Kontrolowanie ruchu wychodzącego dla klastra usługi Azure Red Hat OpenShift (ARO)
Ten artykuł zawiera niezbędne szczegóły, które umożliwiają zabezpieczanie ruchu wychodzącego z klastra Azure Red Hat OpenShift (ARO). Po wydaniu funkcji blokady ruchu wychodzącego wszystkie wymagane połączenia dla klastra usługi ARO są przyłączone za pośrednictwem usługi. Istnieją dodatkowe miejsca docelowe, które można zezwolić na korzystanie z funkcji, takich jak telemetria Operator Hub lub Red Hat.
Ważne
Nie należy podejmować próby wykonania tych instrukcji w starszych klastrach usługi ARO, jeśli te klastry nie mają włączonej funkcji blokady ruchu wychodzącego. Aby włączyć funkcję blokady ruchu wychodzącego w starszych klastrach usługi ARO, zobacz Włączanie blokady ruchu wychodzącego.
Punkty końcowe proxied za pośrednictwem usługi ARO
Następujące punkty końcowe są proxied za pośrednictwem usługi i nie wymagają dodatkowych reguł zapory. Ta lista jest dostępna tylko w celach informacyjnych.
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Globalny rejestr kontenerów dla wymaganych obrazów systemowych usługi ARO. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Regionalny rejestr kontenerów dla wymaganych obrazów systemowych usługi ARO. |
management.azure.com |
HTTPS:443 | Używany przez klaster do uzyskiwania dostępu do interfejsów API platformy Azure. |
login.microsoftonline.com |
HTTPS:443 | Używany przez klaster do uwierzytelniania na platformie Azure. |
Określone poddomeny monitor.core.windows.net |
HTTPS:443 | Służy do monitorowania firmy Microsoft Geneva, aby zespół usługi ARO mógł monitorować klastry klienta. |
Określone poddomeny monitoring.core.windows.net |
HTTPS:443 | Służy do monitorowania firmy Microsoft Geneva, aby zespół usługi ARO mógł monitorować klastry klienta. |
Określone poddomeny blob.core.windows.net |
HTTPS:443 | Służy do monitorowania firmy Microsoft Geneva, aby zespół usługi ARO mógł monitorować klastry klienta. |
Określone poddomeny servicebus.windows.net |
HTTPS:443 | Służy do monitorowania firmy Microsoft Geneva, aby zespół usługi ARO mógł monitorować klastry klienta. |
Określone poddomeny table.core.windows.net |
HTTPS:443 | Służy do monitorowania firmy Microsoft Geneva, aby zespół usługi ARO mógł monitorować klastry klienta. |
Lista opcjonalnych punktów końcowych
Dodatkowe punkty końcowe rejestru kontenerów
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Służy do dostarczania obrazów kontenerów i operatorów z systemu Red Hat. |
quay.io |
HTTPS:443 | Służy do dostarczania obrazów kontenerów i operatorów firmy Red Hat i innych firm. |
cdn.quay.io |
HTTPS:443 | Służy do dostarczania obrazów kontenerów i operatorów firmy Red Hat i innych firm. |
cdn01.quay.io |
HTTPS:443 | Służy do dostarczania obrazów kontenerów i operatorów firmy Red Hat i innych firm. |
cdn02.quay.io |
HTTPS:443 | Służy do dostarczania obrazów kontenerów i operatorów firmy Red Hat i innych firm. |
cdn03.quay.io |
HTTPS:443 | Służy do dostarczania obrazów kontenerów i operatorów firmy Red Hat i innych firm. |
access.redhat.com |
HTTPS:443 | Służy do dostarczania obrazów kontenerów i operatorów firmy Red Hat i innych firm. |
registry.access.redhat.com |
HTTPS:443 | Służy do dostarczania obrazów kontenerów innych firm i certyfikowanych operatorów. |
registry.connect.redhat.com |
HTTPS:443 | Służy do dostarczania obrazów kontenerów innych firm i certyfikowanych operatorów. |
Dane telemetryczne Red Hat i Red Hat Insights
Domyślnie klastry ARO są zrezygnowane z telemetrii Red Hat i Red Hat Insights. Jeśli chcesz wyrazić zgodę na dane telemetryczne rozwiązania Red Hat, zezwól na następujące punkty końcowe i zaktualizuj wpis tajny ściągnięcia klastra.
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Służy do telemetrii Red Hat. |
api.access.redhat.com |
HTTPS:443 | Służy do telemetrii Red Hat. |
infogw.api.openshift.com |
HTTPS:443 | Służy do telemetrii Red Hat. |
console.redhat.com/api/ingress |
HTTPS:443 | Używany w klastrze dla operatora szczegółowych informacji, który integruje się z usługą Red Hat Insights. |
Aby uzyskać dodatkowe informacje na temat zdalnego monitorowania kondycji i telemetrii, zobacz dokumentację platformy kontenera Red Hat OpenShift.
Inne dodatkowe punkty końcowe openShift
| Docelowa nazwa FQDN | Port | Używanie |
|---|---|---|
api.openshift.com |
HTTPS:443 | Używany przez klaster do sprawdzania, czy aktualizacje są dostępne dla klastra. Alternatywnie użytkownicy mogą użyć narzędzia OpenShift Upgrade Graph, aby ręcznie znaleźć ścieżkę uaktualnienia. |
mirror.openshift.com |
HTTPS:443 | Wymagane do uzyskania dostępu do dublowanej zawartości i obrazów instalacji. |
*.apps.<cluster_domain>* |
HTTPS:443 | W przypadku domen z listą dozwolonych ta opcja jest używana w sieci firmowej do uzyskiwania dostępu do aplikacji wdrożonych w usłudze ARO lub uzyskiwania dostępu do konsoli OpenShift. |
Integracje usługi ARO
Szczegółowe informacje o kontenerze usługi Azure Monitor
Klastry ARO można monitorować za pomocą rozszerzenia azure Monitor container insights. Zapoznaj się z wymaganiami wstępnymi i instrukcjami dotyczącymi włączania rozszerzenia.