Steuern des ausgehenden Datenverkehrs für Ihren Azure Red Hat OpenShift-Cluster (ARO)
Dieser Artikel enthält die erforderlichen Informationen, die Sie zum Schützen des ausgehenden Datenverkehrs Ihres Azure Red Hat OpenShift-Clusters (ARO) benötigen. Mit der Veröffentlichung des Ausgehenden Sperrmodusfeatures werden alle erforderlichen Verbindungen für ein ARO-Cluster über den Dienst geproxied. Es gibt zusätzliche Ziele, denen Sie möglicherweise erlauben möchten, Features wie Operator Hub oder Red Hat-Telemetrie zu verwenden.
Wichtig
Versuchen Sie nicht, diese Anweisungen bei älteren ARO-Cluster anzuwenden, wenn für diese Cluster das ausgehende Sperrmodusfeature nicht aktiviert ist. Informationen zum Aktivieren des ausgehenden Sperrmodusfeatures auf älteren ARO-Clustern finden Sie unter Aktivieren des Sperrmodus für ausgehende Daten.
Endpunkte, die über den ARO-Dienst geproxied werden
Die folgenden Endpunkte werden über den Dienst geproxied und benötigen keine zusätzlichen Firewallregeln. Diese Liste wird hier nur zu Informationszwecken angezeigt.
| Ziel-FQDN | Port | Zweck |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Globale Containerregistrierung für die von ARO erforderlichen System-Images. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Regionale Containerregistrierung für die von ARO erforderlichen System-Images. |
management.azure.com |
HTTPS:443 | Wird vom Cluster für den Zugriff auf Azure-APIs verwendet. |
login.microsoftonline.com |
HTTPS:443 | Wird vom Cluster für die Authentifizierung bei Azure verwendet. |
Spezifische Unterdomänen von monitor.core.windows.net |
HTTPS:443 | Wird für die Microsoft Geneva-Überwachung verwendet, damit das ARO-Team die Cluster des Kunden überwachen kann. |
Spezifische Unterdomänen von monitoring.core.windows.net |
HTTPS:443 | Wird für die Microsoft Geneva-Überwachung verwendet, damit das ARO-Team die Cluster des Kunden überwachen kann. |
Spezifische Unterdomänen von blob.core.windows.net |
HTTPS:443 | Wird für die Microsoft Geneva-Überwachung verwendet, damit das ARO-Team die Cluster des Kunden überwachen kann. |
Spezifische Unterdomänen von servicebus.windows.net |
HTTPS:443 | Wird für die Microsoft Geneva-Überwachung verwendet, damit das ARO-Team die Cluster des Kunden überwachen kann. |
Spezifische Unterdomänen von table.core.windows.net |
HTTPS:443 | Wird für die Microsoft Geneva-Überwachung verwendet, damit das ARO-Team die Cluster des Kunden überwachen kann. |
Liste der optionalen Endpunkte
Zusätzliche Endpunkte für die Containerregistrierung
| Ziel-FQDN | Port | Zweck |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Wird verwendet, um Containerimages und Operatoren von Red Hat bereitzustellen. |
quay.io |
HTTPS:443 | Wird verwendet, um Containerimages und Operatoren von Red Hat und Drittanbietern bereitzustellen. |
cdn.quay.io |
HTTPS:443 | Wird verwendet, um Containerimages und Operatoren von Red Hat und Drittanbietern bereitzustellen. |
cdn01.quay.io |
HTTPS:443 | Wird verwendet, um Containerimages und Operatoren von Red Hat und Drittanbietern bereitzustellen. |
cdn02.quay.io |
HTTPS:443 | Wird verwendet, um Containerimages und Operatoren von Red Hat und Drittanbietern bereitzustellen. |
cdn03.quay.io |
HTTPS:443 | Wird verwendet, um Containerimages und Operatoren von Red Hat und Drittanbietern bereitzustellen. |
access.redhat.com |
HTTPS:443 | Wird verwendet, um Containerimages und Operatoren von Red Hat und Drittanbietern bereitzustellen. |
registry.access.redhat.com |
HTTPS:443 | Wird verwendet, um Containerimages von Drittanbietern und zertifizierte Operatoren bereitzustellen. |
registry.connect.redhat.com |
HTTPS:443 | Wird verwendet, um Containerimages von Drittanbietern und zertifizierte Operatoren bereitzustellen. |
Red Hat-Telemetrie und Red Hat-Erkenntnisse
Standardmäßig sind ARO-Cluster von Red Hat-Telemetrie und Red Hat-Erkenntnissen deaktiviert. Wenn Sie sich bei Red Hat-Telemetrie anmelden möchten, lassen Sie die folgenden Endpunkte zu und aktualisieren Sie das Pull-Geheimnis Ihres Clusters.
| Ziel-FQDN | Port | Zweck |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Wird für Red Hat-Telemetrie verwendet. |
api.access.redhat.com |
HTTPS:443 | Wird für Red Hat-Telemetrie verwendet. |
infogw.api.openshift.com |
HTTPS:443 | Wird für Red Hat-Telemetrie verwendet. |
console.redhat.com/api/ingress |
HTTPS:443 | Wird im Cluster für den Insights-Operator verwendet, der mit Red Hat Insights integriert wird. |
Weitere Informationen zur Remote-Systemüberwachung und -Telemetrie finden Sie in der Dokumentation von Red Hat OpenShift Container Platform.
Weitere zusätzliche OpenShift-Endpunkte
| Ziel-FQDN | Port | Zweck |
|---|---|---|
api.openshift.com |
HTTPS:443 | Wird vom Cluster verwendet, um zu überprüfen, ob Updates für das Cluster verfügbar sind. Alternativ können Benutzer das Tool OpenShift Upgrade Graph verwenden, um manuell einen Upgrade-Pfad zu finden. |
mirror.openshift.com |
HTTPS:443 | Erforderlich für den Zugriff auf gespiegelte Installationsinhalte und -images. |
*.apps.<cluster_domain>* |
HTTPS:443 | Wenn Domänen auf die Positivlisten gesetzt werden, wird dies in Ihrem Unternehmensnetzwerk genutzt, um unter ARO bereitgestellte Anwendungen zu erreichen oder auf die OpenShift-Konsole zuzugreifen. |
ARO-Integrationen
Azure Monitor-Containererkenntnisse
ARO-Cluster können mithilfe der Erweiterung für Containererkenntnisse in Azure Monitor überwacht werden. Überprüfen Sie die Voraussetzungen und Anweisungen für die Aktivierung der Erweiterung.