Mengontrol lalu lintas keluar untuk kluster Azure Red Hat OpenShift (ARO) Anda
Artikel ini memberikan detail yang diperlukan yang memungkinkan Anda mengamankan lalu lintas keluar dari kluster Azure Red Hat OpenShift (ARO). Dengan rilis Fitur Egress Lockdown, semua koneksi yang diperlukan untuk kluster ARO diproksi melalui layanan. Ada tujuan tambahan yang mungkin ingin Anda izinkan untuk menggunakan fitur seperti Operator Hub atau telemetri Red Hat.
Penting
Jangan mencoba instruksi ini pada kluster ARO yang lebih lama jika kluster tersebut tidak mengaktifkan fitur Egress Lockdown. Untuk mengaktifkan fitur Egress Lockdown pada kluster ARO yang lebih lama, lihat Mengaktifkan Egress Lockdown.
Titik akhir yang diproksi melalui layanan ARO
Titik akhir berikut diproksi melalui layanan, dan tidak memerlukan aturan firewall tambahan. Daftar ini hanya tersedia untuk tujuan informasi.
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
arosvc.azurecr.io |
HTTPS:443 | Registri kontainer global untuk citra sistem yang diperlukan ARO. |
arosvc.$REGION.data.azurecr.io |
HTTPS:443 | Registri kontainer regional untuk citra sistem yang diperlukan ARO. |
management.azure.com |
HTTPS:443 | Digunakan oleh kluster untuk mengakses API Azure. |
login.microsoftonline.com |
HTTPS:443 | Digunakan oleh kluster untuk autentikasi ke Azure. |
Subdomain spesifik dari monitor.core.windows.net |
HTTPS:443 | Digunakan untuk Pemantauan Microsoft Geneva sehingga tim ARO dapat memantau kluster pelanggan. |
Subdomain spesifik dari monitoring.core.windows.net |
HTTPS:443 | Digunakan untuk Pemantauan Microsoft Geneva sehingga tim ARO dapat memantau kluster pelanggan. |
Subdomain spesifik dari blob.core.windows.net |
HTTPS:443 | Digunakan untuk Pemantauan Microsoft Geneva sehingga tim ARO dapat memantau kluster pelanggan. |
Subdomain spesifik dari servicebus.windows.net |
HTTPS:443 | Digunakan untuk Pemantauan Microsoft Geneva sehingga tim ARO dapat memantau kluster pelanggan. |
Subdomain spesifik dari table.core.windows.net |
HTTPS:443 | Digunakan untuk Pemantauan Microsoft Geneva sehingga tim ARO dapat memantau kluster pelanggan. |
Daftar titik akhir opsional
Titik akhir registri kontainer tambahan
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
registry.redhat.io |
HTTPS:443 | Digunakan untuk menyediakan gambar dan operator kontainer dari Red Hat. |
quay.io |
HTTPS:443 | Digunakan untuk menyediakan gambar dan operator kontainer dari Red Hat dan pihak ketiga. |
cdn.quay.io |
HTTPS:443 | Digunakan untuk menyediakan gambar dan operator kontainer dari Red Hat dan pihak ketiga. |
cdn01.quay.io |
HTTPS:443 | Digunakan untuk menyediakan gambar dan operator kontainer dari Red Hat dan pihak ketiga. |
cdn02.quay.io |
HTTPS:443 | Digunakan untuk menyediakan gambar dan operator kontainer dari Red Hat dan pihak ketiga. |
cdn03.quay.io |
HTTPS:443 | Digunakan untuk menyediakan gambar dan operator kontainer dari Red Hat dan pihak ketiga. |
access.redhat.com |
HTTPS:443 | Digunakan untuk menyediakan gambar dan operator kontainer dari Red Hat dan pihak ketiga. |
registry.access.redhat.com |
HTTPS:443 | Digunakan untuk menyediakan gambar kontainer pihak ketiga dan operator bersertifikat. |
registry.connect.redhat.com |
HTTPS:443 | Digunakan untuk menyediakan gambar kontainer pihak ketiga dan operator bersertifikat. |
Red Hat Telemetry dan Red Hat Insights
Secara default, kluster ARO ditolak dari Red Hat Telemetry dan Red Hat Insights. Jika Anda ingin ikut serta dalam telemetri Red Hat, izinkan titik akhir berikut dan perbarui rahasia penarikan kluster Anda.
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
cert-api.access.redhat.com |
HTTPS:443 | Digunakan untuk telemetri Red Hat. |
api.access.redhat.com |
HTTPS:443 | Digunakan untuk telemetri Red Hat. |
infogw.api.openshift.com |
HTTPS:443 | Digunakan untuk telemetri Red Hat. |
console.redhat.com/api/ingress |
HTTPS:443 | Digunakan dalam kluster untuk operator wawasan yang terintegrasi dengan Red Hat Insights. |
Untuk informasi tambahan tentang pemantauan dan telemetri kesehatan jarak jauh, lihat dokumentasi Red Hat OpenShift Container Platform.
Titik akhir OpenShift tambahan lainnya
| Tujuan FQDN | Port | Menggunakan |
|---|---|---|
api.openshift.com |
HTTPS:443 | Digunakan oleh kluster untuk memeriksa apakah pembaruan tersedia untuk kluster. Atau, pengguna dapat menggunakan alat OpenShift Upgrade Graph untuk menemukan jalur peningkatan secara manual. |
mirror.openshift.com |
HTTPS:443 | Diperlukan untuk mengakses konten dan gambar penginstalan yang dicerminkan. |
*.apps.<cluster_domain>* |
HTTPS:443 | Saat mengizinkan domain, ini digunakan di jaringan perusahaan Anda untuk menjangkau aplikasi yang disebarkan di ARO, atau untuk mengakses konsol OpenShift. |
Integrasi ARO
Wawasan kontainer Azure Monitor
Kluster ARO dapat dipantau menggunakan ekstensi wawasan kontainer Azure Monitor. Tinjau prasyarat dan instruksi untuk mengaktifkan ekstensi.