Control del tráfico de salida del clúster de Red Hat OpenShift (ARO) en Azure
En este artículo se proporcionan los detalles necesarios que permiten proteger el tráfico de salida desde el clúster de Red Hat OpenShift (ARO) en Azure. Con el lanzamiento de la característica Bloqueo de salida, todas las conexiones necesarias para un clúster de ARO se redirigirán por el proxy mediante el servicio. Hay otros destinos a los que puede permitir usar características como Operator Hub o telemetría de Red Hat.
Importante
No intente estas instrucciones en clústeres de ARO anteriores si esos clústeres no tienen habilitada la característica Bloqueo de salida. Para habilitar la característica Bloqueo de salida en clústeres de ARO anteriores, consulte Habilitación del bloqueo de salida.
Puntos de conexión proxy a través del servicio ARO
Los siguientes puntos de conexión se envían a través del servicio y no necesitan reglas de firewall adicionales. Esta lista está aquí solo con fines informativos.
| FQDN de destino | Port | Uso |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Registro de contenedor global para las imágenes del sistema necesarias de ARO. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Registro de contenedor regional para las imágenes del sistema necesarias de ARO. |
management.azure.com |
HTTPS:443 | Lo usa el clúster para acceder a las API de Azure. |
login.microsoftonline.com |
HTTPS:443 | Lo usa el clúster para la autenticación en Azure. |
Subdominios específicos de monitor.core.windows.net |
HTTPS:443 | Se usa para la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar los clústeres del cliente. |
Subdominios específicos de monitoring.core.windows.net |
HTTPS:443 | Se usa para la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar los clústeres del cliente. |
Subdominios específicos de blob.core.windows.net |
HTTPS:443 | Se usa para la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar los clústeres del cliente. |
Subdominios específicos de servicebus.windows.net |
HTTPS:443 | Se usa para la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar los clústeres del cliente. |
Subdominios específicos de table.core.windows.net |
HTTPS:443 | Se usa para la supervisión de Microsoft Geneva para que el equipo de ARO pueda supervisar los clústeres del cliente. |
Lista de puntos de conexión opcionales
Puntos de conexión adicionales del registro de contenedor
| FQDN de destino | Port | Uso |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat. |
quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn01.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn02.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
cdn03.quay.io |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
access.redhat.com |
HTTPS:443 | Se usa para proporcionar imágenes y operadores de contenedor desde Red Hat y de terceros. |
registry.access.redhat.com |
HTTPS:443 | Se usa para proporcionar imágenes de contenedor de terceros y operadores certificados. |
registry.connect.redhat.com |
HTTPS:443 | Se usa para proporcionar imágenes de contenedor de terceros y operadores certificados. |
Telemetría de Red Hat y Red Hat Insights
De manera predeterminada, los clústeres de ARO se excluyen de la Telemetría de Red Hat y Red Hat Insights. Si desea participar en la Telemetría de Red Hat, permita los siguientes puntos de conexión y actualice el secreto de extracción del clúster.
| FQDN de destino | Port | Uso |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Se usa para la telemetría de Red Hat. |
api.access.redhat.com |
HTTPS:443 | Se usa para la telemetría de Red Hat. |
infogw.api.openshift.com |
HTTPS:443 | Se usa para la telemetría de Red Hat. |
console.redhat.com/api/ingress |
HTTPS:443 | Se usa en el clúster para el operador de información que se integra con Red Hat Insights. |
Para obtener más información sobre la supervisión remota del estado y la telemetría, consulte la documentación de OpenShift Container Platform de Red Hat.
Otros puntos de conexión adicionales de OpenShift
| FQDN de destino | Port | Uso |
|---|---|---|
api.openshift.com |
HTTPS:443 | Lo usa el clúster para comprobar si hay actualizaciones disponibles para el clúster. Como alternativa, los usuarios pueden usar la herramienta OpenShift Upgrade Graph para buscar manualmente una ruta de actualización. |
mirror.openshift.com |
HTTPS:443 | Necesario para acceder al contenido y las imágenes de la instalación reflejadas. |
*.apps.<cluster_domain>* |
HTTPS:443 | Al incluir dominios en la lista de permitidos, se usa en la red corporativa para llegar a las aplicaciones implementadas en ARO o para acceder a la consola de OpenShift. |
Integraciones de ARO
Conclusiones de contenedor de Azure Monitor
Los clústeres de ARO se pueden supervisar mediante la extensión de información del contenedor de Azure Monitor. Revise los requisitos previos e instrucciones para habilitar la extensión.