Contrôler le trafic de sortie pour votre cluster Azure Red Hat OpenShift (ARO)
Cet article donne les informations nécessaires pour sécuriser le trafic sortant d’Azure Red Hat OpenShift (ARO). Avec la sortie de la fonctionnalité de verrouillage de sortie, toutes les connexions requises pour un cluster ARO sont mandatées via le service. Il existe des destinations supplémentaires que vous souhaiterez peut-être autoriser pour utiliser des fonctionnalités telles que Operator Hub ou Red Hat Telemetry.
Important
N’essayez pas ces instructions sur d’anciens clusters ARO si la fonctionnalité de verrouillage de sortie n’est pas activée sur ces clusters. Pour activer la fonctionnalité de verrouillage de sortie sur les anciens clusters ARO, consultez la section Activer le verrouillage de sortie.
Points de terminaison mandatés via le service ARO
Les points de terminaison suivants sont mandatés via le service et n’ont pas besoin de règles de pare-feu supplémentaires. Cette liste est fournie à titre d’information uniquement.
| Nom FQDN de destination | Port | Utilisation |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Registre de conteneurs mondial pour les images système requises par ARO. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Registre de conteneurs régional pour les images système requises par ARO. |
management.azure.com |
HTTPS:443 | Utilisé par le cluster pour accéder aux API Azure. |
login.microsoftonline.com |
HTTPS:443 | Utilisé par le cluster pour l’authentification auprès d’Azure. |
Sous-domaines spécifiques de monitor.core.windows.net |
HTTPS:443 | Utilisé pour Microsoft Geneva Monitoring afin que l’équipe ARO puisse surveiller les clusters du client. |
Sous-domaines spécifiques de monitoring.core.windows.net |
HTTPS:443 | Utilisé pour Microsoft Geneva Monitoring afin que l’équipe ARO puisse surveiller les clusters du client. |
Sous-domaines spécifiques de blob.core.windows.net |
HTTPS:443 | Utilisé pour Microsoft Geneva Monitoring afin que l’équipe ARO puisse surveiller les clusters du client. |
Sous-domaines spécifiques de servicebus.windows.net |
HTTPS:443 | Utilisé pour Microsoft Geneva Monitoring afin que l’équipe ARO puisse surveiller les clusters du client. |
Sous-domaines spécifiques de table.core.windows.net |
HTTPS:443 | Utilisé pour Microsoft Geneva Monitoring afin que l’équipe ARO puisse surveiller les clusters du client. |
Liste des points de terminaison facultatifs
Points de terminaison de registre de conteneurs supplémentaires
| Nom FQDN de destination | Port | Utilisation |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Utilisé pour fournir des images conteneur et des opérateurs à partir de Red Hat. |
quay.io |
HTTPS:443 | Utilisé pour fournir des images conteneur et des opérateurs à partir de Red Hat et de fournisseurs tiers. |
cdn.quay.io |
HTTPS:443 | Utilisé pour fournir des images conteneur et des opérateurs à partir de Red Hat et de fournisseurs tiers. |
cdn01.quay.io |
HTTPS:443 | Utilisé pour fournir des images conteneur et des opérateurs à partir de Red Hat et de fournisseurs tiers. |
cdn02.quay.io |
HTTPS:443 | Utilisé pour fournir des images conteneur et des opérateurs à partir de Red Hat et de fournisseurs tiers. |
cdn03.quay.io |
HTTPS:443 | Utilisé pour fournir des images conteneur et des opérateurs à partir de Red Hat et de fournisseurs tiers. |
access.redhat.com |
HTTPS:443 | Utilisé pour fournir des images conteneur et des opérateurs à partir de Red Hat et de fournisseurs tiers. |
registry.access.redhat.com |
HTTPS:443 | Permet de fournir des images conteneur et des opérateurs certifiés tiers. |
registry.connect.redhat.com |
HTTPS:443 | Permet de fournir des images conteneur et des opérateurs certifiés tiers. |
Red Hat Telemetry et Red Hat Insights
Par défaut, les clusters ARO sont désactivés de Red Hat Telemetry et Red Hat Insights. Si vous souhaitez activer Red Hat Telemetry, autorisez les points de terminaison suivants et mettez à jour le secret d’extraction de votre cluster.
| Nom FQDN de destination | Port | Utilisation |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Utilisé pour Red Hat Telemetry. |
api.access.redhat.com |
HTTPS:443 | Utilisé pour Red Hat Telemetry. |
infogw.api.openshift.com |
HTTPS:443 | Utilisé pour Red Hat Telemetry. |
console.redhat.com/api/ingress |
HTTPS:443 | Utilisé dans le cluster pour l’opérateur Insights qui s’intègre à Red Hat Insights. |
Pour plus d’informations sur le monitoring de l’intégrité et la télémétrie à distance, consultez la documentation sur Red Hat OpenShift Container Platform.
Autres points de terminaison OpenShift supplémentaires
| Nom FQDN de destination | Port | Utilisation |
|---|---|---|
api.openshift.com |
HTTPS:443 | Utilisé par le cluster pour vérifier si des mises à jour sont disponibles pour le cluster. Les utilisateurs peuvent également utiliser l’outil OpenShift Upgrade Graph pour rechercher manuellement un chemin de mise à niveau. |
mirror.openshift.com |
HTTPS:443 | Obligatoire pour accéder au contenu et aux images d’installation mis en miroir. |
*.apps.<cluster_domain>* |
HTTPS:443 | Lors de l’ajout de domaines à une liste d’autorisation, il est utilisé dans votre réseau d’entreprise pour atteindre les applications déployées dans ARO ou pour accéder à la console OpenShift. |
Intégrations ARO
Insights de conteneur Azure Monitor
Les clusters ARO peuvent être surveillés à l’aide de l’extension Azure Monitor Container Insights. Passez en revue les prérequis et les instructions pour activer l’extension.