Creación de ubicaciones habilitadas de Red Hat CoreOS con ocupación de cortafuegos reducida

Configure una ubicación habilitada para Red Hat CoreOS para conectarse a un único destino de red en lugar de varios destinos para reducir el número de direcciones IP de salida que se deben permitir en el cortafuegos.

Para conectarse a un único destino de red, utilice un agente de enlace de host. Un agente de enlace de host es una imagen binaria del cliente de enlace que se ejecuta como systemd en los hosts. El agente se conecta al servidor de túnel y reescribe el DNS de los hosts para que todo el tráfico de rutina de carga de ubicación se redirija para utilizar el enlace establecido por el agente para acceder a los servicios de programa de fondo de IBM. Como resultado, todo el tráfico de salida de la ubicación se conecta a un único destino, que es el punto final público del servidor de túnel en el puerto 443. Por lo tanto, no es necesario que permita todas las direcciones IP de salida que se mencionan en Conectividad de salida necesaria para hosts en todas las regiones.

Siga estos pasos para configurar una ubicación habilitada para Red Hat CoreOS con una ocupación de cortafuegos reducida.

1. Cree una ubicación de Red Hat CoreOS habilitada Satellite. Para obtener más información, consulte Creación de una ubicación de Satellite.

2. Obtenga el punto final de ubicación de healthcheck ejecutando el mandato ibmcloud sat endpoint ls --location LOCATION_NAME.

   Mandato de ejemplo:

   ibmcloud sat endpoint ls --location my-sat-link
   

   Salida de ejemplo:

   ID                          Name                                        Destination Type  Address
   cdn1e2dw0vmieu3g98p0_drock  satellite-healthcheck-cdn1e2dw0vmieu3g98p0  location    HTTP  c-01.private.us-south.link.satellite.cloud.ibm.com:32877
   

   En la salida, tome nota del punto final de ubicación. Por ejemplo, c-01.private.us-south.link.satellite.cloud.ibm.com:32877. Sustituya .private por -ws y extraiga el puerto. Por ejemplo, c-01.private.us-south.link.satellite.cloud.ibm.com:32877 pasa a ser c-01-ws.us-south.link.satellite.cloud.ibm.com. Este valor se utiliza como valor para ENDPOINT_TO_POINT_TO en el mandato sat host attach en el paso siguiente.

3. Descargue el script de conexión de host para la ubicación utilizando el mandato ibmcloud sat host attach --location LOCATION_NAME --operating-system RHCOS --host-link-agent-endpoint ENDPOINT_TO_POINT_TO en la CLI.

   Mandato de ejemplo:

   ibmcloud sat host attach --location my-sat-link --operating-system RHCOS --host-link-agent-endpoint c-01-ws.region.link.satellite.cloud.ibm.com
   

   Salida de ejemplo:

   Creating host registration script...
   OK
   The script to attach hosts to Satellite location 'my-sat-link' was downloaded to the following location:
   
   /var/folders/7y/90mtvpqj1jx05gvgk1jyk7b80000gn/T/register-host_my-sat-link_1782841498.ign
   

4. Conecte los hosts a la ubicación ejecutando el script descargado.

   • Si los hosts están en otro proveedor de nube, siga los pasos específicos del proveedor para ejecutar el script y adjuntar los hosts.
     • Alibaba Cloud
     • Amazon Web Services (AWS)
     • Google Cloud Platform (GCP)
     • Microsoft Azure
     • IBM Cloud
   • Si los hosts están en un centro de datos local, consulte Conexión de hosts RHCOS locales.

5. Busque las direcciones IP del punto final de túnel ejecutando el mandato dig c-01-ws.REGION.link.satellite.cloud.ibm.com +short.

   Mandato de ejemplo:

   dig c-01-ws.us-south.link.satellite.cloud.ibm.com +short
   

   Salida de ejemplo:

   prod-us-south-sl-935783-6b64a6ccc9c596bf59a86625d8fa2202-0000.us-south.containers.appdomain.cloud.
   prod-us-south-sl-935783-6b64a6ccc9c596bf59a86625d8fa2202-0000.c303u02d04o7tl16uqm0.akadns.net.
   169.61.156.226
   169.61.31.178
   169.46.88.106
   

   En este ejemplo, las direcciones IP del punto final de túnel son 169.61.156.226, 169.61.31.178 y 169.46.88.106 en port 443.

6. Configure el cortafuegos para permitir el tráfico de salida a las direcciones IP del punto final de túnel en el puerto 443. Las direcciones IP se pueden encontrar en la salida del paso anterior.

También se debe permitir NTP. Puede optar por permitir el acceso a los servidores Red Hat Network Time Protocol (NTP) listados en Visión general de conectividad de salida necesaria para hosts o puede configurar el acceso a un servidor NTP (Network Time Protocol) personalizado. Consulte Especificación de un servidor NTP(Network Time Protocol)personalizado si desea configurar un servidor NTP local.