Azure Red Hat OpenShift (ARO) クラスターのエグレス トラフィックを制御する
この記事では、Azure Red Hat OpenShift cluster (ARO) からの送信トラフィックをセキュリティで保護するために必要な詳細情報について説明します。 エグレス ロックダウン機能のリリースにより、ARO クラスターに必要なすべての接続がサービスを経由してプロキシされます。 オペレーター ハブや Red Hat テレメトリなどの機能の使用を許可する追加の宛先があります。
重要
これらのクラスターでエグレス ロックダウン機能が有効になっていない場合、古い ARO クラスターでこれらの手順を試さないでください。 古い ARO クラスターでエグレス ロックダウン機能を有効にするには、「エグレス ロックダウンを有効にする」を参照してください。
ARO サービスを経由してプロキシされたエンドポイント
次のエンドポイントはサービス経由でプロキシされ、追加のファイアウォール規則は必要ありません。 この一覧は、情報提供のみを目的としています。
| 送信先 FQDN | Port | 用途 |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | ARO に必要なシステム イメージのグローバル コンテナー レジストリ。 |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | ARO に必要なシステム イメージのリージョン コンテナー レジストリ。 |
management.azure.com |
HTTPS:443 | クラスターが Azure API にアクセスするために使用されます。 |
login.microsoftonline.com |
HTTPS:443 | クラスターによる Azure に対する認証のために使用されます。 |
monitor.core.windows.net の特定のサブドメイン |
HTTPS:443 | ARO チームが顧客のクラスターを監視できるように、Microsoft Geneva Monitoring に使用されます。 |
monitoring.core.windows.net の特定のサブドメイン |
HTTPS:443 | ARO チームが顧客のクラスターを監視できるように、Microsoft Geneva Monitoring に使用されます。 |
blob.core.windows.net の特定のサブドメイン |
HTTPS:443 | ARO チームが顧客のクラスターを監視できるように、Microsoft Geneva Monitoring に使用されます。 |
servicebus.windows.net の特定のサブドメイン |
HTTPS:443 | ARO チームが顧客のクラスターを監視できるように、Microsoft Geneva Monitoring に使用されます。 |
table.core.windows.net の特定のサブドメイン |
HTTPS:443 | ARO チームが顧客のクラスターを監視できるように、Microsoft Geneva Monitoring に使用されます。 |
省略可能なエンドポイントの一覧
その他のコンテナー レジストリ エンドポイント
| 送信先 FQDN | Port | 用途 |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Red Hat のコンテナー イメージとオペレーターを提供するために使用されます。 |
quay.io |
HTTPS:443 | Red Hat およびサード パーティからのコンテナー イメージとオペレーターを提供するために使用されます。 |
cdn.quay.io |
HTTPS:443 | Red Hat およびサード パーティからのコンテナー イメージとオペレーターを提供するために使用されます。 |
cdn01.quay.io |
HTTPS:443 | Red Hat およびサード パーティからのコンテナー イメージとオペレーターを提供するために使用されます。 |
cdn02.quay.io |
HTTPS:443 | Red Hat およびサード パーティからのコンテナー イメージとオペレーターを提供するために使用されます。 |
cdn03.quay.io |
HTTPS:443 | Red Hat およびサード パーティからのコンテナー イメージとオペレーターを提供するために使用されます。 |
access.redhat.com |
HTTPS:443 | Red Hat およびサード パーティからのコンテナー イメージとオペレーターを提供するために使用されます。 |
registry.access.redhat.com |
HTTPS:443 | サードパーティのコンテナー イメージと認定オペレーターを提供するために使用されます。 |
registry.connect.redhat.com |
HTTPS:443 | サードパーティのコンテナー イメージと認定オペレーターを提供するために使用されます。 |
Red Hat テレメトリと Red Hat Insights
既定では、ARO クラスターは Red Hat テレメトリと Red Hat Insights からオプトアウトされます。 Red Hat テレメトリにオプトインする場合は、次のエンドポイントを許可し、クラスターのプル シークレットを更新します。
| 送信先 FQDN | Port | 用途 |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Red Hat テレメトリに使用されます。 |
api.access.redhat.com |
HTTPS:443 | Red Hat テレメトリに使用されます。 |
infogw.api.openshift.com |
HTTPS:443 | Red Hat テレメトリに使用されます。 |
console.redhat.com/api/ingress |
HTTPS:443 | Red Hat Insights と統合される Insights Operator のクラスターで使用されます。 |
リモートの正常性の監視とテレメトリの詳細については、Red Hat OpenShift Container Platform のドキュメントを参照してください。
その他の追加の OpenShift エンドポイント
| 送信先 FQDN | Port | 用途 |
|---|---|---|
api.openshift.com |
HTTPS:443 | クラスターの更新プログラムが使用可能かどうかを確認するためにクラスターで使用されます。 または、ユーザーが OpenShift Upgrade Graph ツールを使用して、アップグレード パスを手動で検索することもできます。 |
mirror.openshift.com |
HTTPS:443 | ミラー化されたインストール コンテンツとイメージにアクセスするために必要です。 |
*.apps.<cluster_domain>* |
HTTPS:443 | ドメインを許可リストに載せる場合に、ARO でデプロイされたアプリケーションにアクセスしたり、OpenShift コンソールにアクセスしたりするために企業ネットワークで使用します。 |
ARO 統合
Azure Monitor Container Insights
ARO クラスターは、Azure Monitor コンテナー分析情報拡張機能を使用して監視できます。 拡張機能を有効にするための前提条件と手順を確認してください。