの数を頻繁に変更する場合は、新しいワーカーノードごとに許可リストを更新する必要がない場合があります。 代わりに、クラスターで使用する VPC サブネットを追加することができます。
ただし、VPC サブネットは、他のクラスターのワーカー・ノードと共有されている可能性があることを忘れないでください。
- クラスターが作成されたワーカー・ゾーンと VPC を取得します。
出力例ibmcloud oc cluster get -c <cluster>... Worker Zones: us-south-1, us-south-2, us-south-3 Ingress Subdomain: vpc-prod.us-south.containers.appdomain.cloud Ingress Secret: vpc-prod Creator: - Public Service Endpoint URL: https://c2.us-south.containers.cloud.ibm.com:20267 Private Service Endpoint URL: https://c2.private.us-south.containers.cloud.ibm.com:20267 Pull Secrets: enabled in the default namespace VPCs: ff537d43-a5a4-4b65-9627-17eddfa5237b ... - クラスターが存在するゾーンと VPC のサブネットについて、サブネットの CIDR をメモします。
出力例ibmcloud is subnetsID Name Status Subnet CIDR Addresses ACL Public Gateway VPC Zone 5f5787a4-f560-471b-b6ce-20067ac93439 vpc-prod-dal1 available 10.240.0.0/24 183/256 allow-all-network-acl-ff537d43-a5a4-4b65-9627-17eddfa5237b - prod us-south-1 e3c19786-1c54-4248-86ca-e60aab74ed62 vpc-prod-dal2 available 10.240.64.0/24 183/256 allow-all-network-acl-ff537d43-a5a4-4b65-9627-17eddfa5237b - prod us-south-2 2930a068-51cc-4eca-807b-3f296d0891b4 vpc-prod-dal3 available 10.240.128.0/24 249/256 allow-all-network-acl-ff537d43-a5a4-4b65-9627-17eddfa5237b - prod us-south-3
- クラスターが作成されたワーカー・ゾーンと VPC を取得します。
- 個々のワーカー・ノード IP アドレス: 1 つのアプリのみを実行する少数のワーカー・ノードがあり、スケーリングする必要がない場合、または 1 つのワーカー・ノードのみを追加する場合は、クラスター内のすべてのワーカー・ノードをリストし、1 次 IP アドレスを書き留めておきます。 それらのワーカー・ノードだけを追加します。 ワーカーノードを削除したり、クラスターにワーカーノードを追加した場合は、それに応じて許可リストを更新する必要があります。
ibmcloud oc worker ls --cluster <cluster_name_or_ID>
- Worker node subnet CIDRs : クラスターのオートスケーラーを 有効にする場合など、クラスター内のワーカーノードの数を頻繁に変更する場合は、新しいワーカーノードごとに許可リストを更新する必要がない場合があります。 代わりに、クラスターで使用する VPC サブネットを追加することができます。
ただし、VPC サブネットは、他のクラスターのワーカー・ノードと共有されている可能性があることを忘れないでください。
- サブネットCIDRまたは個々のワーカーノードのIPアドレスを、アウトバウンドトラフィック用のサービスのアロウリストまたはオンプレミスアロウリストに追加します。
- トラフィックを許可するクラスターごとに、これらのステップを繰り返します。