Documentation Index
Fetch the complete documentation index at: https://docs.jitera.ai/llms.txt
Use this file to discover all available pages before exploring further.
このページでは、Jitera Self-Hostedのネットワークアクセスパターンとエンドポイント要件について説明します。ファイアウォール、ネットワークセキュリティグループ、またはネットワークポリシーを設定する際のリファレンスとしてご利用ください。
エグレスファイアウォールは本番環境では推奨されますが、評価・パイロット環境ではオプションです。 ファイアウォールがない場合、クラスターからのすべてのアウトバウンドトラフィックが許可されます — 以下のエンドポイント表はDNS解決と接続要件のリファレンスとして引き続き有用ですが、アクティブなフィルタリングは適用されません。エグレスファイアウォール(AWS Network Firewall 約300/月、AzureFirewall約900/月)はFQDNベースのアウトバウンドフィルタリングを追加し、Podのトラフィックを以下のエンドポイントのみに制限します。導入するかどうかはコストへの影響を考慮して判断してください。 このページで使用するドメインプレースホルダー:app.example.com(メインドメイン、ingress.domainNameで設定)およびchat.example.com(チャットドメイン、ingress.chatDomainNameで設定)。実際のドメイン名に置き換えてください。
L7ファイアウォール(AWS Network Firewall、Azure Firewall、Palo Alto、Zscalerなど)でTLS/SNIインスペクションを使用している場合、以下のドメインリスト以外に追加の設定が必要になる場合があります。クラウドプロバイダーのドキュメントを参照してください:
ネットワークアクセスパターン
Jitera Self-Hostedには以下のネットワークアクセスパターンが必要です:
- インバウンド: Webアプリケーションアクセス用のHTTPS(443/tcp)
- アウトバウンド: 外部APIコールとコンテナイメージプル用のHTTPS(443/tcp)、送信メール用のSMTP(25/tcpまたは587/tcp)、ドメイン解決用のDNS(53/tcp、53/udp)、時刻同期用のNTP(123/udp)
- Pod間通信: すべての内部サービスはKubernetesクラスターネットワーク内でサービスディスカバリーと内部DNSを使用して通信
インバウンドアクセス
インバウンドルールは外部ソースからクラスターへのトラフィックを制御します。
| 用途 | ソース | 宛先 | 必須 | 説明 |
|---|
| Jiteraアプリアクセス | ユーザーのWebブラウザ | https://app.example.com | 必須 | メインアプリケーションドメイン |
| JiteraチャットAPIアクセス | ユーザーのWebブラウザ | https://chat.example.com | 必須 | チャットドメイン |
| Grafana | ユーザーのWebブラウザ | https://grafana.example.com | 条件付き | Grafana Ingressが有効な場合のみ必要 |
| Prometheus | ユーザーのWebブラウザ | https://prometheus.example.com | 条件付き | Prometheus Ingressが有効な場合のみ必要 |
| MinIOアクセス | ユーザーのWebブラウザ | https://minio.example.com | 条件付き | MinIOをIngress有効で使用する場合のみ必要 |
| MinIOコンソール | ユーザーのWebブラウザ | https://minio-console.example.com | 条件付き | MinIOコンソールを使用する場合のみ必要 |
| Cert-Manager HTTP01チャレンジ | ACME(Let’s Encrypt) | http://*.example.com | 条件付き | cert-manager HTTP01チャレンジを使用する場合のみ必要 |
| Podヘアピン通信(AWS) | NAT ゲートウェイ EIP | https://app.example.com、https://chat.example.com | 条件付き | AWS で Kong LoadBalancer Service の Security Group にインバウンドフィルタリングを設定する場合に必要。Pod は公開アプリドメインをパブリック DNS で名前解決し、NAT ゲートウェイを経由して CLB に戻ります。NAT ゲートウェイ EIP が SG の許可リストに含まれていない場合、公開ドメインを経由するクラスター内通信がドロップされます。Azure では AKS サブネット NSG でフィルタリングし、インバウンド許可ルールに VirtualNetwork サービスタグを含めることで VNet 内のヘアピン通信を維持してください。 |
アウトバウンドアクセス
セットアップ要件
初期デプロイメントとアップグレード時に到達可能である必要があります。
| 用途 | ソース | 宛先 | 必須 | 説明 |
|---|
| Jiteraコンテナイメージ | Kubernetesワーカーノード | https://jiteradockerimage.azurecr.io | 必須 | レジストリAPI(認証、マニフェスト解決) |
| Jiteraコンテナイメージ | Kubernetesワーカーノード | https://*.data.azurecr.io | 必須 | ACRデータエンドポイント(イメージレイヤーのダウンロード) |
| Jiteraコンテナイメージ | Kubernetesワーカーノード | https://*.blob.core.windows.net | 必須 | イメージレイヤーストレージ |
| Docker Hubイメージ | Kubernetesワーカーノード | https://docker.io | 条件付き | Kong、PostgreSQL、MongoDB、Redis、RabbitMQ — Jitera ACRからすべてのイメージを取得する場合は不要(デプロイガイド参照) |
| Docker Hubイメージ | Kubernetesワーカーノード | https://registry-1.docker.io | 条件付き | Docker HubレジストリAPI |
| Docker Hubイメージ | Kubernetesワーカーノード | https://auth.docker.io | 条件付き | Docker Hub認証 |
| Docker Hubイメージ | Kubernetesワーカーノード | https://production.cloudflare.docker.com | 条件付き | Docker Hubレイヤーダウンロード(Cloudflare CDN) |
| Red Hatコンテナイメージ | Kubernetesワーカーノード | https://*quay.io | 条件付き | cert-managerを使用する場合のみ必要 |
| JavaScriptレジストリ | Kubernetesワーカーノード | http://jsr.io | 必須 | Boostに必要 |
| GitHub | Kubernetesワーカーノード | https://github.com | 必須 | Boostに必要 |
| GitHub | Kubernetesワーカーノード | https://release-assets.githubusercontent.com | 必須 | Boostに必要 |
ファーストパーティエンドポイント
アプリケーション自身のエンドポイントに到達する必要がある内部サービス。
| 用途 | ソース | 宛先 | 必須 | 説明 |
|---|
| Jiteraアプリアクセス | Kubernetesワーカーノード | https://app.example.com | 必須 | |
| JiteraチャットAPIアクセス | Kubernetesワーカーノード | https://chat.example.com | 必須 | |
クラスターインフラストラクチャ(クラウド別)
Kubernetes コントロールプレーンとマネージドアドオン自体が必要とするエンドポイントです。Jitera 固有ではなく、クラスターがブートストラップし、システムイメージをプルし、マネージドメトリクスを報告するために必要な前提条件です。正式な情報源はクラウドプロバイダーのドキュメントを参照してください。以下の一覧は Jitera Terraform スクリプトのデフォルト許可リストを反映しています。
AWS EKS
| FQDN | 用途 | ブロックされた場合の症状 |
|---|
.amazonaws.com | EKS クラスターのブートストラップ、ECR、S3、STS、EC2 API | ノードがクラスターに参加できない、ECR イメージプルが失敗 |
public.ecr.aws | AWS Public ECR(Global Accelerator フロントエンド) | マネージドアドオンのイメージプル失敗(AWS Node Termination Handler、VPC CNI、CoreDNS) |
.cloudfront.net | AWS Public ECR レイヤーダウンロード(CloudFront) | 2 段階目のレイヤーダウンロードが失敗 |
registry.k8s.io | Upstream Kubernetes レジストリ(Cluster Autoscaler イメージ) | Cluster Autoscaler が CrashLoopBackOff |
.pkg.dev | registry.k8s.io のリダイレクト先である Google Artifact Registry | Cluster Autoscaler のレイヤープルが失敗 |
Azure AKS
| FQDN | 用途 | ブロックされた場合の症状 |
|---|
mcr.microsoft.com | Microsoft Container Registry — AKS システムイメージ(CoreDNS、kube-proxy、CSI ドライバー、Azure CNI) | クラスターコンポーネントが起動しない |
*.data.mcr.microsoft.com | MCR レイヤーダウンロードエンドポイント(CDN) | 上記と同様 — レイヤーホップが失敗 |
management.azure.com | Azure ARM API — AKS コントロールプレーンの調整、CSI ディスク/ファイル ドライバーの attach/detach | Pod へのディスク attach が失敗、クラスター操作が暗黙的に失敗 |
login.microsoftonline.com | Entra ID / マネージド ID のトークン取得 | Azure API(Key Vault、ACR、Storage)呼び出しが全失敗、Federated Identity を使用する Pod がクラッシュ |
packages.microsoft.com | ノード OS パッケージ更新(apt/yum)、Azure CLI、SDK パッケージ | ノード OS セキュリティ更新が失敗 |
acs-mirror.azureedge.net | AKS VHD コンポーネント、ノードプロビジョニング時の Kubernetes バイナリ | オートスケール時のノードブートストラップが失敗 |
*.ods.opinsights.azure.com | Azure Monitor Container Insights の取り込み | コンテナログ / メトリクスが報告されない |
*.oms.opinsights.azure.com | Log Analytics ワークスペースの取り込み | 上記と同様 |
*.monitoring.azure.com | Azure Monitor メトリクスの取り込み | マネージド Prometheus のメトリクスが報告されない |
*.hcp.<region>.azmk8s.io | AKS API サーバー FQDN(リージョン別) | kubectl とクラスター内サービスアカウントトークンの検証が失敗(開発者ノート PC / CI でも必要) |
サードパーティ連携
特定の機能に必要な条件付きエンドポイント。
AI / LLMプロバイダー:
| 用途 | 宛先 | 説明 |
|---|
| Azure OpenAI | https://*.openai.azure.com | Azure OpenAI APIを使用する場合のみ必要 |
| OpenAI | https://api.openai.com | OpenAI APIを使用する場合のみ必要 |
| Anthropic Claude | https://api.anthropic.com | Anthropic APIを使用する場合のみ必要 |
| AWS Bedrock | https://bedrock-runtime.*.amazonaws.com | Amazon Bedrock APIを使用する場合のみ必要 |
| Google Generative AI | https://generativelanguage.googleapis.com | Google Generative AI APIを使用する場合のみ必要 |
| Google Vertex AI | https://*-aiplatform.googleapis.com | Google Vertex AIを使用する場合のみ必要 |
| LLMトークンエンコーディング | https://tiktoken.pages.dev | チャットv1(Ultron)を使用する場合のみ必要 |
| 用途 | 宛先 | 説明 |
|---|
| GitHub連携 | https://github.com | GitHub連携を使用する場合のみ必要 |
| GitHub連携 | https://api.github.com | GitHub連携を使用する場合のみ必要 |
| GitHub連携 | https://raw.githubusercontent.com | GitHub連携を使用する場合のみ必要 |
| GitHub連携 | https://codeload.github.com | GitHub連携を使用する場合のみ必要 — api.github.com/.../zipball/<ref> からの302リダイレクト先で、実際のzipバイトを配信 |
| GitLab連携 | https://<your-gitlab-host> | セルフマネージドGitLab連携を使用する場合のみ必要 |
GitHubの api.github.com/repos/<owner>/<repo>/zipball/<ref> は、https://codeload.github.com/... への302リダイレクトを返します。api.github.com を許可リストに含め codeload.github.com を含めていないL7エグレスファイアウォールは、リダイレクト先のフェッチを静かにドロップします。この場合、リポジトリインポートは失敗し、エラーメッセージのURLは api.github.com を指したままのため混乱しやすいです(fetch failed)。ファイアウォール配下でGitHub連携を使用する場合は、両方のホストを許可リストに追加してください。
| 用途 | 宛先 | 説明 |
|---|
| Tavily Search API | https://api.tavily.com | Web検索バックエンドとしてTavilyを使用する場合のみ必要 |
| SearXNG | https://<your-searxng-host> | Web検索バックエンドとしてセルフホストSearXNGを使用する場合のみ必要 |
| Jina Reader | https://r.jina.ai | boost__read_webpageツールに必要 — フォールバックなし |
| Jina Rerank API | https://api.jina.ai | オプション — Document Agent / Code AgentのRAGリランキングに使用 |
| Cohere Rerank API | https://api.cohere.ai | オプション — Document Agent / Code Agentの代替リランカー |
| Wikipedia | https://en.wikipedia.org | 補助的な検索ツール |
| ArXiv | https://export.arxiv.org | 補助的な検索ツール(HTTP/HTTPS) |
| PubMed | https://eutils.ncbi.nlm.nih.gov | 補助的な検索ツール |
| HackerNews | https://hacker-news.firebaseio.com | 補助的な検索ツール |
| Yahoo Finance | https://query1.finance.yahoo.com | 補助的な検索ツール |
| Yahoo Finance | https://query2.finance.yahoo.com | 補助的な検索ツール |
| ユーザー指定URL | *(任意のURL) | MarkItDown / WebsiteTools / Jinaがユーザー指定URLを取得 |
| 用途 | 宛先 | 説明 |
|---|
| Rollbar | https://api.rollbar.com | Rollbarエラー追跡を使用する場合のみ必要 |
| Playwrightトレーシング | https://jitera-trace-viewer.pages.dev | フロントエンドでPlaywrightトレーシングビューアーを使用する場合のみ必要 |
| 用途 | 宛先 | 説明 |
|---|
| Cert-Manager | https://acme-v02.api.letsencrypt.org | cert-managerを使用する場合のみ必要 |
| Cert-Manager HTTP01 | http://*.example.com | HTTP01チャレンジを使用する場合のみ必要 |
| Cert-Manager DNS01 | 各種DNS APIエンドポイント | DNS01チャレンジを使用する場合のみ必要 |
| 用途 | 宛先 | 説明 |
|---|
| EntraID | https://*.windows.net | EntraIDでのSSOを使用する場合のみ必要 |
| EntraID | https://*.microsoftonline.com | EntraIDでのSSOを使用する場合のみ必要 |
| EntraID | https://*.microsoft.com | EntraIDでのSSOを使用する場合のみ必要 |
インフラストラクチャサービス
| 用途 | ソース | 宛先 | 必須 | 説明 |
|---|
| DNS | Kubernetesワーカーノード | 各種DNSサーバー(53/tcp、53/udp) | 必須 | |
| SMTPリレー | Kubernetesワーカーノード | 各種SMTPリレーサーバー(25/tcp) | 条件付き | ローカルSMTPサービスを使用する場合に必要 |
| SMTP送信 | Kubernetesワーカーノード | 各種SMTP送信サービス(587/tcp) | 条件付き | Amazon SES、Azure Communication Services、またはSendGridを使用する場合に必要 |
| NTP | Kubernetesワーカーノード | 各種NTPサーバー(123/udp) | 必須 | |
AWSやAzureなどのパブリッククラウドIaaS環境では、アウトバウンドポート25/tcpはデフォルトでブロックされていることが一般的です。ローカルSMTPリレーを使用する必要がある場合は、事前にクラウドプロバイダーに連絡して制限の解除を依頼してください。
関連ドキュメント
サーバー証明書
Jitera Self-HostedのTLS証明書要件
