Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan los detalles necesarios que permiten proteger el tráfico de salida desde el clúster de Red Hat OpenShift (ARO) en Azure. Con el lanzamiento de la característica Bloqueo de salida, todas las conexiones necesarias para un clúster de ARO se redirigirán por el proxy mediante el servicio. Hay más destinos que es posible que quiera permitir usar características como Operator Hub o telemetría de Red Hat.
Importante
No intente estas instrucciones en clústeres de ARO anteriores si esos clústeres no tienen habilitada la característica Bloqueo de salida. Para habilitar la característica Bloqueo de salida en clústeres de ARO anteriores, consulte Habilitación del bloqueo de salida.
Puntos de conexión proxy a través del servicio ARO
Los siguientes extremos son gestionados a través del servicio y no necesitan reglas adicionales de firewall. Esta lista está aquí solo con fines informativos.
| FQDN de destino | Puerto | Uso |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Registro de contenedor global para las imágenes del sistema necesarias de ARO. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Registro de contenedor regional para las imágenes del sistema necesarias de ARO. |
management.azure.com |
HTTPS:443 | Lo usa el clúster para acceder a las API de Azure. |
login.microsoftonline.com |
HTTPS:443 | Lo usa el clúster para la autenticación en Azure. |
Subdominios específicos de monitor.core.windows.net |
HTTPS:443 | Se utiliza para Microsoft Geneva Monitoring, de modo que el equipo de ARO pueda supervisar el clúster del cliente. |
Subdominios específicos de monitoring.core.windows.net |
HTTPS:443 | Se utiliza para el monitoreo de Microsoft Geneva, de modo que el equipo de ARO pueda observar el clúster del cliente. |
Subdominios específicos de blob.core.windows.net |
HTTPS:443 | Se utiliza para el monitoreo de Microsoft Geneva, de modo que el equipo de ARO pueda supervisar el clúster del cliente. |
Subdominios específicos de servicebus.windows.net |
HTTPS:443 | Se utiliza en la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar el clúster del cliente. |
Subdominios específicos de table.core.windows.net |
HTTPS:443 | Se utiliza para Microsoft Geneva Monitoring para que el equipo de ARO pueda supervisar el clúster del cliente. |
Lista de puntos de conexión opcionales
Otros puntos de conexión de registros de contenedores
| FQDN de destino | Puerto | Uso |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat. |
quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn01.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn02.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn03.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn04.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn05.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn06.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
access.redhat.com |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
registry.access.redhat.com |
HTTPS:443 | Se usa para proporcionar imágenes de contenedor de terceros y operadores certificados. |
registry.connect.redhat.com |
HTTPS:443 | Se usa para proporcionar imágenes de contenedor de terceros y operadores certificados. |
Telemetría de Red Hat y Red Hat Insights
De manera predeterminada, los clústeres de ARO se excluyen de la Telemetría de Red Hat y Red Hat Insights. Si desea participar en la telemetría de Red Hat, permita los siguientes puntos de conexión y actualice el secreto de extracción del clúster.
| FQDN de destino | Puerto | Uso |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Se usa para la telemetría de Red Hat. |
api.access.redhat.com |
HTTPS:443 | Se usa para la telemetría de Red Hat. |
infogw.api.openshift.com |
HTTPS:443 | Se usa para la telemetría de Red Hat. |
console.redhat.com/api/ingress |
HTTPS:443 | Se usa en el clúster para el operador de información que se integra con Red Hat Insights. |
Para obtener más información sobre la supervisión remota del estado y la telemetría, consulte la documentación de Red Hat OpenShift Container Platform.
Otros puntos de conexión de OpenShift
| FQDN de destino | Puerto | Uso |
|---|---|---|
api.openshift.com |
HTTPS:443 | Lo usa el clúster para comprobar si hay actualizaciones disponibles para el clúster. Como alternativa, los usuarios pueden usar la herramienta OpenShift Upgrade Graph para buscar manualmente una ruta de actualización. |
mirror.openshift.com |
HTTPS:443 | Necesario para acceder al contenido y las imágenes de la instalación reflejadas. |
*.apps.<cluster_domain>* |
HTTPS:443 | Cuando se permiten los dominios permitidos, este endpoint se usa en la red corporativa para acceder a las aplicaciones implementadas en ARO o para acceder a la consola de OpenShift. |
Integraciones de ARO
Conclusiones de contenedor de Azure Monitor
Los clústeres de ARO se pueden supervisar mediante la extensión de información del contenedor de Azure Monitor. Revise los requisitos previos e instrucciones para habilitar la extensión.