Controlar o tráfego de saída para o cluster do ARO (Red Hat OpenShift) do Azure
Este artigo fornece os detalhes necessários que permitem proteger o tráfego de saída do seu cluster ARO (Red Hat OpenShift no Azure). Com o lançamento do Recurso de Bloqueio de Saída, todas as conexões necessárias para um cluster ARO são acessadas por meio do serviço. Há destinos adicionais que talvez você queira permitir para usar recursos como o Hub de Operadores ou a telemetria do Red Hat.
Importante
Não tente seguir essas instruções em clusters ARO mais antigos se esses clusters não tiverem o recurso de Bloqueio de Saída habilitado. Para habilitar o recurso de Bloqueio de Saída em clusters ARO mais antigos, consulte Habilitar o Bloqueio de Saída.
Pontos de extremidade encaminhados por proxy por meio do serviço ARO
Os pontos de extremidade a seguir são acessados através de proxy por meio do serviço e não precisam de regras de firewall adicionais. Esta lista está aqui apenas para fins informativos.
| FQDN de destino | Porta | Use |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Registro de contêiner global para imagens do sistema necessárias para o ARO. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Registro de contêiner regional para imagens do sistema necessárias para o ARO. |
management.azure.com |
HTTPS:443 | Usado pelo cluster para acessar as APIs do Azure. |
login.microsoftonline.com |
HTTPS:443 | Usado pelo cluster para a autenticação no Azure. |
Subdomínios específicos de monitor.core.windows.net |
HTTPS:443 | É usado para o monitoramento do Microsoft Geneva para que a equipe do ARO possa monitorar os clusters do cliente. |
Subdomínios específicos de monitoring.core.windows.net |
HTTPS:443 | É usado para o monitoramento do Microsoft Geneva para que a equipe do ARO possa monitorar os clusters do cliente. |
Subdomínios específicos de blob.core.windows.net |
HTTPS:443 | É usado para o monitoramento do Microsoft Geneva para que a equipe do ARO possa monitorar os clusters do cliente. |
Subdomínios específicos de servicebus.windows.net |
HTTPS:443 | É usado para o monitoramento do Microsoft Geneva para que a equipe do ARO possa monitorar os clusters do cliente. |
Subdomínios específicos de table.core.windows.net |
HTTPS:443 | É usado para o monitoramento do Microsoft Geneva para que a equipe do ARO possa monitorar os clusters do cliente. |
Lista de pontos de extremidade opcionais
Pontos de extremidade adicionais do registro de contêiner
| FQDN de destino | Porta | Use |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Usado para fornecer imagens e operadores de contêiner do Red Hat. |
quay.io |
HTTPS:443 | Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros. |
cdn.quay.io |
HTTPS:443 | Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros. |
cdn01.quay.io |
HTTPS:443 | Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros. |
cdn02.quay.io |
HTTPS:443 | Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros. |
cdn03.quay.io |
HTTPS:443 | Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros. |
access.redhat.com |
HTTPS:443 | Usado para fornecer imagens e operadores de contêiner do Red Hat e de terceiros. |
registry.access.redhat.com |
HTTPS:443 | Usado para fornecer imagens de contêiner de terceiros e operadores certificados. |
registry.connect.redhat.com |
HTTPS:443 | Usado para fornecer imagens de contêiner de terceiros e operadores certificados. |
Red Hat Telemetry e Red Hat Insights
Por padrão, os clusters ARO são configurados para não usar o Red Hat Telemetry e o Red Hat Insights. Se você quiser aceitar a telemetria do Red Hat, permita os pontos de extremidade a seguir e atualize o segredo de pull do cluster.
| FQDN de destino | Porta | Use |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Usado para telemetria do Red Hat. |
api.access.redhat.com |
HTTPS:443 | Usado para telemetria do Red Hat. |
infogw.api.openshift.com |
HTTPS:443 | Usado para telemetria do Red Hat. |
console.redhat.com/api/ingress |
HTTPS:443 | Usado no cluster do operador de insights que é integrado aos Insights do Red Hat. |
Para obter informações adicionais sobre monitoramento remoto de integridade e telemetria, consulte a Documentação da Plataforma de Contêineres do Red Hat OpenShift.
Outros pontos de extremidade adicionais do OpenShift
| FQDN de destino | Porta | Use |
|---|---|---|
api.openshift.com |
HTTPS:443 | Usado pelo cluster para verificar se as atualizações estão disponíveis para o cluster. Como alternativa, os usuários podem usar a ferramenta OpenShift Upgrade Graph para localizar manualmente um caminho de atualização. |
mirror.openshift.com |
HTTPS:443 | Necessário para acessar o conteúdo e as imagens da instalação espelhada. |
*.apps.<cluster_domain>* |
HTTPS:443 | Ao incluir domínios da lista de permitidos, isso é usado na rede corporativa para atingir aplicativos implantados no ARO ou para acessar o console do OpenShift. |
Integrações do ARO
Insights de contêiner do Azure Monitor
Os clusters ARO podem ser monitorados usando a extensão de insights de contêiner do Azure Monitor. Examine os pré-requisitos e as instruções para habilitar a extensão.