Управление исходящим трафиком для кластера Azure Red Hat OpenShift (ARO)
В этой статье содержатся необходимые сведения, позволяющие защитить исходящий трафик из кластера Azure Red Hat OpenShift (ARO). При выпуске функции блокировки исходящего трафика все необходимые подключения для кластера ARO выполняются через службу. Существуют дополнительные назначения, которые можно разрешить использовать такие функции, как концентратор операторов или телеметрия Red Hat.
Внимание
Не пытайтесь выполнить эти инструкции в старых кластерах ARO, если эти кластеры не имеют функции блокировки исходящего трафика. Чтобы включить функцию блокировки исходящего трафика в старых кластерах ARO, см. раздел "Включить блокировку исходящего трафика".
Конечные точки, проксиированные через службу ARO
Следующие конечные точки используются через службу и не требуют дополнительных правил брандмауэра. Этот список предназначен только для информационных целей.
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Глобальный реестр контейнеров для необходимых системных образов ARO. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Региональный реестр контейнеров для необходимых системных образов ARO. |
management.azure.com |
HTTPS:443 | Используется кластером для доступа к API Azure. |
login.microsoftonline.com |
HTTPS:443 | Используется кластером для проверки подлинности в Azure. |
Определенные поддомены monitor.core.windows.net |
HTTPS:443 | Используется для мониторинга Microsoft Geneva, чтобы команда ARO могли отслеживать кластеры клиента. |
Определенные поддомены monitoring.core.windows.net |
HTTPS:443 | Используется для мониторинга Microsoft Geneva, чтобы команда ARO могли отслеживать кластеры клиента. |
Определенные поддомены blob.core.windows.net |
HTTPS:443 | Используется для мониторинга Microsoft Geneva, чтобы команда ARO могли отслеживать кластеры клиента. |
Определенные поддомены servicebus.windows.net |
HTTPS:443 | Используется для мониторинга Microsoft Geneva, чтобы команда ARO могли отслеживать кластеры клиента. |
Определенные поддомены table.core.windows.net |
HTTPS:443 | Используется для мониторинга Microsoft Geneva, чтобы команда ARO могли отслеживать кластеры клиента. |
Список необязательных конечных точек
Дополнительные конечные точки реестра контейнеров
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Используется для предоставления образов контейнеров и операторов из Red Hat. |
quay.io |
HTTPS:443 | Используется для предоставления образов контейнеров и операторов из Red Hat и сторонних производителей. |
cdn.quay.io |
HTTPS:443 | Используется для предоставления образов контейнеров и операторов из Red Hat и сторонних производителей. |
cdn01.quay.io |
HTTPS:443 | Используется для предоставления образов контейнеров и операторов из Red Hat и сторонних производителей. |
cdn02.quay.io |
HTTPS:443 | Используется для предоставления образов контейнеров и операторов из Red Hat и сторонних производителей. |
cdn03.quay.io |
HTTPS:443 | Используется для предоставления образов контейнеров и операторов из Red Hat и сторонних производителей. |
access.redhat.com |
HTTPS:443 | Используется для предоставления образов контейнеров и операторов из Red Hat и сторонних производителей. |
registry.access.redhat.com |
HTTPS:443 | Используется для предоставления сторонних образов контейнеров и сертифицированных операторов. |
registry.connect.redhat.com |
HTTPS:443 | Используется для предоставления сторонних образов контейнеров и сертифицированных операторов. |
Телеметрия Red Hat и Red Hat Insights
По умолчанию кластеры ARO отказались от телеметрии Red Hat и Red Hat Insights. Если вы хотите принять участие в телеметрии Red Hat, разрешите следующие конечные точки и обновите секрет извлечения кластера.
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Используется для телеметрии Red Hat. |
api.access.redhat.com |
HTTPS:443 | Используется для телеметрии Red Hat. |
infogw.api.openshift.com |
HTTPS:443 | Используется для телеметрии Red Hat. |
console.redhat.com/api/ingress |
HTTPS:443 | Используется в кластере для оператора аналитики, который интегрируется с Red Hat Insights. |
Дополнительные сведения о удаленном мониторинге работоспособности и телеметрии см. в документации по платформе контейнеров Red Hat OpenShift.
Другие дополнительные конечные точки OpenShift
| Полное доменное имя назначения | Порт | Использование |
|---|---|---|
api.openshift.com |
HTTPS:443 | Используется кластером для проверки доступности обновлений для кластера. Кроме того, пользователи могут использовать средство Graph обновления OpenShift, чтобы вручную найти путь обновления. |
mirror.openshift.com |
HTTPS:443 | Требуется для доступа к содержимому и изображениям зеркальной установки. |
*.apps.<cluster_domain>* |
HTTPS:443 | При разрешенном списке доменов это используется в корпоративной сети для доступа к приложениям, развернутным в ARO, или для доступа к консоли OpenShift. |
Интеграции ARO
Аналитика контейнеров Azure Monitor
Кластеры ARO можно отслеживать с помощью расширения аналитики контейнеров Azure Monitor. Просмотрите предварительные требования и инструкции по включению расширения.