为一个命名空间启用自动分配出口 IP 地址 13.2.3. 为一个命名空间配置手动分配出口 IP 地址 13.3. 为项目配置出口防火墙 13.3.1. 出口防火墙在一个项目中的工作原理 13.3.1.1. 出口防火墙的限制 13.3.1.2. 出口防火墙策略规则的匹配顺序 13.3.1.3. 域名服务器 (DNS) 解析如何工作 13.3.2. EgressNetworkPolicy EgressNetworkPolicy CR 对象示例 13.3.3. 创建出口防火墙策略对象 13.4. 为项目编辑出口防火墙 13.4.1. 查看 EgressNetworkPolicy 对象 13.5. 为项目编辑出口防火墙 13.5.1. 编辑 EgressNetworkPolicy 对象 13.6. 从项目中删除出口防火墙 13.6.1. 删除 EgressNetworkPolicy 对象 为项目配置出口防火墙 14.4.1. 出口防火墙在一个项目中的工作原理 14.4.1.1. 出口防火墙的限制 14.4.1.2. 出口防火墙策略规则的匹配顺序 14.4.2. EgressFirewall 自定义资源（CR）对象 14.4.2.1. EgressFirewall 规则 14.4.2.2. EgressFirewall CR 对象示例 14.4.3. 创建出口防火墙策略对象

商 15.1. 关于 OPENSHIFT SDN 默认 CNI 网络供应商 15.2. 为项目配置出口 IP 15.3. 为项目配置出口防火墙 15.4. 为项目编辑出口防火墙 15.5. 为项目编辑出口防火墙 15.6. 从项目中删除出口防火墙 15.7. 使用出口路由器 POD 的注意事项 15.8. 以重定向模式部署出口路由器 POD 15.9. 以 HTTP 代理模式部署出口路由器 OPENSHIFT SDN 网络供应商 16.4. 转换为 IPV4/IPV6 双栈网络 16.5. IPSEC 加密配置 16.6. 为项目配置出口防火墙 16.7. 查看项目的出口防火墙 16.8. 为项目编辑出口防火墙 16.9. 从项目中删除出口防火墙 16.10. 配置出口 IP 地址 16.11. 分配出口 IP 地址 16.12. 使用出口路由器 POD 的注意事项 16.13. 30000-32767。您永远不会缩小端口范围，即使您首先将其扩展超过默认范围。 8.1. 先决条件 集群基础架构必须允许访问您在扩展范围内指定的端口。例如，如果您将节点端口范围扩展到 30000-32900，防火墙或数据包过滤配置必须允许 32768-32900 端口范围。 8.2. 扩展节点端口范围 您可以扩展集群的节点端口范围。 先决条件 先决条件 安装 OpenShift CLI（oc）。 使用具有

OVN-KUBERNETES 网络插件 27.8. 转换为 IPV4/IPV6 双栈网络 27.9. 出口防火墙和网络策略规则的日志记录 27.10. 配置 IPSEC 加密 27.11. 为项目配置出口防火墙 27.12. 查看项目的出口防火墙 27.13. 为项目编辑出口防火墙 27.14. 从项目中删除出口防火墙 27.15. 配置出口 IP 地址 27.16. 分配出口 IP 地址 27.17. 使用出口路由器 . . . . . 28.3. 回滚到 OVN-KUBERNETES 网络插件 28.4. 为项目配置出口 IP 28.5. 为项目配置出口防火墙 28.6. 为项目编辑出口防火墙 28.7. 为项目编辑出口防火墙 28.8. 从项目中删除出口防火墙 28.9. 使用出口路由器 POD 的注意事项 28.10. 以重定向模式部署出口路由器 POD 28.11. 以 HTTP 代理模式部署出口路由器 Berkley Packet Filter (eBPF) 和 eXpress Data Path (XDP) 插件来处理节点防火墙规则，更新统计信息并为丢弃的流量生成事件。Operator 管理入口节点防火墙资 源，验证防火墙配置，不允许错误配置规则来防止集群访问，并将 ingress 节点防火墙 XDP 程序加载到规 则对象中的所选接口。如需更多信息，请参阅了解 Ingress Node Firewall Operator

上卸载集群 第 第 16 章 章 在任意平台上安装 在任意平台上安装 16.1. 在任何平台上安装集群 第 第 17 章 章 安装配置 安装配置 17.1. 自定义节点 17.2. 配置防火墙 第 第 18 章 章 验证 验证安装 安装 18.1. 查看安装日志 18.2. 查看镜像拉取源 18.3. 获取集群版本、状态和更新详情 18.4. 使用 CLI 查询集群节点状态 18.5 您的当前 AWS 凭证来创建 AWS 资源，因此您必须使用基于密钥的长期凭证。要生成适当 的密钥，请参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时 提供密钥。 如果使用防火墙，则必须将其配置为允许集群需要访问的站点。 如果环境中无法访问云身份和访问管理（IAM）API，或者不想将管理员级别的凭证 secret 存储在 kube-system 命名空间中，您可以手动创建和维护 群会持续使用您的当前 AWS 凭证来创建 AWS 资源，因此您必须使用长期凭证。要生成适当的密钥，请 参阅 AWS 文档中的管理 IAM 用户的访问密钥。您可在运行安装程序时提供密钥。 如果使用防火墙，则必须将其配置为允许集群需要访问的站点。 如果环境中无法访问云身份和访问管理（IAM）API，或者不想将管理员级别的凭证 secret 存储在 kube-system 命名空间中，您可以手动创建和维护

先决条件 5.7.2. 私有集群 5.7.2.1. Azure 中的私有集群 5.7.2.1.1. 限制： 5.7.2.2. 用户定义的出站路由 带有网络地址转换的专用集群 使用 Azure 防火墙的私有集群 带有代理配置的私有集群 没有互联网访问的私有集群 5.7.3. 关于为 OpenShift Container Platform 集群重复使用 VNet 5.7.3.1. 使用 VNet 政府区域 5.8.3. 私有集群 5.8.3.1. Azure 中的私有集群 5.8.3.1.1. 限制： 5.8.3.2. 用户定义的出站路由 带有网络地址转换的专用集群 使用 Azure 防火墙的私有集群 带有代理配置的私有集群 没有互联网访问的私有集群 5.8.4. 关于为 OpenShift Container Platform 集群重复使用 VNet 5.8.4.1. 使用 VNet 模板 6.9.10. 在 GCP 中创建私有 DNS 区域 6.9.10.1. 私有 DNS 的 Deployment Manager 模板 6.9.11. 在 GCP 中创建防火墙规则 6.9.11.1. 防火墙规则的 Deployment Manager 模板 6.9.12. 在 GCP 中创建 IAM 角色 6.9.12.1. IAM 角色的 Deployment Manager 模板

VMC 上卸载集群 第 第 22 章 章 在任意平台上安装 在任意平台上安装 22.1. 在任意平台上安装集群 第 第 23 章 章 安装配置 安装配置 23.1. 自定义节点 23.2. 配置防火墙 第 第 24 章 章 验证 验证安装 安装 24.1. 查看安装日志 24.2. 查看镜像拉取源 24.3. 获取集群版本、状态和更新详情 24.4. 使用 CLI 查询集群节点状态 24.5 先决条件 您可以参阅有关 OpenShift Container Platform 安装和更新 流程的详细信息。 您可以阅读选择集群安装方法并为用户准备它的文档。 您已注册了域。 如果使用防火墙，将其配置为允许集群需要访问的站点。 您已创建了所需的 Alibaba 云资源。 如果环境中无法访问云资源访问(RAM)API，或者不想将管理员级别的凭证 secret 存储在 kube- system 先决条件 您可以参阅有关 OpenShift Container Platform 安装和更新 流程的详细信息。 您可以阅读选择集群安装方法并为用户准备它的文档。 您已注册了域。 如果使用防火墙，将其配置为允许集群需要访问的站点。 如果您的环境无法访问云的资源访问管理(RAM)API，或者不想将管理员级别的凭证 secret 存储 在 kube-system 命名空间中，您可以手动创建和维护资源访问管理(RAM)凭证。

第 第 3 章 章 安装配置 安装配置 3.1. 不同平台的安装方法 3.2. 自定义节点 3.3. 创建用于在受限网络中安装的镜像 REGISTRY 3.4. 可用的集群自定义 3.5. 配置防火墙 3.6. 配置私有集群 3 3 4 5 6 6 6 7 8 8 8 20 28 30 33 目 目录 录 1 OpenShift Container Platform 4 无法在安装后修改集群网络。要自定义您的网络，请遵循相关的流程在 安装过程中自定义联网。 3.5. 配置防火墙 如果使用防火墙，您必须进行配置，以便 OpenShift Container Platform 能访问正常运作所需要的网站。 OpenShift Container Platform 4.4 安装 安装 30 如果使用防火墙，您必须进行配置，以便 OpenShift Container Platform 服务、托管集群的云以及 某些构建策略，则还要授予更多站点的访问权限。 3.5.1. 为 OpenShift Container Platform 配置防火墙 在安装 OpenShift Container Platform 之前，您必须配置防火墙，以授予 OpenShift Container Platform 所需站点的访问权限。 和在 worker 节点上运行的服务相比，运行在控制器节点中的服务没有特殊的配置注意事项。

VMC 上卸载集群 第 第 26 章 章 在任意平台上安装 在任意平台上安装 26.1. 在任意平台上安装集群 第 第 27 章 章 安装配置 安装配置 27.1. 自定义节点 27.2. 配置防火墙 27.3. 启用 LINUX 控制组版本 2 (CGROUP V2) 第 第 28 章 章 验证 验证安装 安装 2858 2858 2863 2867 2927 2994 3058 3132 先决条件 您可以参阅有关 OpenShift Container Platform 安装和更新 流程的详细信息。 您可以阅读选择集群安装方法并为用户准备它的文档。 您已注册了域。 如果使用防火墙，将其配置为允许集群需要访问的站点。 您已创建了所需的 Alibaba 云资源。 如果环境中无法访问云资源访问(RAM)API，或者不想将管理员级别的凭证 secret 存储在 kube- system 先决条件 您可以参阅有关 OpenShift Container Platform 安装和更新 流程的详细信息。 您可以阅读选择集群安装方法并为用户准备它的文档。 您已注册了域。 如果使用防火墙，将其配置为允许集群需要访问的站点。 如果您的环境无法访问云的资源访问管理(RAM)API，或者不想将管理员级别的凭证 secret 存储 在 kube-system 命名空间中，您可以手动创建和维护资源访问管理(RAM)凭证。

的安装配置参数 第 第 23 章 章 在任意平台上安装 在任意平台上安装 23.1. 在任意平台上安装集群 第 第 24 章 章 安装配置 安装配置 24.1. 自定义节点 24.2. 配置防火墙 24.3. 启用 LINUX 控制组版本 1 (CGROUP V1) 第 第 25 章 章 验证 验证安装 安装 25.1. 查看安装日志 25.2. 查看镜像拉取源 25.3. 获取集群版本、状态和更新详情 先决条件 您可以参阅有关 OpenShift Container Platform 安装和更新 流程的详细信息。 您可以阅读选择集群安装方法并为用户准备它的文档。 您已注册了域。 如果使用防火墙，将其配置为允许集群需要访问的站点。 您已创建了所需的 Alibaba 云资源。 如果环境中无法访问云资源访问(RAM)API，或者不想将管理员级别的凭证 secret 存储在 kube- system 先决条件 您可以参阅有关 OpenShift Container Platform 安装和更新 流程的详细信息。 您可以阅读选择集群安装方法并为用户准备它的文档。 您已注册了域。 如果使用防火墙，将其配置为允许集群需要访问的站点。 如果您的环境无法访问云的资源访问管理(RAM)API，或者不想将管理员级别的凭证 secret 存储 在 kube-system 命名空间中，您可以手动创建和维护资源访问管理(RAM)凭证。

安装程序需要访问 vCenter 和 ESXi 主机上的端口 443。您确认端 口 443 可访问。 如果您使用防火墙，则确认管理员可以访问该端口 443。Control plane 节点必须能够访问端口 443 上的 vCenter 和 ESXi 主机，才能成功安装。 如果使用防火墙，则必须将其配置为允许集群需要访问的站点。 注意 注意 如果您要配置代理，请务必也要查看此站点列表。 1.1 安装程序需要访问 vCenter 和 ESXi 主机上的端口 443。您确认端 口 443 可访问。 如果您使用防火墙，则确认管理员可以访问该端口 443。Control plane 节点必须能够访问端口 443 上的 vCenter 和 ESXi 主机，才能成功安装。 如果使用防火墙，则必须将其配置为允许集群需要访问的站点。 注意 注意 如果您要配置代理，请务必也要查看此站点列表。 1.2 安装程序需要访问 vCenter 和 ESXi 主机上的端口 443。您确认端 口 443 可访问。 如果使用防火墙，请确认管理员通过端口 443 进行访问。Control plane 节点必须能够访问端口 443 上的 vCenter 和 ESXi 主机，才能成功安装。 如果使用防火墙，则必须将其配置为允许集群需要访问的站点。 注意 注意 如果您要配置代理，请务必也要查看此站点列表。 1