Uitgaand verkeer beheren voor uw Azure Red Hat OpenShift-cluster (ARO)
Dit artikel bevat de benodigde details waarmee u uitgaand verkeer van uw Azure Red Hat OpenShift-cluster (ARO) kunt beveiligen. Met de release van de functie Uitgaand vergrendelen worden alle vereiste verbindingen voor een ARO-cluster via de service geproxied. Er zijn extra bestemmingen die u mogelijk wilt toestaan om functies zoals Operator Hub of Red Hat-telemetrie te gebruiken.
Belangrijk
Probeer deze instructies niet uit op oudere ARO-clusters als voor deze clusters de functie Uitgaand vergrendelen niet is ingeschakeld. Zie Uitgaand vergrendelen inschakelen voor oudere ARO-clusters om de functie Uitgaand verkeer in te schakelen.
Eindpunten geproxied via de ARO-service
De volgende eindpunten worden via de service geproxied en hebben geen aanvullende firewallregels nodig. Deze lijst is alleen ter informatie bedoeld.
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Globaal containerregister voor vereiste ARO-systeeminstallatiekopieën. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Regionaal containerregister voor vereiste systeeminstallatiekopieën van ARO. |
management.azure.com |
HTTPS:443 | Wordt gebruikt door het cluster voor toegang tot Azure-API's. |
login.microsoftonline.com |
HTTPS:443 | Wordt gebruikt door het cluster voor verificatie bij Azure. |
Specifieke subdomeinen van monitor.core.windows.net |
HTTPS:443 | Wordt gebruikt voor Microsoft Geneva Monitoring, zodat het ARO-team de cluster(s) van de klant kan bewaken. |
Specifieke subdomeinen van monitoring.core.windows.net |
HTTPS:443 | Wordt gebruikt voor Microsoft Geneva Monitoring, zodat het ARO-team de cluster(s) van de klant kan bewaken. |
Specifieke subdomeinen van blob.core.windows.net |
HTTPS:443 | Wordt gebruikt voor Microsoft Geneva Monitoring, zodat het ARO-team de cluster(s) van de klant kan bewaken. |
Specifieke subdomeinen van servicebus.windows.net |
HTTPS:443 | Wordt gebruikt voor Microsoft Geneva Monitoring, zodat het ARO-team de cluster(s) van de klant kan bewaken. |
Specifieke subdomeinen van table.core.windows.net |
HTTPS:443 | Wordt gebruikt voor Microsoft Geneva Monitoring, zodat het ARO-team de cluster(s) van de klant kan bewaken. |
Lijst met optionele eindpunten
Aanvullende containerregistereindpunten
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Wordt gebruikt voor het leveren van containerinstallatiekopieën en operators van Red Hat. |
quay.io |
HTTPS:443 | Wordt gebruikt voor het leveren van containerinstallatiekopieën en operators van Red Hat en derden. |
cdn.quay.io |
HTTPS:443 | Wordt gebruikt voor het leveren van containerinstallatiekopieën en operators van Red Hat en derden. |
cdn01.quay.io |
HTTPS:443 | Wordt gebruikt voor het leveren van containerinstallatiekopieën en operators van Red Hat en derden. |
cdn02.quay.io |
HTTPS:443 | Wordt gebruikt voor het leveren van containerinstallatiekopieën en operators van Red Hat en derden. |
cdn03.quay.io |
HTTPS:443 | Wordt gebruikt voor het leveren van containerinstallatiekopieën en operators van Red Hat en derden. |
access.redhat.com |
HTTPS:443 | Wordt gebruikt voor het leveren van containerinstallatiekopieën en operators van Red Hat en derden. |
registry.access.redhat.com |
HTTPS:443 | Wordt gebruikt voor het leveren van containerinstallatiekopieën van derden en gecertificeerde operators. |
registry.connect.redhat.com |
HTTPS:443 | Wordt gebruikt voor het leveren van containerinstallatiekopieën van derden en gecertificeerde operators. |
Red Hat-telemetrie en Red Hat Insights
Standaard worden ARO-clusters afgemeld voor Red Hat-telemetrie en Red Hat Insights. Als u zich wilt aanmelden voor Red Hat-telemetrie, staat u de volgende eindpunten toe en werkt u het pull-geheim van uw cluster bij.
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Wordt gebruikt voor Red Hat-telemetrie. |
api.access.redhat.com |
HTTPS:443 | Wordt gebruikt voor Red Hat-telemetrie. |
infogw.api.openshift.com |
HTTPS:443 | Wordt gebruikt voor Red Hat-telemetrie. |
console.redhat.com/api/ingress |
HTTPS:443 | Wordt gebruikt in het cluster voor de inzichtenoperator die kan worden geïntegreerd met Red Hat Insights. |
Zie de documentatie van Red Hat OpenShift Container Platform voor meer informatie over externe statusbewaking en telemetrie.
Andere aanvullende OpenShift-eindpunten
| Doel-FQDN | Poort | Gebruik |
|---|---|---|
api.openshift.com |
HTTPS:443 | Wordt door het cluster gebruikt om te controleren of er updates beschikbaar zijn voor het cluster. Gebruikers kunnen ook het hulpprogramma OpenShift Upgrade Graph gebruiken om handmatig een upgradepad te vinden. |
mirror.openshift.com |
HTTPS:443 | Vereist voor toegang tot gespiegelde installatie-inhoud en installatiekopieën. |
*.apps.<cluster_domain>* |
HTTPS:443 | Bij het toestaan van domeinen wordt dit gebruikt in uw bedrijfsnetwerk om toepassingen te bereiken die zijn geïmplementeerd in ARO of om toegang te krijgen tot de OpenShift-console. |
ARO-integraties
Azure Monitor-containerinzichten
ARO-clusters kunnen worden bewaakt met behulp van de Azure Monitor-extensie voor containerinzichten. Bekijk de vereisten en instructies voor het inschakelen van de extensie.