ARO(Azure Red Hat OpenShift) 클러스터에 대한 송신 트래픽 제어
이 문서에서는 ARO(Azure Red Hat OpenShift) 클러스터에서 아웃바운드 트래픽을 보호하는 데 필요한 세부 정보를 제공합니다. 송신 잠금 기능이 릴리스되면서 ARO 클러스터에 필요한 모든 연결이 서비스를 통해 프록시됩니다. Operator Hub 또는 Red Hat 원격 분석과 같은 기능을 사용하도록 허용할 수 있는 추가 대상이 있습니다.
Important
해당 클러스터에 송신 잠금 기능이 사용하도록 설정되어 있지 않은 경우 이전 ARO 클러스터에 대해 이러한 지침을 시도하지 마세요. 이전 ARO 클러스터에서 송신 잠금 기능을 사용하도록 설정하려면 송신 잠금 사용을 참조하세요.
ARO 서비스를 통해 프록시된 엔드포인트
다음 엔드포인트는 서비스를 통해 프록시되며 추가 방화벽 규칙이 필요하지 않습니다. 이 목록은 정보 제공의 목적으로만 제공됩니다.
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | ARO 필수 시스템 이미지용 전역 컨테이너 레지스트리입니다. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | ARO 필수 시스템 이미지에 대한 지역 컨테이너 레지스트리입니다. |
management.azure.com |
HTTPS:443 | 클러스터에서 Azure API에 액세스하는 데 사용됩니다. |
login.microsoftonline.com |
HTTPS:443 | Azure에 대한 인증을 위해 클러스터에서 사용됩니다. |
monitor.core.windows.net의 특정 하위 도메인 |
HTTPS:443 | ARO 팀이 고객의 클러스터를 모니터링할 수 있도록 Microsoft Geneva 모니터링에 사용됩니다. |
monitoring.core.windows.net의 특정 하위 도메인 |
HTTPS:443 | ARO 팀이 고객의 클러스터를 모니터링할 수 있도록 Microsoft Geneva 모니터링에 사용됩니다. |
blob.core.windows.net의 특정 하위 도메인 |
HTTPS:443 | ARO 팀이 고객의 클러스터를 모니터링할 수 있도록 Microsoft Geneva 모니터링에 사용됩니다. |
servicebus.windows.net의 특정 하위 도메인 |
HTTPS:443 | ARO 팀이 고객의 클러스터를 모니터링할 수 있도록 Microsoft Geneva 모니터링에 사용됩니다. |
table.core.windows.net의 특정 하위 도메인 |
HTTPS:443 | ARO 팀이 고객의 클러스터를 모니터링할 수 있도록 Microsoft Geneva 모니터링에 사용됩니다. |
선택적 엔드포인트 목록
추가 컨테이너 레지스트리 엔드포인트
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Red Hat의 컨테이너 이미지와 연산자를 제공하는 데 사용됩니다. |
quay.io |
HTTPS:443 | Red Hat 및 타사의 컨테이너 이미지와 연산자를 제공하는 데 사용됩니다. |
cdn.quay.io |
HTTPS:443 | Red Hat 및 타사의 컨테이너 이미지와 연산자를 제공하는 데 사용됩니다. |
cdn01.quay.io |
HTTPS:443 | Red Hat 및 타사의 컨테이너 이미지와 연산자를 제공하는 데 사용됩니다. |
cdn02.quay.io |
HTTPS:443 | Red Hat 및 타사의 컨테이너 이미지와 연산자를 제공하는 데 사용됩니다. |
cdn03.quay.io |
HTTPS:443 | Red Hat 및 타사의 컨테이너 이미지와 연산자를 제공하는 데 사용됩니다. |
access.redhat.com |
HTTPS:443 | Red Hat 및 타사의 컨테이너 이미지와 연산자를 제공하는 데 사용됩니다. |
registry.access.redhat.com |
HTTPS:443 | 타사 컨테이너 이미지와 인증된 운영자를 제공하는 데 사용됩니다. |
registry.connect.redhat.com |
HTTPS:443 | 타사 컨테이너 이미지와 인증된 운영자를 제공하는 데 사용됩니다. |
Red Hat 원격 분석 및 Red Hat Insights
기본적으로 ARO 클러스터는 Red Hat Telemetry 및 Red Hat Insights에서 옵트아웃됩니다. Red Hat 원격 분석을 옵트인하려면 다음 엔드포인트를 허용하고 클러스터의 끌어오기 비밀을 업데이트합니다.
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Red Hat 원격 분석에 사용됩니다. |
api.access.redhat.com |
HTTPS:443 | Red Hat 원격 분석에 사용됩니다. |
infogw.api.openshift.com |
HTTPS:443 | Red Hat 원격 분석에 사용됩니다. |
console.redhat.com/api/ingress |
HTTPS:443 | Red Hat Insights와 통합되는 Insight Operator용 클러스터에서 사용됩니다. |
원격 상태 모니터링 및 원격 분석에 대한 자세한 내용은 Red Hat OpenShift Container Platform 설명서를 참조하세요.
기타 추가 OpenShift 엔드포인트
| 대상 FQDN | 포트 | 사용할 용어 |
|---|---|---|
api.openshift.com |
HTTPS:443 | 클러스터에 업데이트가 있는지 확인하기 위해 클러스터에서 사용됩니다. 또는 사용자가 OpenShift 업그레이드 Graph 도구를 사용하여 업그레이드 경로를 수동으로 찾을 수 있습니다. |
mirror.openshift.com |
HTTPS:443 | 미러링된 설치 콘텐츠 및 이미지에 액세스하는 데 필요합니다. |
*.apps.<cluster_domain>* |
HTTPS:443 | 도메인을 허용 목록에 추가할 때 이는 회사 네트워크에서 ARO에 배포된 애플리케이션에 도달하거나 OpenShift 콘솔에 액세스하는 데 사용됩니다. |
ARO 통합
Azure Monitor 컨테이너 인사이트
ARO 클러스터는 Azure Monitor 컨테이너 인사이트 확장을 사용하여 모니터링할 수 있습니다. 확장 사용에 대한 필수 조건 및 지침을 검토합니다.