https://k8s.io/client-go/tools/watch/informerwatcher.go:146
流程
-
允许以下 registry URL:
URL功能
registry.redhat.io提供核心容器镜像
quay.io提供核心容器镜像
sso.redhat.comhttps://cloud.redhat.com/openshift站点使用sso.redhat.com提供的身份验证openshift.org提供 Red Hat Enterprise Linux CoreOS(RHCOS)镜像
当您将
quay.io等网站添加到 allowlist 中时,不要在您的 denylist 中添加通配符条目,如*.quay.io。在大多数情况下,镜像 registry 使用内容交付网络(CDN)来提供镜像。如果防火墙阻止访问,那么当初始下载请求重定向到一个主机名(如cdn01.quay.io)时,则不能下载镜像。 - 将提供构建所需语言或框架的资源的任何站点列入允许列表。
-
如果不禁用 Telemetry,您必须授予对以下 URL 的访问权限,以便能访问 Red Hat Insights:
URL功能
cert-api.access.redhat.comTelemetry 所需
api.access.redhat.comTelemetry 所需
infogw.api.openshift.comTelemetry 所需
https://cloud.redhat.com/api/ingressTelemetry 和
insights-operator需要 -
如果使用 Amazon Web Services (AWS)、Microsoft Azure 或 Google Cloud Platform (GCP) 来托管您的集群,您必须授予对提供该云的云供应商 API 和 DNS 的 URL 的访问权限:
云URL功能
AWS
*.amazonaws.com需要此项以访问 AWS 服务和资源。请参阅 AWS 文档中 AWS Service Endpoints,以确定您使用的区域所允许的具体端点。
oso-rhc4tp-docker-registry.s3-us-west-2.amazonaws.com在使用严格的安全要求时,需要访问 AWS 服务和资源。请参阅 AWS 文档中 AWS Service Endpoints,以确定您使用的区域所允许的具体端点。
GCP
*.googleapis.com需要此项以访问 GCP 服务和资源。请参阅 GCP 文档中的 Cloud Endpoints,以确定您的 API 所允许的端点。
accounts.google.com需要此项以访问您的 GCP 帐户。
Azure
management.azure.com需要此项以访问 Azure 服务和资源。请参阅 Azure 文档中的Azure REST API 参考,以确定您的 API 所允许的端点。
-
将以下 URL 列入允许列表:
URL功能
mirror.openshift.com需要此项以访问镜像安装内容和镜像。此站点也是发行镜像签名的来源,但 Cluster Version Operator 只需要一个可正常工作的源。
storage.googleapis.com/openshift-release发行版本镜像签名源,但 Cluster Version Operator 只需要一个可正常工作的源。
*.apps.<cluster_name>.<base_domain>需要此项以访问默认的集群路由,除非您在安装过程中设置了入口通配符。
quay-registry.s3.amazonaws.com需要此项以访问 AWS 中的 Quay 镜像内容。
api.openshift.com需要此项以检查集群是否有可用的更新。
art-rhcos-ci.s3.amazonaws.com需要此项以下载 Red Hat Enterprise Linux CoreOS(RHCOS)镜像。
api.openshift.com集群令牌所需
cloud.redhat.com/openshift集群令牌所需
registry.access.redhat.comodoCLI 需要。操作员需要路由访问权限来执行健康检查。特别是,身份验证和 Web 控制台 Operator 会连接到两个路由,以验证路由是否正常工作。如果您是集群管理员,且不想允许
*.apps.<cluster_name>.<base_domain>,请允许这些路由:oauth-openshift.apps.<cluster_name>.<base_domain>console-openshift-console.apps.<cluster_name>.<base_domain>,或者,在consoles.operator/cluster对象的spec.route.hostname字段中指定的主机名(如果此字段非空)。