Sdílet prostřednictvím


Řízení výchozího provozu clusteru Azure Red Hat OpenShift (ARO)

Tento článek obsahuje nezbytné podrobnosti, které umožňují zabezpečit odchozí provoz z clusteru Azure Red Hat OpenShift (ARO). S vydáním funkce Uzamčení výchozího přenosu dat se všechna požadovaná připojení ke clusteru ARO přes službu přesouvají. Existují další cíle, které můžete chtít povolit používání funkcí, jako je centrum operátorů nebo telemetrie Red Hat.

Důležité

Nepokoušejte se tyto pokyny u starších clusterů ARO, pokud tyto clustery nemají povolenou funkci Uzamčení výchozího přenosu dat. Pokud chcete povolit funkci Uzamčení výchozího přenosu dat ve starších clusterech ARO, přečtěte si téma Povolení uzamčení výchozího přenosu dat.

Koncové body předávané přes službu ARO

Následující koncové body se přes službu přesouvají a nepotřebují další pravidla brány firewall. Tento seznam je zde pouze pro informační účely.

Cílový plně kvalifikovaný název domény Port Používání
arosvc.azurecr.io HTTPS:443 Globální registr kontejneru pro požadované systémové image ARO
arosvc.$REGION.data.azurecr.io HTTPS:443 Místní registr kontejnerů pro požadované systémové image ARO.
management.azure.com HTTPS:443 Používá ho cluster pro přístup k rozhraním AZURE API.
login.microsoftonline.com HTTPS:443 Používá se clusterem k ověřování do Azure.
Konkrétní subdomény monitor.core.windows.net HTTPS:443 Používá se pro microsoft Geneva Monitoring, aby tým ARO mohl monitorovat clustery zákazníka.
Konkrétní subdomény monitoring.core.windows.net HTTPS:443 Používá se pro microsoft Geneva Monitoring, aby tým ARO mohl monitorovat clustery zákazníka.
Konkrétní subdomény blob.core.windows.net HTTPS:443 Používá se pro microsoft Geneva Monitoring, aby tým ARO mohl monitorovat clustery zákazníka.
Konkrétní subdomény servicebus.windows.net HTTPS:443 Používá se pro microsoft Geneva Monitoring, aby tým ARO mohl monitorovat clustery zákazníka.
Konkrétní subdomény table.core.windows.net HTTPS:443 Používá se pro microsoft Geneva Monitoring, aby tým ARO mohl monitorovat clustery zákazníka.

Seznam volitelných koncových bodů

Další koncové body registru kontejneru

Cílový plně kvalifikovaný název domény Port Používání
registry.redhat.io HTTPS:443 Slouží k poskytování imagí a operátorů kontejneru z Red Hatu.
quay.io HTTPS:443 Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran.
cdn.quay.io HTTPS:443 Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran.
cdn01.quay.io HTTPS:443 Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran.
cdn02.quay.io HTTPS:443 Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran.
cdn03.quay.io HTTPS:443 Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran.
access.redhat.com HTTPS:443 Používá se k poskytování imagí a operátorů kontejnerů z Red Hatu a třetích stran.
registry.access.redhat.com HTTPS:443 Používá se k poskytování imagí kontejnerů třetích stran a certifikovaných operátorů.
registry.connect.redhat.com HTTPS:443 Používá se k poskytování imagí kontejnerů třetích stran a certifikovaných operátorů.

Telemetrie Red Hatu a Přehledy Red Hatu

Ve výchozím nastavení jsou clustery ARO odhlasovány z telemetrie Red Hat a Red Hat Insights. Pokud se chcete přihlásit k telemetrii Red Hat, povolte následující koncové body a aktualizujte tajný kód pro vyžádání změn clusteru.

Cílový plně kvalifikovaný název domény Port Používání
cert-api.access.redhat.com HTTPS:443 Používá se pro telemetrii Red Hat.
api.access.redhat.com HTTPS:443 Používá se pro telemetrii Red Hat.
infogw.api.openshift.com HTTPS:443 Používá se pro telemetrii Red Hat.
console.redhat.com/api/ingress HTTPS:443 Používá se v clusteru pro operátor přehledů, který se integruje s Red Hat Insights.

Další informace o vzdáleném monitorování stavu a telemetrii najdete v dokumentaci ke službě Red Hat OpenShift Container Platform.

Další další koncové body OpenShiftu

Cílový plně kvalifikovaný název domény Port Používání
api.openshift.com HTTPS:443 Používá ho cluster ke kontrole, jestli jsou pro cluster k dispozici aktualizace. Alternativně můžou uživatelé pomocí nástroje OpenShift Upgrade Graph najít cestu upgradu ručně.
mirror.openshift.com HTTPS:443 Vyžadováno pro přístup k zrcadleným instalačnímu obsahu a imagím.
*.apps.<cluster_domain>* HTTPS:443 Při povolování domén se používá ve vaší podnikové síti pro přístup k aplikacím nasazeným v ARO nebo pro přístup ke konzole OpenShift.

Integrace ARO

Přehledy kontejnerů služby Azure Monitor

Clustery ARO je možné monitorovat pomocí rozšíření Azure Monitor Container Insights. Projděte si požadavky a pokyny pro povolení rozšíření.