Compartir a través de


Control del tráfico de salida del clúster de Red Hat OpenShift (ARO) en Azure

En este artículo se proporcionan los detalles necesarios que permiten proteger el tráfico de salida desde el clúster de Red Hat OpenShift (ARO) en Azure. Con el lanzamiento de la característica Bloqueo de salida, todas las conexiones necesarias para un clúster de ARO se redirigirán por el proxy mediante el servicio. Hay otros destinos a los que puede permitir usar características como Operator Hub o telemetría de Red Hat.

Importante

No intente estas instrucciones en clústeres de ARO anteriores si esos clústeres no tienen habilitada la característica Bloqueo de salida. Para habilitar la característica Bloqueo de salida en clústeres de ARO anteriores, consulte Habilitación del bloqueo de salida.

Puntos de conexión proxy a través del servicio ARO

Los siguientes puntos de conexión se envían a través del servicio y no necesitan reglas de firewall adicionales. Esta lista está aquí solo con fines informativos.

FQDN de destino Port Uso
arosvc.azurecr.io HTTPS:443 Registro de contenedor global para las imágenes del sistema necesarias de ARO.
arosvc.$REGION.data.azurecr.io HTTPS:443 Registro de contenedor regional para las imágenes del sistema necesarias de ARO.
management.azure.com HTTPS:443 Lo usa el clúster para acceder a las API de Azure.
login.microsoftonline.com HTTPS:443 Lo usa el clúster para la autenticación en Azure.
Subdominios específicos de monitor.core.windows.net HTTPS:443 Se usa para la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar los clústeres del cliente.
Subdominios específicos de monitoring.core.windows.net HTTPS:443 Se usa para la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar los clústeres del cliente.
Subdominios específicos de blob.core.windows.net HTTPS:443 Se usa para la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar los clústeres del cliente.
Subdominios específicos de servicebus.windows.net HTTPS:443 Se usa para la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar los clústeres del cliente.
Subdominios específicos de table.core.windows.net HTTPS:443 Se usa para la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar los clústeres del cliente.

Lista de puntos de conexión opcionales

Puntos de conexión adicionales del registro de contenedor

FQDN de destino Port Uso
registry.redhat.io HTTPS:443 Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat.
quay.io HTTPS:443 Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros.
cdn.quay.io HTTPS:443 Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros.
cdn01.quay.io HTTPS:443 Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros.
cdn02.quay.io HTTPS:443 Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros.
cdn03.quay.io HTTPS:443 Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros.
access.redhat.com HTTPS:443 Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros.
registry.access.redhat.com HTTPS:443 Se usa para proporcionar imágenes de contenedor de terceros y operadores certificados.
registry.connect.redhat.com HTTPS:443 Se usa para proporcionar imágenes de contenedor de terceros y operadores certificados.

Telemetría de Red Hat y Red Hat Insights

De manera predeterminada, los clústeres de ARO se excluyen de la Telemetría de Red Hat y Red Hat Insights. Si desea participar en la Telemetría de Red Hat, permita los siguientes puntos de conexión y actualice el secreto de extracción del clúster.

FQDN de destino Port Uso
cert-api.access.redhat.com HTTPS:443 Se usa para la telemetría de Red Hat.
api.access.redhat.com HTTPS:443 Se usa para la telemetría de Red Hat.
infogw.api.openshift.com HTTPS:443 Se usa para la telemetría de Red Hat.
console.redhat.com/api/ingress HTTPS:443 Se usa en el clúster para el operador de información que se integra con Red Hat Insights.

Para obtener más información sobre la supervisión remota del estado y la telemetría, consulte la documentación de OpenShift Container Platform de Red Hat.

Otros puntos de conexión adicionales de OpenShift

FQDN de destino Port Uso
api.openshift.com HTTPS:443 Lo usa el clúster para comprobar si hay actualizaciones disponibles para el clúster. Como alternativa, los usuarios pueden usar la herramienta OpenShift Upgrade Graph para buscar manualmente una ruta de actualización.
mirror.openshift.com HTTPS:443 Necesario para acceder al contenido y las imágenes de la instalación reflejadas.
*.apps.<cluster_domain>* HTTPS:443 Al incluir dominios en la lista de permitidos, se usa en la red corporativa para llegar a las aplicaciones implementadas en ARO o para acceder a la consola de OpenShift.

Integraciones de ARO

Conclusiones de contenedor de Azure Monitor

Los clústeres de ARO se pueden supervisar mediante la extensión de información del contenedor de Azure Monitor. Revise los requisitos previos e instrucciones para habilitar la extensión.